Haim Daror, Izraelský bezpečnostní guru: Bezpečnost stále dohání rozvoj technologií

Vaše společnost se věnuje bezpečnosti už několik desítek let. Jak se za tu dobu tato oblast změnila?

Společnost Ness Technologies je globální IT společnost, NESS TSG je její součástí a zaměřuje se na obranu a kritické infrastruktury. Z hlediska vývoje se dá mluvit o třech obdobích.
První z nich trvalo do roku 2000, byla to “naivní éra”, většina klientů jako banky, podníky patřící do kritické infrastruktury státu či nižší a střední průmysl nebrali bezpečnost vůbec v úvahu. Subjekty, které měly nějaké povědomí o bezpečnosti, investovaly spoustu peněz a zdrojů pro vyvinutí jedinečných a na míru šitých bezpečnostních produktů. Tyto organizace se však zaměřovaly především na externí hrozby, těm vnitřním věnovaly minimum pozornosti.
Druhé období – po roce 2000 a „Internetové horečce“ následoval v oboru velký posun a to především zvýšením povědomí o bezpečnosti. Nicméně požadavky klientů byly zaměřeny na bezpečnostní technologie, nikoliv na řešení bezpečnosti.
Třetí období nastalo po roce 2010 – tzv. Cyber Security Wave. Klienti už jsou vyspělí a poptávají bezpečnostní řešení, která zahrnují analýzu hrozeb a rizik, strategické plánování kybernetické bezpečnosti při jejich práci. Vnímají, že vše podléhá náhlým změnám v oblasti externích i interních hrozeb. A jako adekvátní odpověď na tyto hrozby už samozřejmě nestačí Firewall, antivirus či zabezpečená identita.
Proto klienti dnes hledají komplexní bezpečnostní služby – průzkumy, metodiky a školení, bezpečnostní politiky, operace, postupy,… finanční společnosti a organizace s kritickou infrastrukturou vyžadují digitální forenzní služby. Proto logicky přicházejí na řadu externí odborné týmy a outsourcing těchto služeb.

Jaké jsou dnes nejčastější požadavky zákazníků v oblasti bezpečnosti?

Všichni zákazníci nejsou stejní. Někteří jsou si velmi vědomi kybernetické bezpečnosti. Tito klienti pak výrazně a strategicky investují do všech oblastí a domén bezpečnosti.
Na druhou stranu se setkáváme s klienty s nízkým povědomím o hrozbách. Ti mohou stále pracovat v nedůvěryhodných nebo dokonce nezabezpečených prostředích. Nejhorší scénář se objevuje, pokud spravují databáze spojené s osobními údaji. S těmito zákazníky se setkáváme poté, co byli napadeni, a zejména pokud měl útok významný dopad na jejich podnikání nebo dokonce ohrozil existenci podniku.
Zdá se, že se nacházíme v „krizi důvěry“. Když si kupujeme auto, věříme, že je bezpečné a že je jeho výrobce spolehlivý a důvěryhodný. Nemáme však zdroje na kontrolu bezpečnosti auta, ani neznáme investice výrobce do oblasti bezpečnosti. Přesto mu však věříme.
Naše důvěra se ale musí opřít o relevantní regulace a systém vymáhání, který zajistí, aby výrobce dodržoval standardy, a pokud je nedodrží, požene jej k odpovědnosti. Důvěra, spolehlivost a víra jsou základem světa podnikání, jak jej známe.
Stejné modely však v digitálním světě nefungují. Začíná to nespolehlivými produkty a infrastrukturami, které neustále vyžadují bezpečnostní aktualizace prostřednictvím produktů s pochybným zněním Všeobecných obchodních podmínek. Soukromí zákazníka se tak stává komoditou, kterou společnosti a poskytovatelé služeb používají a prodávají bez vědomí zákazníka. IT společnosti navíc raději investují do nových funkcí namísto zabezpečení, protože funkcionalita prostě „prodává“, zatímco bezpečnost je pouze skrytá složka, a zákazník ji často ani řádně neocení.
Člověk se až musí divit, že regulace prakticky neexistovala a světelnými roky zaostávala za stále se zrychlujícím rozvojem technologií. Věříme, že to by se mělo změnit. A to se stane pouze tehdy, když vládní agentury a regulační orgány vezmou do svých rukou část zodpovědnosti za bezpečnost kyberprostoru.
Dnešní „kultura nedůvěry“, která byla součástí pracovní kultury IT společností, pronikla také do dalších odvětví a oblastí jako jsou finance, pojištění a komunikace… Její dopad můžeme pozorovat na různých aspektech našeho života, plynoucí z menšího důrazu na plánování do budoucna a z výroby neúplných produktů a služeb, což vede k mnohem zranitelnějším a méně bezpečným produktům.

