slider

Security je pro nás věcí osobní cti

14.03.2017

Tak přistupuje k největší konferenci o bezpečnosti výkonný ředitel společnosti AEC Tomáš Strýček. Tato konference se odehrála 23. února pod názvem Security 2017 a šlo již o její 25. ročník. Za tu dobu, co jsem kdysi konferenci moderoval, se změnilo mnohé: místo, styl a hlavně témata. Ostatně i celá bezpečnostní problematika se posunula dál, i když třeba ransomware vychází z virových útoků, které byly známé před deseti, patnácti lety.

Tehdy byly autory virů mladíci, kteří se snažili dokázat světu, že právě oni jsou lepšími programátory než autoři operačních systémů – tedy konkrétně toho jednoho jediného, totiž Windows. Dnes se celá virová problematika stala byznysem. Byznysem, který má kompletní zázemí včetně podpory, která se vám snaží pomoci odblokovat počítač poté, co jste se vyplatili z virového útoku. Dokonce existují i slevy za opakované vykoupení, protože „starému známému“ dají útočníci slevu, i když mnohdy jde o slevu „za blbost“. Mnoho útoků totiž způsobuje lidský činitel, nepozornost, nedodržování bezpečnostních postupů, zbrklost. I o tom byla letošní konference Security. Tedy její odborná část.

Ke chvále pořadatele, společnosti AEC slouží to, že druhou – oddělenou – částí byla konference manažerská, která se zaměřila na problematiku GDPR. A i tahle část stála za to, stejně jako oddělené jednání o bezpečnostních bankovních problémech a postupech v oblasti nařízení PSD2 – to probíhalo formou workshopu a bylo veřejnosti nepřístupné.

V rámci konference jsme měli příležitost vyzpovídat Tomáše Strýčka. Tématem našeho rozhovoru byla nejen konference, ale i nejdůležitější věci, které nyní firmy trápí, došlo i na koncept konference i na další zajímavé věci.

Z čeho, pane Strýčku, máte největší radost?

Tomáš Strýček, Executive Director AEC: Především z toho, že přišlo opět více lidí než loni. Letos je tu přes šest stovek zájemců.

A čím to, podle vás, je?

Snad je to tím, že jsme je čím dál tím víc známější konference, která má co nabídnout. Je to také tím, že se šíří dobré reference z předchozích ročníků, takže přicházejí další noví návštěvníci. Konference má vysokou účast také proto, že samotní účastníci výrazně ovlivňují skladbu programu a diskutovaná témata. Přípravě a zhodnocení konference věnujeme velkou pozornost. Anketní dotazník pro nás není jen cár papíru, ale pečlivě vyhodnocujeme navrhovaná témata. Navíc na začátku příprav nového ročníku se vždy pravidelných účastníků opakovaně dotazujeme na aktuálnost témat z dotazníků z loňského roku.

A témata pak vybíráte vy nebo si je tedy volí účastníci sami?

Témata přicházejí z odpovědí na Call For Papers a také z loňských dotazníků. Na odbornost, a hlavně nezávislost, dbá programový výbor. V něm jsou převážně lidé mimo AEC –z ISACA, AFCEA, ale také do něj zveme přímo zástupce zákazníků. Konference je sice vizuální vlajkovou lodí AEC, ale naše poslání je spíše osvětové. Nemáme proto sebemenší problém na konferenci pozvat přímou konkurenci. Jsme rádi, že konference se stala pravidelným datem setkání bezpečnostních specialistů z celé České republiky a ze Slovenské republiky a má pevné místo v jejich kalendářích.

Co lidi v oblasti bezpečnosti dnes nejvíce trápí?

Stále častější jev dnešních dnů je, že si vůbec uvědomují, že je vlastně něco trápí. Do nedávna to totiž bylo tak, že my jako dodavatelé bezpečnosti jsme zákazníkům říkali, že je něco trápí, a oni nám odpovídali, že tomu moc nevěří. Takže uvědomění si toho, že je něco trápí, osobně považuji za velký úspěch.

Dobře, chápu. Co je příčinou toho, že je něco trápí? Víte to?

