slider

Security je pro nás věcí osobní cti

14.03.2017

Tak přistupuje k největší konferenci o bezpečnosti výkonný ředitel společnosti AEC Tomáš Strýček. Tato konference se odehrála 23. února pod názvem Security 2017 a šlo již o její 25. ročník. Za tu dobu, co jsem kdysi konferenci moderoval, se změnilo mnohé: místo, styl a hlavně témata. Ostatně i celá bezpečnostní problematika se posunula dál, i když třeba ransomware vychází z virových útoků, které byly známé před deseti, patnácti lety.

Tehdy byly autory virů mladíci, kteří se snažili dokázat světu, že právě oni jsou lepšími programátory než autoři operačních systémů – tedy konkrétně toho jednoho jediného, totiž Windows. Dnes se celá virová problematika stala byznysem. Byznysem, který má kompletní zázemí včetně podpory, která se vám snaží pomoci odblokovat počítač poté, co jste se vyplatili z virového útoku. Dokonce existují i slevy za opakované vykoupení, protože „starému známému“ dají útočníci slevu, i když mnohdy jde o slevu „za blbost“. Mnoho útoků totiž způsobuje lidský činitel, nepozornost, nedodržování bezpečnostních postupů, zbrklost. I o tom byla letošní konference Security. Tedy její odborná část.

Ke chvále pořadatele, společnosti AEC slouží to, že druhou – oddělenou – částí byla konference manažerská, která se zaměřila na problematiku GDPR. A i tahle část stála za to, stejně jako oddělené jednání o bezpečnostních bankovních problémech a postupech v oblasti nařízení PSD2 – to probíhalo formou workshopu a bylo veřejnosti nepřístupné.

V rámci konference jsme měli příležitost vyzpovídat Tomáše Strýčka. Tématem našeho rozhovoru byla nejen konference, ale i nejdůležitější věci, které nyní firmy trápí, došlo i na koncept konference i na další zajímavé věci.

Z čeho, pane Strýčku, máte největší radost?

Tomáš Strýček, Executive Director AEC: Především z toho, že přišlo opět více lidí než loni. Letos je tu přes šest stovek zájemců.

A čím to, podle vás, je?

Snad je to tím, že jsme je čím dál tím víc známější konference, která má co nabídnout. Je to také tím, že se šíří dobré reference z předchozích ročníků, takže přicházejí další noví návštěvníci. Konference má vysokou účast také proto, že samotní účastníci výrazně ovlivňují skladbu programu a diskutovaná témata. Přípravě a zhodnocení konference věnujeme velkou pozornost. Anketní dotazník pro nás není jen cár papíru, ale pečlivě vyhodnocujeme navrhovaná témata. Navíc na začátku příprav nového ročníku se vždy pravidelných účastníků opakovaně dotazujeme na aktuálnost témat z dotazníků z loňského roku.

A témata pak vybíráte vy nebo si je tedy volí účastníci sami?

Témata přicházejí z odpovědí na Call For Papers a také z loňských dotazníků. Na odbornost, a hlavně nezávislost, dbá programový výbor. V něm jsou převážně lidé mimo AEC –z ISACA, AFCEA, ale také do něj zveme přímo zástupce zákazníků. Konference je sice vizuální vlajkovou lodí AEC, ale naše poslání je spíše osvětové. Nemáme proto sebemenší problém na konferenci pozvat přímou konkurenci. Jsme rádi, že konference se stala pravidelným datem setkání bezpečnostních specialistů z celé České republiky a ze Slovenské republiky a má pevné místo v jejich kalendářích.

Co lidi v oblasti bezpečnosti dnes nejvíce trápí?

Stále častější jev dnešních dnů je, že si vůbec uvědomují, že je vlastně něco trápí. Do nedávna to totiž bylo tak, že my jako dodavatelé bezpečnosti jsme zákazníkům říkali, že je něco trápí, a oni nám odpovídali, že tomu moc nevěří. Takže uvědomění si toho, že je něco trápí, osobně považuji za velký úspěch.

Dobře, chápu. Co je příčinou toho, že je něco trápí? Víte to?