Na český trh uvádíte novou službu – Centrum kybernetické bezpečnosti (Cyber Security Center). Jak byste ji stručně představil?

Jak už jsem naznačil: technologie sama o sobě je nedostačující. Je potřeba holistický přístup, opírající se o osvědčenou metodiku. A takový přístup vyžaduje dostatek zdrojů, což není jednoduché. Ness TSG založilo Centrum kybernetické bezpečnosti (CSC) právě za účelem vyřešení tohoto problému. Toto centrum nabízí zákazníkům, velkým i malým firmám, služby kybernetické bezpečnosti 24/7, upravené podle jejich požadavků. Služba zahrnuje ústřednu pro velení a řízení, inteligenční služby, monitoring, digitální forenzní laboratoř, zásahový tým 24/7, možnost konzultovat konkrétní problémy s bezpečnostními experty, sdílení a získávání relevantních informací z různých zdrojů, školení, cvičení a další služby. Každý zákazník si vybere pro něj potřebné služby a na základě toho platí měsíční poplatky.

Jaké jsou pro zákazníka hlavní přínosy tohoto modelu?

Zákazník může využít kompletní sadu služeb, která je upravena podle jeho specifických požadavků a podle toho se odvíjí v měsíční poplatek. Při porovnání ceny této služby s náklady, které by vznikly při vytvoření těchto funkcí přímo na firmě, je výsledek zřejmý. Zákazník neporovnatelně výhodněji využívá našich osvědčených metod, koncepce a špičkových technologií a – to je asi nejdůležitější – i tým našich zkušených odborníků.

Jaké máte zkušenosti s touto nabídkou v Izraeli a v jiných zemí?

Služba je dostupná v Izraeli i v zahraničí. Naši zákazníci působí v různých sektorech – financích, maloobchodu, průmyslu… CSC nabízíme jako službu z Izraele nebo jako řešení dodávané přímo u zákazníka.

V této oblasti trpí ČR nedostatkem odborníků. Můžete být vaše Centrum řešením?

Podporujeme společné projekty a spolupráci s ostatními zeměmi i dalšími organizacemi, a tím chceme umožnit všem stranám využít výhod a vzájemných silných stránek v různých oblastech působení. Jako součást této spolupráce nabízíme různá teoretická i praktická školení, navržena pro různé úrovně organizací, od zaměstnanců až po management.
Nábor a školení personálu na vysoké úrovni profesionality jsou výzvou, které jsme čelili také v Izraeli. Řešením je najmout schopné lidi s velkým potenciálem a poskytnout jim relevantní praktická školení potřebná k jejich přeměně v profesionály ve svém oboru.
Tato školení zahrnují teoretické a technické přednášky, vyhrazená školení v jedinečných laboratorních prostředích, mnoho praktických činností a studium. Školení jsou rozvržena do bloků a skládají se z šesti měsíců vzdělávání na dálku a dále šestiměsíční stáže po boku zkušených odborníků na kybernetickou bezpečnost.

guruHaim Daror je generálním ředitelem společnosti Ness Q.rity. V oblasti Cyber Security a Cyber Intelligence působí přes 30 let, má zkušenosti z izraelských obranných sil i vládních agentur.

FacebookTwitterGoogle+Sdílet

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>