Vize KYBEZ pro rok 2017
Informace jsou samozřejmou a dominantní součástí života. Bezpečnost informací, včetně kybernetické bezpečnosti, není jenom zákonná povinnost, ale existenční nutnost. V přiměřeném a efektivním rozsahu by ji měli vnímat a řešit nejenom organizace veřejné správy, firmy a jejich manažeři, ale i všechny domácnosti a jejich jednotliví členové.
O současnosti a budoucnosti komunikační platformy KYBEZ jsme si měli možnost pohovořit s Ing. Michalem Řezáčem MSc., výkonným ředitelem KYBEZ a ředitelem pro strategický rozvoj společnosti GORDIC spol. s r.o.
Můžete nám na úvod přiblížit vznik komunikační platformy KYBEZ?
Celý život jsem obklopen počítači, mobily a internetem věcí. Hlavně jsem programoval v Delphi, C#, Java a podobně… První kroky v oblasti kybernetické bezpečnosti byly moje snahy konsolidovat a zabezpečit co nejlépe naši domácí i firemní síť. Instaloval jsem mnoho operačních systémů, firewallů a antivirů, abych nakonec zjistil, že největším rizikem v oblasti ochrany informací jsou uživatelé ICT a jejich šéfové (pozn. red.: Michalův otec je majitel a jednatel jedné z největších českých softwarových firem). Internet je až na třetím místě…
Moje diskuze s akademiky a programátory, a nakonec i téma mojí diplomové práce bylo potom vlastním počátkem platformy KYBEZ. Prvním viditelným krokem – informačním kanálem – byl portál, který by se věnoval kybernetické bezpečnosti. Garantem se stali moji vysokoškolští učitelé a provozovatelem GORDIC spol. s r.o. Odtud plyne jeho název KYbernetická BEZpečnost. Postupně jsme začali vytvářet partnerskou síť spolupracujících firem a akademických institucí. Představa toho, že by jedna firma dokázala komplexně obsáhnout bezpečnost informací včetně kybernetické bezpečnosti a povinnostní dané zákonem, je nemožná.
A jak byste KYBEZ charakterizoval?
KYBEZ je platforma pro efektivní spolupráci akademických institucí a komerčních firem zabývajícími se osvětou, systematickým vzděláváním, managementem, službami a technologiemi v oblasti bezpečnosti informací, a to včetně kybernetické bezpečnosti a obrany. Partneři projektu KYBEZ jsou připraveni pomoci organizacím veřejné správy (veřejné moci), dalším zainteresovaným subjektům, jež to myslí s bezpečností informací vážně, a to nejenom ve splnění požadavků, které na ně zákon o kybernetické bezpečnosti klade. KYBEZ tedy není pouze sdružení firem, je to komunikační platforma spolupracujících firem. A to i takových, které si navzájem konkurují.
Zmínil jste spolupráci s oblastí výuky, můžete být konkrétnější?
Dohodli jsme se s akademickou sférou a založili radu pro vědu, výzkum a vzdělání. V této radě navrhujeme nové možnosti ohledně systematického vzdělávání a rozšiřování povědomí o kybernetické bezpečnosti. Hlavními z těchto akademických institucí je Vysoké učení technické v Brně a Univerzita Tomáše Bati. Tyto školy mají mimo jiné laboratoře, ve kterých se zabývají testováním kybernetické bezpečnosti. Univerzita Tomáše Bati konkrétně dělá penetrační testy mobilů, testuje jejich zabezpečení, aplikace, a zadní cesty, kterými je možné se do mobilu dostat. Naproti tomu VUT Brno zase provádí testování sítí ve všech vrstvách OSI modelu.
Proč právě tyto školy?
Důvodem vzniku vzájemné spolupráce bylo to, že tyto školy opravdu řeší kybernetickou bezpečnost a mají zájem o její rozšiřování povědomí a tomu i přizpůsobují výuku. Na VUT v Brně Fakultě Informatiky jsem studoval, a tam mne učili „akademici“ – a to zejména pan doc. RNDr. Bedřich Půža, CSc., Ing. Viktor Ondrák, Ph.D., Ing. Petr Sedlák a Ing. Vilém Jordán –, kteří mi vysvětlovali, co je to vlastně informace a její bezpečnost, co je to ISMS a ISO 27 000, co všechno zahrnuje a že má smysl učit se o systému řízení bezpečnosti informací především na praktických příkladech. Oni mi pomohli pochopit tuhle problematiku. A i proto jsme tam navázali a postupně začali rozšiřovat vzájemnou spolupráci.