V poslední době je trápí zcela určitě nejvíce ransomware. Což je věc, která ostatně postihla velkou část populace. To se týká jak koncových uživatelů, tak i firem. Pro firmy jsme vybrali také další téma, co trápí a to GDPR. Společnosti si uvědomují, co to pro ně znamená a jaké to pro ně má důsledky. To vše je pak umocněno relativně velmi krátkým termínem, kdy vejde GDPR v platnost. To znamená, že všechny nápady se už musejí minimálně teď rodit v hlavách, aby se stihly implementovat do daných termínů, kdy všechno má být už v souladu s nařízeními EU. Navíc je to i hodně trendy věc.

A pak tu máme další atraktivní téma, které je rovněž pro účastníky zajímavé – a to je PSD2. To se primárně týká bankovního a finančního světa a na toto téma zde máme workshop. Je to ale uzavřená aktivita pouze pro bankovní svět bez přítomnosti dodavatelských firem.

Na GDPR zbývá už poměrně málo času, zdá se. Co můžete – jako AEC – firmám nabídnout, aby to stihly?

U GDPR se snažíme už dlouho dělat evangelizaci, vysvětlovat jednotlivá nařízení. To je takový logický první krok. Tím druhým je – GAP analýza neboli, co je třeba udělat, abychom byli v souladu. Zjistit, co ještě chybí, co je špatně a tak dále. Třetím krokem pak je projekt, který tu změnu následně uvede do reality. Cílem je naplánovat vše tak, aby se zvládly zapracovat změny z pohledu ekonomického, i z pohledu integrace na okolní systémy společnosti. Úloha AEC v tomto poměrně složitém procesu je ta, že zákazníka provede celým procesem příprav až v ustanovení a pilotní provoz nových procesů.

V souvislosti s GDPR – sám jste to řekl – mají firmy, i já, dojem, že je pořád někdo straší. Je to moc komplikované, je na to málo času a tak dále. Jaký je váš osobní názor? Dá se to stihnout nebo nedá?

Na tuhle otázku je velmi složité odpovědět, protože každá firma se nachází v jiném stádiu. Zcela určitě v tuto chvíli by se o GDPR mělo hovořit, připravovat změny tak, aby se stihly naplánovat rozpočty na příští rok k realizaci těchto změn. Takže – je třeba začít hned. Dále je si třeba uvědomit, že GDPR nekončí příští rok, tedy datem, kdy bude shoda vyžadována. Tímto datem GDPR v podstatě začíná. Jde o nové odvětví, nový začleněný aparát ve společnosti.

Příčinou většiny bezpečnostních chyb je člověk. Špatné ovládání počítače, práce s potenciálně rizikovými soubory a zařízeními typu paměťové médium a jeho připojení k počítači, aktivace neznámých souborů. Otevírání neznámé pošty, ze které přímo čiší podvrh – typicky známý soubor Invoice.pdf, hit poslední doby. Co mají CIO říkat lidem, aby nedělali – nebo naopak – aby dělali?

Setkáváme se se stále rafinovanějšími útoky, jak oběť chytit. Ransomware se stal velkým byznysem. Byl jsem až překvapen tím, jak mají útočníci propracovaný ceník. Pokud už jste byli jednou napadeni ransomwarem, tak když vás nachytají podruhé, už vám nabídnou slevu. Jste jejich stávající zákazník, který se napálil vícekrát. Útočníci si také zakládají na tom, aby dešifrování po zaplacení proběhlo úspěšně. Chtějí působit jako spolehlivý dodavatel. Když se po zaplacení vyskytnou problémy s dešifrováním vašich dat, pomůže vám útočníkův helpdesk.

Ale zpět k tématu. Společnosti by měly zavést bezpečnostní politiku a příručku zachycující i tyto nové útoky a zaměstnance pravidelně informovat o nových formách útoků.  

A jste vy schopni jim v tom pomoci?

Školíme, testujeme simulujeme krizové situace, jak může takový útok vypadat. Z testů pak vypracujeme statistiky, vyhodnocujeme reakce, navrhujeme další nápravy. Zmíněné aktivity jsou poměrně snadno aplikovatelné, které přinášejí firmám velký efekt. Práce s uživateli je však běh na delší trať, výsledky se dostavují postupně.

