ICT Security   Net Guru Link   Reseller Channel Link

Strategie kybernetické bezpečnosti je třeba propojit s právem, financemi i dalšími oblastmi

deloitte_logo„Použití prediktivní a behaviorální analytiky bude nezbytné pro všechny organizace, které čelí významným rizikám kybernetického útoku,“

říká Adrian Demeter, Senior Manager společnosti Deloitte01_01_Clanek2_Deloutte_pic1

 

Obrana proti kybernetickým útokům přestává být úkolem IT oddělení, ale stává se součástí obchodních strategií společností. Firmy si uvědomují, že jsou na informačních technologiích stále závislejší. O tom, jak se mění svět kybernetické bezpečnosti a jaké jsou v této oblasti hlavní trendy si ICT Network News povídal se Senior Manažerem společnosti Deloitte Adrianem Demeterem.

 

Ve společnosti  Deloitte pracujete přibližně půl roku. Co je hlavní náplní Vaší práce?

Do společnosti Deloitte jsem skutečně nastoupil v srpnu loňského roku na pozici Senior Manager. Pokud to trochu zjednoduším, největší část mé práce tvoří poradenství klientům naší společnosti zejména v oblasti obrany proti pokročilým kybernetickým hrozbám a přípravy bezpečnostních standardů organizací.

Jaké hlavní úkoly před Vámi stojí v roce 2016?

Hlavní úkol jsem si stanovil v podstatě sám, a to poskytovat profesionální poradenství pro klienty způsobem prospěšným pro všechny strany. Ale aby tento úkol nebyl krátkodobý, snažím se identifikovat oblasti, které dnes ještě nejsou rutinní, a existuje poptávka na trhu. Právě kybernetická bezpečnosti je dnes velmi diskutované téma a je to jedna z oblastí, které bych se rád na své pozici ve společnosti Deloitte věnoval. Nicméně dnes již v oblasti obrany proti kybernetickým útokům nevystačíme s tradičním přístupem. Nechci, abychom se zařadili do celé řady dalších firem, které se kybernetické bezpečnosti dělají.

Svět kyberzločinu se profesionalizuje a tradiční řešení dnes již ztrácejí účinnost. Proto se snažíme našim zákazníkům nabídnout něco navíc, tak aby se byli schopni bránit i pokročilým hrozbám vedeným dobře vybavenými kyberpiráty. Jsem přesvědčen, že budoucnost je propojení tradičních ICT přístupů s pokročilými analytickými principy. Díky tomu lze do oblasti kybernetické bezpečnosti začlenit prediktivní analýzu.

Přišel jste se zkušenostmi zejména z IT firem. Jak velký rozdíl je to oproti konzultantské společnosti Deloitte?

Přestože jsem se celý život pohyboval v ITC, v průběhu své kariéry se vždy trochu měnila forma. Konzultantská činnost ale není pro mě úplně nová. Skoro 15 let, po které jsem pracoval ve společnosti GC Systém, jsem fungoval především jako konzultant. Je ale pravda, že oproti Deloitte jsem byl více zaměřený technologicky. Příchod do společnosti Deloitte byl pro mě hodně příjemným překvapením. Velmi inspirativní je možnost spolupracovat s kolegy z celého světa na každodenní bázi. Osobně velmi oceňuji i možnost pracovat v kolektivu mimořádně inteligentních a přesto vstřícných a přátelských lidí. A navíc mi dobré jméno Deloitte velmi pomáhá v nových možnostech prosadit zajímavé nápady.

 

Dlouhodobě se věnujete oblasti kybernetické bezpečnosti. Když byste měl vybrat tři nejdůležitější trendy v této oblasti, jaké by to byly?

Jsem přesvědčen, že tím nejdůležitějším je nutnost trochu jiného přístupu ke kybernetické bezpečnosti. Musíme poněkud rozšířit náš pohled na kybernetickou bezpečnost. I ten nejlepší hacker potřebuje mít o svém cíli informace před tím, než začne útočit. Společnosti se musí také předem připravovat na potenciální útoky a získávat informace o možných útočnících. Může být velmi užitečné znát, jaké jsou záměry útočníka a co se může stát cílem útoku. Nemusí to být totiž vždycky heslo administrátora.

