6a01b7c82cd82f970b0240a5151de6200b

Petr Špiřík: Stává se, že firma o útoku ví, ale nijak ho neřeší

news | PwC Česká republika

Podle výsledků českého CEO Survey 2020 se může zdát, že tuzemské firmy s kybernetickými hrozbami nemají problém. Na to, že je jejich firma připravena případnému útoku odolat, by si vsadilo 80 % generálních ředitelů. Často jde ale spíše o podcenění situace. Petr Špiřík z týmu Cyber & Privacy v PwC navíc upozorňuje, že základní reaktivní obrana bez systematického přístupu a průběžného zlepšování nestačí.  

Uvědomují si čeští šéfové význam kybernetické bezpečnosti více než v předchozích letech? 

Myslím, že ano. Jde o mediálně vděčné téma, což jsme mohli sledovat u nedávných útoků na OKD nebo benešovskou nemocnici. I samy firmy se s kyberkriminalitou častěji potýkají. Otázka je, zda všechna tato pozornost vede k nějakým krokům, anebo jsme jen na úrovni pop-kulturních zpráv. To je někdy moje obava. 

Jak jsou tedy v praxi české firmy připravené na ty nejběžnější druhy útoků?

Připravenost na ty nejběžnější útoky se v posledních letech zvýšila. Dnes se už jen málokdy stane, že by někdo neměl antivirus nebo neaktualizoval svoje počítače. Firmy jsou ale právě často odolné jen vůči těm nejzákladnějším druhům útoků.


Tab. 1Zdroj: CEO Survey 2020

Které to tedy jsou? 

Stále to jsou phishingové e-maily. Pro útočníky je to extrémně levný druh útoku, a přestože se povědomí o phishingu zvýšilo, stále není stoprocentní a útoky bývají masové. To, že se počet zaměstnanců, kteří takový útok dokáží odhalit, posunul ze 40 % na 70 %, je v takovém případě stále málo – těch 30 % útočníkovi může stačit.

Má na schopnost reagovat na kybernetické útoky nějaký vliv to, zda firma zaměstnává své vlastní odborníky nebo je outsourcuje? 

Neřekl bych, že je jedna nebo druhá varianta lepší nebo horší. Insourcing někdy bývá jen náplastí na to, že firma není ochotna nebo schopna na kyberbezpečnost věnovat dostatek zdrojů. Kdy je tedy lepší outsourcovat? Typicky pro středně velkou firmu, které se nevyplatí si držet robustní dedikovaný cybersecurity tým, nebo naopak pro velkou firmu, která takto doplní pokrytí specifické části své obrany. 

Tab. 2

Zdroj: CEO Survey 2020

Jak rychlé takové útoky skutečně pokročilých hackerů mohou být?

Ještě pár let nazpět se říkalo, že čím pokročilejší je útočník, tím delší dobu chce být uvnitř vašeho systému – dá si na čas, infiltruje pomalu a zajímá ho dlouhá hra. V posledním asi roce se ale útoky, včetně těch pokročilých, častěji vrací k principu „rychle dovnitř, rychle ven“. Iproto, že v průměru se obranyschopnost organizací zvýšila a útočníci nechtějí riskovat odhalení a soustředí se na dosažení svých cílů co nejrychleji.

Útočník může dosáhnout úspěchu i v řádu hodin. To, že si toho firma všimne třeba za tři dny, je přitom pro spoustu organizací slušná rychlost. V případě rychle provedeného útoku už je to ale jedno. Firma v lepším případě zůstane s dokonalým záznamem toho, co v jejich systému útočník udělal. Mít dobře postavené základy kyberbezpečnostní obrany je nezbytné, ale neochrání to organizaci před odhodlaným a zkušeným útočníkem. Zde je potřeba pokročilá investice a firmy musí samy zvážit, zda ji chtějí udělat, nebo budou riskovat a doufat, že se jim to prostě nestane. 

Co všechno taková pokročilá investice obnáší, pokud firma už má základy?  

Důležité je, jak přistoupí k automatizaci. Tím, že útočníci automatizují stále častěji, je i pro firmy automatizace jedním z prostředků, jak jejich útoky zastavit. Při tom všem navíc musí myslet na to, aby se nestřelila do nohy a sama sebe během útoku nepoškodila příliš rychlou reakcí. A to už jsme zpátky u tématu investic do kvalitních lidí. 