Jaké jsou cíle vaší firmy?

Cílem AEC bylo stát se IT Security partnerem našich zákazníků. To znamená přesunout se z role security providera do jakéhosi partnerství. Mít se zákazníkem vytvořen vztah na dlouhodobější bázi a pomáhat mu řešit bezpečnost z hlediska prioritizace jeho aktivit, probíhajících procesů, pomáhat efektivně v bezpečnosti IT a v řízení informačních rizik. To je náš cíl.

Co můžete nabídnout?

AEC se snaží pokrývat celé portfolio požadavků ISMS, tedy celou oblast IT Security zahrnující řízení bezpečnosti, procesy, soulady, řízení rizik, data privacy, testování, ethical hacking, poradenství v architektuře bezpečnosti a v neposlední řadě je AEC dodavatel bezpečnostních technologií. Snažíme se být technologicky nezávislí, umět najít i alternativní řešení. Zákazníkům dokážeme nabídnout také řešení bezpečnosti externí formou čili například outsourcing bezpečnostních rolí nebo připojení do AEC Security Operation Centra.

A čím pro vás – jako pro firmu – i pro vás – osobně – je konference Security?

Pro nás je to nejdůležitější událost roku, je to dnes již závazek. Vážím si toho, že taková konference tady kdysi vznikla. Konference prošla od historie řadou změn do dnešní podoby. Dnes tu máme její už 25. ročník. Velké poděkování patří Igorovi Čechovi, který celou akci perfektně připravil.

Nejdůležitější pro nás ale vždy byla – a stále je – kvalita přednášek. Celou konferenci koncipujeme tak, aby měla aktuální tematický rámec a návštěvníkům přinesla vysokou hodnotu v pochopení a inspiraci. Asi bych to shrnul tak, že Security je pro nás věcí cti.

Děkujeme za rozhovor.

Rozmlouval Milan Loucký

 

Související články

Další zero-day exploit byl odhalen v Adobe Flash

Nový exploit v Adobe Flash byl k útoku využit 10. října skupinou BlackOasis. Je šířen prostřednictvím Microsoft Word dokumentu, který obsahuje komerční malware FinSpy....

Doublelocker, nový ransomware, který zamyká Android zařízení a umí změnit PIN.

Bezpečnostní specialisté zveřejnili nález nového a zákeřnějšího ransomware, který cílí na zařízení s OS Android, který pojmenovali Doublelocker....

Videoverifikační IP kamery s funkcemi livestreamu, videosekvence a záznamu

Jablotron představila nové modely videoverifikačních IP kamer JI-111C a JI-112C které nabízejí tři zásadní funkce: videosekvenci, livestream a záznam. Pomocí detektorů a kamer...

RSA klíče generované čipy Infineon jsou náchylné na útok faktorizací

Odborníci z brněnské Masarykovy univerzity odhalili slabinu v algoritmu kryptografické knihovny využívané německým výrobcem bezpečnostních čipů Infineon Technologies AG od roku 2012....

kalendář akcí
Czechinno

Smart Business Festival 2017

24.10.2017 - 25.10.2017
SmartEnergyForum.cz / SolarniNovinky.cz

Smart Energy Forum

26.10.2017
Alternetivo

OPTIKA PODZIM 2017

1.11.2017
Arrow

Virtualization forum 2017

1.11.2017
Reliant Group

SpeedCHAIN

1.11.2017 - 2.11.2017
MKTI / IIK

Konference Tak ukaž

1.11.2017
Reliant s.r.o.

SpeedCHAIN 2017

8.11.2017 - 2.11.2017
Marketing Festival s.r.o

Marketing Festival 2017

9.11.2017 - 10.11.2017
Eva Škorničková / Deloitte

Intenzivní a interaktivní seminář GDPR

13.11.2017
Gopas

Java Days 2017

13.11.2017 - 14.11.2017
DellEMC

Dell EMC Forum 2017

14.11.2017
Internet Info

WebTop100

15.11.2017
Czech Smart City Cluster

Trendy evropské energetiky

21.11.2017
BusinessIT

Datová centra pro business 2017

23.11.2017
Terinvest

Amper 2018

20.3.2018 - 23.3.2018