A jaký je vztah KYBEZ – Gordic?
Gordic je provozovatelem portálu KYBEZ. K problematice bezpečnosti informací jsme přistoupili s maximální vážností a začali velmi podrobně rozebírat, jak jsou informační systémy, co máme, a moduly k nim, zabezpečeny. Tak vznikly dva týmy, které se zabývají kybernetickou bezpečností. V první z nich jsou lidé, kteří se angažují v platformě KYBEZ, komunikují s partnery, řeší s nimi vzdělávání a bezpečné projekty a implementace zákazníků, a druhý realizuje inteligentní funkce a procesy v našem hlavním produktu GINIS – bezpečné integrační platformě pro veřejnou správu.
Staráte se i o vzdělávání lidí?
Ano, systematické vzdělávání, osvěta a efektivní kooperace akademických institucí a firem je tím nejdůležitějším úkolem platformy KYBEZ, Není to jen o kurzech, školeních, auditech a seminářích, cílem je prosadit bezpečnost informací do všech stupňů vzdělávání od základního až po doktorandské. Také se snažíme nejvíce spolupracovat s partnery a připravovat pro lidi co nejzajímavější a zároveň nejdůležitější kurzy a školení. Jakmile totiž není povědomí o riziku, nebezpečí, tak lidé ani netuší, co všechno je ohrožuje. Bezpečnost informací a zdravotní hygiena jsou si v mnohém podobné, každý by si měl uvědomit a dodržovat běžná pravidla, aby neohrožoval sebe ani ostatní.
A co je teď vaším nejhlavnějším úkolem?
O nejdůležitější úkolech KYBEZ jsem již zmínil, co se týče právě mne, tak právě teď s kolegou připravujeme analytický nástroj pro portál, jak moc lidé znají a vnímají bezpečnost informací. Odpovědný zájemce, zejména ten kdo bezpečnost informací dosud nijak neřešil, si projede strukturovaný test, který už zpracováváme, a může si uvědomit, jaké hrozby mu hrozí a jak zranitelné jsou systémy, se kterými pracuje. Cílem je, aby lidé zjistili, jaká rizika je ohrožují, a na základě toho se pak logicky budou chtít dozvědět, jak k těm rizikům přistupovat. A pro ně připravujeme opět v rámci KYBEZ náměty na vzdělávání a specializovaná školení.
Výsledkem průzkumu bude tedy nějaký výstup pro toho, kdo ho absolvuje?
Nechceme nikomu zasahovat do soukromí, výsledek bude anonymní a s výsledky jen pro toho, kdo si test provedl. Jakmile mu přijde, on sám posoudí, zda s tím něco chce dělat a případně s tím za námi přijde. Podle toho, co ho bude zajímat, nabídneme řešení, školení nebo nějaký přiměřený stupeň vzdělávání. Jak jsem sám zjistil, bezpečnost informací bez osvěty a pomoci akademiků a odborníků z praxe řešit nelze.
Většina lidí, z mých zkušeností, vůbec nemá zkušenosti s bezpečností, nevědí, co to je a co je s tím spojeno, jaká rizika mohou očekávat. Nevědí, proč je dobré zálohovat. Neznají ani cenu svých dat.
Vidíte, teď jste to řekl. Chybí vzdělávání a osvěta. To je hlavní úkol platformy KYBEZ , jejích akademických i konzultačních partnerů, zejména její vědecké rady. K nim se teď přidala i Střední škola informatiky, poštovnictví a finančnictví v Brně, která se rovněž zabývá bezpečností informací a chtějí aktivně spolupracovat. Ještě musíme oslovit další progresivní střední a základní školy a zahájit užší spolupráci s Ministerstvem školství.
Moje vize do budoucna, trochu s nadsázkou řešeno, je prosadit systematické a hierarchické „povinné“ proškolování bezpečnosti informací, tak jak tomu je například u proškolování řidičů. A to jako analogii k hierarchickému proškolování účastníků provozu od chodců, cyklistů, řidičů osobních a nákladních aut, strojvedoucích vlaků, kapitánů trajektů a pilotů letadel.
To se mi líbí! A máte tu sílu, prosadit povinná bezpečnostní školení?