Tab. 3

Jak jsou na tom tedy české firmy s investicemi do lidí v kyberbezpečnosti? 

Hlavním problémem je najít kvalifikované lidi, a to nejen u nás, ale po celém světě. Firma, která investuje do technologií, ale nemá nikoho, kdo by se o systém staral, jen topí náklady. 

Kolik lidí potřebuje středně velká firma k sestavení kvalitního cybersecurity týmu? 

Potřebuje někoho, kdo vytvoří strategii kyberbezpečnosti, bude schopen ji řídit a dlouhodobě firmu povede transformací kyberbezpečnosti. Konkrétně tedy leadery, manažery a architekty. A stejně tak potřebuje lidi v  exekutivní části, kteří  technologie nasadí, nakonfigurují, budou je provozovat a vyhodnotí jejich výstupy pro potřeby dalšího rozvoje a reakce. Jsou veřejně známé příklady firem, které věděly, že jsou napadené – jejich detekční nástroje útok detekovaly, reportovaly a hlásily. Nikdo je ale nečetl. Jinými slovy: firma o útoku věděla, ale neřešila ho.

To se stává často? 

Není to výjimečné. V takové organizaci jednoduše nebyl určen nikdo, kdo má na starosti číst zprávy z bezpečnostních zařízení a něco podle nich dělat. Nakoupit nebo investovat do technologií je pro firmy relativně snadné. Ve výsledku pak mají spoustu černých krabiček, kterým věří, že je ochrání, ale bez kvalitního lidského faktoru, který bude sedět u klávesnice a věnovat té činnosti nějaké intelektuální úsilí a zkušenosti, je efektivita této investice mizivá. 

Jak velké tedy bývají běžné interní security týmy? 

Závisí na velikosti firmy. Troufnu si ale říct, že mít dedikované méně než čtyři lidi na firmu, střední nebo v českých poměrech možná větší velikosti, je vysloveně málo. Chybí zastupitelnost, tým nedokáže pokrýt potřebné spektrum znalostí a bude více závislý na dalších funkcích ve firmě – na IT nebo externích dodavatelích. U velkých firem už to bývá v desítkách. 

Spirik_tym_pwc

Cybersecurity odborníků je ale málo. Kde je tedy vzít? 

To je otázka. Z univerzit jich v tuto chvíli přichází řekněme o řád až dva méně, než kolik by jich bylo potřeba. Ten talentový pool, o který firmy soupeří, je pak velmi omezený. I firmy, které se strategicky rozhodnou, že svoji kybernetickou bezpečnost řešit chtějí, investují do ní peníze a vše udělají správně, mohou narazit na to, že zatímco je jednoduché objednat nějaký hardware a software, tak objednat desetičlenný nebo dvacetičlenný tým už tak jednoduché není. 

Ty sám ale chodíš na vysokou školu přednášet. Dochází k nějakému posunu aspoň tam? Roste o kyberbezpečnost zájem?

Bylo by moc hezké, kdybych mohl říct, že se to lepší. Velký kus práce udělali v Brně na VUT a na Masarykové univerzitě. Vybudovali kompletně nové obory se zaměřením na kybernetickou bezpečnost a moderním kurikulem. Celkový vývoj prostředí pro vzdělávání dalších odborníků ale spíše stagnuje. A to jak v otázce kvantity, tak i kvality. Nejjednodušší metrika, na které to můžete sledovat, je, když se podíváte na sylaby předmětů a doporučenou literaturu. Zjistíte, že často jde o materiály velmi staré a čistě české. Ten obor se ale vyvíjí opravdu rychle, a pokud se tomuto tempu vysoká škola nepřizpůsobí, tak její výuka ztrácí význam. A studenti ztrácí motivaci. Kybernetická bezpečnost je ve své podstatě souboj mezi obránci a útočníky, kde se pozná, kdo je lepší. I to je část půvabu tohoto oboru, ale zároveň je to jasný důvod, proč odejít za kvalitnějším vzděláváním a rozvojem. Nikdo nechce trénovat proto, aby skončil druhý.