V poslední době je trápí zcela určitě nejvíce ransomware. Což je věc, která ostatně postihla velkou část populace. To se týká jak koncových uživatelů, tak i firem. Pro firmy jsme vybrali také další téma, co trápí a to GDPR. Společnosti si uvědomují, co to pro ně znamená a jaké to pro ně má důsledky. To vše je pak umocněno relativně velmi krátkým termínem, kdy vejde GDPR v platnost. To znamená, že všechny nápady se už musejí minimálně teď rodit v hlavách, aby se stihly implementovat do daných termínů, kdy všechno má být už v souladu s nařízeními EU. Navíc je to i hodně trendy věc.

A pak tu máme další atraktivní téma, které je rovněž pro účastníky zajímavé – a to je PSD2. To se primárně týká bankovního a finančního světa a na toto téma zde máme workshop. Je to ale uzavřená aktivita pouze pro bankovní svět bez přítomnosti dodavatelských firem.

Na GDPR zbývá už poměrně málo času, zdá se. Co můžete – jako AEC – firmám nabídnout, aby to stihly?

U GDPR se snažíme už dlouho dělat evangelizaci, vysvětlovat jednotlivá nařízení. To je takový logický první krok. Tím druhým je – GAP analýza neboli, co je třeba udělat, abychom byli v souladu. Zjistit, co ještě chybí, co je špatně a tak dále. Třetím krokem pak je projekt, který tu změnu následně uvede do reality. Cílem je naplánovat vše tak, aby se zvládly zapracovat změny z pohledu ekonomického, i z pohledu integrace na okolní systémy společnosti. Úloha AEC v tomto poměrně složitém procesu je ta, že zákazníka provede celým procesem příprav až v ustanovení a pilotní provoz nových procesů.

V souvislosti s GDPR – sám jste to řekl – mají firmy, i já, dojem, že je pořád někdo straší. Je to moc komplikované, je na to málo času a tak dále. Jaký je váš osobní názor? Dá se to stihnout nebo nedá?

Na tuhle otázku je velmi složité odpovědět, protože každá firma se nachází v jiném stádiu. Zcela určitě v tuto chvíli by se o GDPR mělo hovořit, připravovat změny tak, aby se stihly naplánovat rozpočty na příští rok k realizaci těchto změn. Takže – je třeba začít hned. Dále je si třeba uvědomit, že GDPR nekončí příští rok, tedy datem, kdy bude shoda vyžadována. Tímto datem GDPR v podstatě začíná. Jde o nové odvětví, nový začleněný aparát ve společnosti.

Příčinou většiny bezpečnostních chyb je člověk. Špatné ovládání počítače, práce s potenciálně rizikovými soubory a zařízeními typu paměťové médium a jeho připojení k počítači, aktivace neznámých souborů. Otevírání neznámé pošty, ze které přímo čiší podvrh – typicky známý soubor Invoice.pdf, hit poslední doby. Co mají CIO říkat lidem, aby nedělali – nebo naopak – aby dělali?

Setkáváme se se stále rafinovanějšími útoky, jak oběť chytit. Ransomware se stal velkým byznysem. Byl jsem až překvapen tím, jak mají útočníci propracovaný ceník. Pokud už jste byli jednou napadeni ransomwarem, tak když vás nachytají podruhé, už vám nabídnou slevu. Jste jejich stávající zákazník, který se napálil vícekrát. Útočníci si také zakládají na tom, aby dešifrování po zaplacení proběhlo úspěšně. Chtějí působit jako spolehlivý dodavatel. Když se po zaplacení vyskytnou problémy s dešifrováním vašich dat, pomůže vám útočníkův helpdesk.

Ale zpět k tématu. Společnosti by měly zavést bezpečnostní politiku a příručku zachycující i tyto nové útoky a zaměstnance pravidelně informovat o nových formách útoků.  

A jste vy schopni jim v tom pomoci?

Školíme, testujeme simulujeme krizové situace, jak může takový útok vypadat. Z testů pak vypracujeme statistiky, vyhodnocujeme reakce, navrhujeme další nápravy. Zmíněné aktivity jsou poměrně snadno aplikovatelné, které přinášejí firmám velký efekt. Práce s uživateli je však běh na delší trať, výsledky se dostavují postupně.