Je to běh na dlouhou trať a to nejenom pro členy platformy KYBEZ. Je to běh pouze pro odpovědnou společnost lidí. Problém je v nás, v Evropské unii, České republice a ve většině organizací a firem je skoro pravidlem, pokud se něco nestane, tak se to neřeší nebo se to řeší tak pozdě nebo nedostatečně. Typicky: Ještě na nás nezaútočili, tak proč bychom zrovna my měli stavět nějaké ochranné zdi? Bohužel se tento problém netýká pouze kyberprostoru. Obráceně je zase nutné zdůraznit, že většina Směrnic EU a Zákonů ČR, týkající se bezpečnosti informací jsou chvályhodné. (Zejména Zákon č. 181/2014 Sb. o kybernetické bezpečnosti, Nařízení Evropské unie č. 910/2014 o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním evropském trhu.)
Musíme si však přát, aby i jejich skutečné implementace byly také tak chvályhodné.
Lidé si totiž neuvědomují, že hacking je už byznysem. Hackerské firmy na objednávku píšou přesně cílené útoky a mají i obchodní oddělení, které se zabývají placením výpalného. Mají i call centra, kde napadeným poradí, jak zaplatit výpalné v těžko sledovatelných bitcoinech. Kyberkriminalita se stala byznysem, průmyslem na vydělávání peněz.
Žijeme ve v informační revoluci, informační boje a války v kyberprostoru – v intranetech i v internetu – jsou a budou jeho přirozenou součástí.
Nejenom s nástupem IoT (internetu věcí) se můžeme dočkat toho, že se nám bude někdo dostávat do našich klíčových institucí, firem, domů a bytů a bude zneužívat rozmanitým způsobem získané informace a generovat informační podvrhy. Bude významně ovlivňovat i osobní a objektovou bezpečnost a to nejenom tím, že si pomocí hacknutého mobilního telefonu odemkne vaši firmu, dům nebo byt. To vše jsou souvislosti, o kterých mnoho lidí vůbec neuvažuje, a proto je naše platforma KYBEZ tak důležitá a aktuální pro dnešní dobu.
Stejně si myslím, že tu stále chybí – kromě té myšlenky vzdělávání ve stylu školení řidičů – u nás povědomost a školení střední části populace. Přesněji kolem třiceti až padesáti – plus/mínus – tedy u lidí v produktivním věku, která by měla znát alespoň základní prvky týkající se bezpečnosti.
V tom máte pravdu. Ale tady se už dostáváme do oblasti, kdy by problematiku systematického vzdělávání bezpečnosti informací měl řešit stát. Výuka by dokonce měla začínat nějakou vhodnou formou už na základních a středních školách. Lidé v produktivním a postproduktivním věku, tedy skupiny, které informační revoluce téměř minula, by neměla už vůbec být opomíjeny. Navíc naši senioři jsou jedni z nejzranitelnějších a to nejenom vlivem hrozeb z kyberprostoru. Navíc osvěta je stále velmi nízká, byť se pomalu zvedá ze dna aktivitami podobných platforem a sdružení jako je KYBEZ.
Není to jen otázka běžných uživatelů. Viděl jsem spoustu bankomatů, které svítily „smrtelnou obrazovkou“ a z ní bylo jasné, že ty terminály – ještě dneska! – běží na Windows XP. Vezměte si, že na konci minulého století nacpaly korporace spoustu peněz do počítačů a teď by měly všechny vyměnit? Včetně operačních systémů?
Přiznám se, že tuhle otázku si opakovaně pokládáme také, ale nejsme schopni ji přímo ovlivnit. Vybavení novými technologiemi s bezpečnějšími a udržovanými operačními, bezpečnostními a agendovými systémy, které dokážou být vůči hrozbám ztráty a zneužití informací, vůči kyberkriminalitě odolnější je finančně náročné. Odpovědní ICT manažeři a konzultanti ke mohou pouze navrhovat. Rozhodovat a schvalovat je však může většinou pouze nejvyšší management té či oné firmy či organizace, který zase často řeší jiné priority. Jediným akceleračním prvkem je pak to, když dojde k nějakému bezpečnostnímu incidentu, který tu firmu či organizaci ohrozí či vyřadí z provozu. Potom v rámci řešení aktuálního bezpečnostního problému jsou šéfové ochotni konečně rozhodnout, někdy bohužel i pozdě. Proto tvrdím, že druhým nejvyšším rizikem v oblasti bezpečnosti informací jsou šéfové.
Autor: Milan Loucký