Martin Hanzal: Největší hrozbou jsou občas sami uživatelé
Společnost SODAT SW se stala novým partnerem projektu KYBEZ. Hlavním polem působnosti firmy je bezpečnost informací, zabezpečení dat, ochrana USB disků a efektivní využívání IT. Spoluzakladatel a výkonný ředitel firmy Martin Hanzal se v rozhovoru zamýšlí nad současnými nejčastějšími kybernetickými hrozbami i nad tím, co bude pro tuto oblast znamenat právě schvalovaný zákon o kybernetické bezpečnosti.
S jakými typy kybernetických útoků či hrozeb se setkáváte u svých klientů nejčastěji?
Nejčastěji se setkávám v organizacích s tím, že vrcholové vedení nevěnuje strategickou důležitost kybernetické bezpečnosti a v organizacích neexistují závazná bezpečnostní politika a směrnice řešící organizační a technická opatření. Takže z mého pohledu jsou pak největší hrozbou a současně útočníky na vnitrofiremní systémy sami jejich pracovníci – uživatelé. Jinak ale nejčastějšími současnými útoky jsou využívání zranitelností jednotlivých systémů a softwarů, které umožňují útočníkovi dostat se do míst informačního systému, kde nemá co dělat. Druhým nejčastějším útokem je využívání neznalosti uživatelů, kterým útočníci podstrkují podvodné maily a webové stránky, pomocí kterých získávají důvěrná data a informace o uživatelích a organizacích.
Jaká je podle Vás informovanost o kybernetických rizicích?
Informovanost vidím jako velmi dobrou. O rizicích se píše, přednáší, diskutuje, dokonce je organizace začínají jednotně sdílet na nejrůznějších portálech. Ale jednoznačně to zatím nevede k výraznějšímu uvědomění si nebezpečnosti a dochází ke stálému podceňování těchto rizik.
Jak důležitý je z tohoto pohledu připravovaný zákon o kybernetické bezpečnosti?
Zákon o kybernetické bezpečnosti považuji za jeden z nejlepších možných počinů pro řešení této problematiky. Stáváme se jednou z prvních zemí, která má takovýto zákon. Tato právní norma ale nepřichází s ničím převratným, co by již nebylo zakotveno v jiných zákonech. Přináší ale detailnější požadavky na zodpovědné osoby za kybernetickou bezpečnost. Proto v něm vidím velký přínos pro všechny organizace, které v tomto zákonu a příslušných vyhláškách mohou hledat určitou příručku, jak prosazovat kybernetickou bezpečnost ve svých systémech.
Jste s jeho připravovaným znění spokojen?
S připravovaným zněním jsem spokojen. Mám snad jen jednu připomínku, že by zákon měl mít širší dopad. Na druhou stranu ale chápu postup předkladatele zákona.
Proč jste se stali členy projektu KYBEZ?
Kybernetická bezpečnost je v současnosti především o osvětě a diskuzi. Každý portál, který k tomu přispěje a najde si svoje místo v kybernetickém prostoru, je přínosem a rádi s ním budeme spolupracovat.
Jaká by měla být Vaše role v projektu? Na co se chcete specializovat?
Dlouhodobě se zabýváme analýzou chování uživatelů, ochranou proti vnitřním útočníkům a používání kryptografické ochrany důvěrných dat a informací. Těmito technickými opatřeními bychom rádi zvyšovali úroveň ochrany dat a informací nejrůznějších provozovatelů informačních systémů. Současně rádi poskytneme naše zkušenosti s kybernetickou obranou z prostředí NATO, kde již téměř 3 roky pracujeme ve skupině NATO Industrial Advisory Group.
Co by měly podle vás úřady či firmy udělat, pokud si jejich vedení není jisto, zda jsou jejich systémy a data v bezpečí?
Obrátit se na profesionály na kybernetickou bezpečnost a provést analýzu rizik. A na základě této analýzy začít řešit jednotlivá potřebná opatření. Kybernetický bezpečnost není o jednorázovém nasazení nějakého produktu, ale o komplexním řízení a souvislém dlouhodobém projektu řízení kybernetické bezpečnosti.