Jaké jsou cíle vaší firmy?

Cílem AEC bylo stát se IT Security partnerem našich zákazníků. To znamená přesunout se z role security providera do jakéhosi partnerství. Mít se zákazníkem vytvořen vztah na dlouhodobější bázi a pomáhat mu řešit bezpečnost z hlediska prioritizace jeho aktivit, probíhajících procesů, pomáhat efektivně v bezpečnosti IT a v řízení informačních rizik. To je náš cíl.

Co můžete nabídnout?

AEC se snaží pokrývat celé portfolio požadavků ISMS, tedy celou oblast IT Security zahrnující řízení bezpečnosti, procesy, soulady, řízení rizik, data privacy, testování, ethical hacking, poradenství v architektuře bezpečnosti a v neposlední řadě je AEC dodavatel bezpečnostních technologií. Snažíme se být technologicky nezávislí, umět najít i alternativní řešení. Zákazníkům dokážeme nabídnout také řešení bezpečnosti externí formou čili například outsourcing bezpečnostních rolí nebo připojení do AEC Security Operation Centra.

A čím pro vás – jako pro firmu – i pro vás – osobně – je konference Security?

Pro nás je to nejdůležitější událost roku, je to dnes již závazek. Vážím si toho, že taková konference tady kdysi vznikla. Konference prošla od historie řadou změn do dnešní podoby. Dnes tu máme její už 25. ročník. Velké poděkování patří Igorovi Čechovi, který celou akci perfektně připravil.

Nejdůležitější pro nás ale vždy byla – a stále je – kvalita přednášek. Celou konferenci koncipujeme tak, aby měla aktuální tematický rámec a návštěvníkům přinesla vysokou hodnotu v pochopení a inspiraci. Asi bych to shrnul tak, že Security je pro nás věcí cti.

Děkujeme za rozhovor.

Rozmlouval Milan Loucký

 

Související články

Využijte dvoufaktorové autentizace

Pokud potřebujete zvýšit bezpečnost svých dat, pak je možné používat tak zvanou dvoufaktorovou autentizace. Další informace na toto téma přináší náš...

Výdaje na IT bezpečnost budou v příštím roce o 8 % vyšší

Gartner zveřejnil zprávu o vývoji trhu informační bezpečnosti, ze které vyplývá, že celkový objem se v roce 2018 zvětší o 8 %. Organizace budou za bezpečnost...

Organizace se obávají především malware a nedbalého přístupu zaměstnanců

Mezi respondenty nejnovějšího globálního průzkumu informační bezpečnosti (EY Global Information Security Survey; GISS) vyvolává hrozba kybernetických útoků značné obavy....

Až 1,6 milionu zákazníků postiženo únikem dat v dceřiné společnosti PayPal

Společnost PayPal Holdings Inc. v pátek uvedla, že přezkum její nedávno získané společnosti TIO Networks ukázal důkaz neoprávněného přístupu do sítě společnosti, včetně...

kalendář akcí
itSMF/ Cacio

12. výroční konference itSMF Czech Republic

18.1.2018 - 19.1.2018
Redding Events s.r.o / Marketing Festival s.r.o.

E-commerce Expo konference

30.1.2018
Gopas

G2B TechEd Brno

29.1.2018 - 30.1.2018
Unit konference

ARTEZ 2018

30.1.2018 - 31.1.2018
Blue Events

Retail Summit 2018

5.2.2018 - 7.2.2018
XML Prague / VŠE

XML Prague 2018

8.2.2018 - 10.2.2018
Gopas

ManDay.it 2018

19.2.2018
Terinvest

Amper 2018

20.3.2018 - 23.3.2018
Triada

ISSS 2018

9.4.2018 - 10.4.2018
QuBit Security, s.r.o

QuBit Conference 2018

18.4.2018 - 19.4.2018
IQRF Alliantce

IQRF Summit 2018

24.4.2018 - 25.4.2018