Význam bezpečnostních dohledových center roste
Kyberbezpečnostní incidenty, úniky dat, neautorizované průniky, vyřazení z provozu, ransomware a další hrozby se reálně týkají i českých společností. Více o specifikách současné bezpečnosti nám prozradil Pavel Kocour, předseda představenstva ve společnosti Visitech.
Jak se mění postoj českých společností k otázkám kybernetické bezpečnosti?
Společnosti si začínají uvědomovat, že kybernetická bezpečnost je důležitá. Velký podíl na tom mají i medializované bezpečnostní incidenty, které se objevují čím dál častěji z důvodů atraktivity významných škod. Prostě cizí neštěstí je mediálně zajímavé. Tím se pozitivně zvyšuje poptávka po různých bezpečnostních řešeních. Ale je nutné si uvědomit, že tato řešení a nástroje musejí být především správně nastaveny, aby byly proti dnešním hrozbám účinné.
Co jsou ta největší rizika v současné době?
Jak jsme se opakovaně přesvědčili, největší hrozby přicházejí zevnitř sítě. Momentálně také očekáváme více útoků na cloudy. Cloudy jsou momentálně v centru zájmu útočníků.
Velkým trendem jsou bezpečnostní dohledová centra, vy máte centrum SOC365. Můžete říct, co to vlastně je a komu je to určeno?
SOC zajišťuje aktivní dohled nad kybernetickou bezpečností zákazníka, který poskytujeme formou služby. Máme specializované oddělení, kde jsou lidé, kteří rozumějí kybernetické bezpečnosti a 24 hodin denně zabezpečují ochranu našim zákazníkům. Původní myšlenka byla, aby služby mohli využívat všichni, kteří stojí o důkladné zabezpečení. Dokážeme obsloužit zákazníky všech typů a velikostí. Na českém trhu působí i další společnosti, které poskytují služby SOC, ale nikdo nedosáhl takového rozsahu v počtu dohledovaných zákazníků jako my. Služby, které nabízíme, vycházejí z analýz prostředí zákazníka a mohou se postupně podle potřeby rozšiřovat.
Jak vlastně probíhá takový počáteční audit?
Do sítě nasadíme zařízení, které mapuje a otestuje síť zevnitř a najde všechna možná slabá místa. Následně jdou získané výsledky na datovou analytiku a její vyhodnocení. Analytikou modelujeme účinnost postupu nabízených opatření. Klienti tak oceňují rychlost deploymentu připojení k službě SOC a vhled do námi zamýšlených opatření.
Součástí služby, kterou zákazníkům dodáváme, je měsíční report, který je informuje o tom, co je zapotřebí nastavit a změnit, aby jejich byznys fungoval. Na základě toho jsme schopni také vytvořit i strategii rozvoje bezpečnosti, na co by se měli klienti zaměřit, do čeho investovat a co by si měli pořídit.
V čem je největší hodnota a konkurenční výhoda SOC365?
Jde zejména o kvalitní lidi, tým, znalostní know-how a neustálý inovativní posun služby dál. Máme více než dvě desítky klientů, díky tomu sbíráme zkušenosti, se kterými můžeme služby SOC dále rozvíjet. Uvědomujeme si, že význam a důležitost bezpečnostních dohledových center bude čím dál tím více narůstat. Největší problém bude sehnat kvalitní personál.
Když už jsme u toho, jak tedy sháníte lidi?
Spolupracujeme například s vysokými a středními školami. Navíc už máme v této oblasti vybudované jméno, a jsme proto atraktivní zaměstnavatel i pro mladé odborníky. Těm dáváme možnost pracovat s nejnovějšími technologiemi. Současně se snažíme také přecházet na automatický monitoring, aktivní response (SOAR), a začínáme se více zajímat o datovou analytiku nad daty. Zároveň úzce spolupracujeme s českými výrobci bezpečnostních řešení a pomáháme jim jejich produkty harmonizovat. Díky tomu, že dokážeme tato zařízení skutečně přesně vyladit, jsme schopni detekovat útoky, které nikdo jiný nezachytí.
V nedávné době proběhl útok na jednoho z IT distributorů, který u nás působí. Setkáváte se s tímto typem incidentů i u svých zákazníků?
Ano, s těmito útoky se setkáváme. Dá se jim předejít. Je zapotřebí, jak už jsem uvedl, vyladit nastavení bezpečnostních nástrojů a věnovat vyhodnocení detekovaným událostem. Útoky tohoto typu mají dopad na reputaci celé společnosti, pokud vás útočník vyřadí z provozu a vy se nemůžete věnovat svým aktivitám, také pochopitelně vznikají ztráty z podnikatelské činnosti.
Když bychom si představili nejvyšší úroveň kybernetické bezpečnosti, kterou firma může mít, lze toho dosáhnout i bez služeb dohledového centra?
Interní zabezpečení většiny firem je nedostatečné. Nelze svépomocí a vlastními zdroji zvládnout takové množství informací, které se zde vyskytují. Přesto si většina firem myslí, že to zvládne, že má ty nejlepší lidi a že to nebude žádný problém. Stalo se nám například, že měl náš zákazník externího ajťáka, což mnoho firem považuje za ideální řešení. Nicméně v tomto případě chyběly u zákazníka i základní věci, jako jsou pravidelné updaty softwaru. Když došlo k útoku a firma přišla kompletně o všechna data, jediné, co jsme mohli v takovém případě udělat, bylo poradit, které instituce je teď zapotřebí obvolat a nahlásit, k čemu došlo. Všechno bylo pryč, včetně záloh – projekty, výrobní materiály pro linky, všechno zašifrované. V současné době jsou asi nejbezpečnější pro zálohování páskové systémy, tam se útočníci zatím nedostanou.
Po těchto incidentech je důležité také zotavení do původního stavu, a to je u mnoha firem obrovský problém. Často je totiž IT infrastruktura neuspořádaná a chybí jednoznačný postup krizového řízení tohoto stavu. Tím je zapotřebí se zabývat opravdu důkladně. Jakmile dojde jen k tomu, že se jen obnoví data ze záloh, je vysoká pravděpodobnost, že dojde ke stejné situaci znovu. Někdy je až zarážející, v jakém stavu je bezpečnost u některých organizací. Pro firmy není problém nakoupit si bezpečnostní řešení a zařízení, ale nevědí si rady s jejich správným nastavením a používáním. Proto je namístě, aby byl nad kybernetickou bezpečností firmy dohled, a od toho jsou zde bezpečnostní dohledová centra, v čele s naším aktivním dohledem 7 × 24 pod názvem SOC365.