Z mého pohledu je tak jedním z nejdůležitějších trendů v oblasti kybernetické bezpečnosti začlenění pokročilých analytických metod do bezpečnostních strategií. Použitím prediktivní analýzy stavů a chování dovedeme predikovat potenciální útoky nebo jejich průběh. Možná nám prediktivní analytika neřekne přesně kdo, a jak, provede útok: Rozhodně nám ale pomůže soustředit naší pozornost na oblasti zdrojů útoku, což nám získá čas na přípravu obrany, nebo i protiútoku.

Druhým trendem, který v oboru obrany proti kybernetickým útokům můžeme vysledovat, je zaměření se na uživatele. Klasické hackerské útoky, jak je známe z filmů, mají malou šanci úspěchu a proti nim jsou společnosti již celkem dobře zajištěné. I když i výjimky se najdou.

Ve většině případů dnes ale pokročilé útoky využívají bezděčné pomoci samotných uživatelů. Pro většinu pokročilých útoků je nutné nějakým způsobem vpašovat škodlivý kód do bezpečného perimetru společnosti. Tím se dostáváme ke klíčovému bodu – nejjednodušším způsobem jak proniknout do vnitřní sítě nějaké společnosti a zanést do ní škodlivý kód je psychologický útok. Jednoduše přijít na způsob, jak přimět osobu uvnitř, aby si například klikla na link hackerského serveru. Mluvíme o sociálním inženýrství, útočníci dokáží využít znalostí o uživatelích a jejich chování a například pomocí pfishingu je donutí otevřít zadní vrátka do firemní sítě a vpustit malware či spyware dovnitř. Pochopitelně to ale není jediný způsob, dnes i existují miniaturní wi-fi moduly, snímače klávesnic, ale i řada dalších možností.

Poslední oblastí, kterou bych rád zmínil je cloud. Nejde přitom jen o klasické zabezpečení cloudových technologií proti kybernetickým útokům. Součástí bezpečnostní strategie musí být vždy také analýza rizik spojených s implementací systému do cloudu. A to jednak z pohledu kybernetické bezpečnosti, ale také právního, regulatorního nebo i z hlediska finanční analýzy rizik.

01_01_Clanek2_Deloutte_pic2

 

Hodně se mluví o prediktivní či behaviorální analýze kódu při detekci malware. Opravdu patří tomuto přístupu budoucnost?

Spíše bych řekl, že použití prediktivní a behaviorální analytiky bude nezbytné pro všechny organizace, které čelí významným rizikám kybernetického útoku. Klíčové to bude především pro finanční firmy, nebo také pro ty, které spravují kritické infrastruktury států. Společnosti střední nebo menší velikosti sice budou také čelit kybernetickým útokům, ale u nich lze spíše očekávat, že využijí jenom výsledky z bezpečnostní analytiky formou služby některé větší organizace nebo zpravodajské služby kybernetické bezpečnosti.

Velké zkušenosti máte s otázkou bezpečnosti v cloudu. V českých firmám dosud stále panuje přesvědčení, že data na serveru ve vlastní serverovně jsou mnohem bezpečnější než v cloudu. Je to pravda?

Na tuto otázku není jednoznačná odpověď. Ale z klasického ICT pohledu lze říct, že zajištění datových center poskytovatelů cloudových služeb je několikanásobně vyšší než zajištění vlastních serveroven. Pokud je tedy jediným rozhodovacím kritériem zabezpečení „serverovny“, pak cloud nabízí řádově vyšší úroveň zabezpečení.

Na druhou stranu využitím cloudových služeb předáváme jejich poskytovateli svá data. Kontrola, co se pak s těmito daty děje, je pro uživatele cloudových služeb poměrně komplikovaná. Možná bych řekl, že pro většinu menších organizací výhody cloudu převažují. Pro větší organizace je zapotřebí zvážit i další faktory, ať již jde o bezpečnost, tak třeba efektivitu. Ale to už bychom se dostali do detailního rozboru rizik, které se liší případ od případu.

Jaká jsou hlavní rizika u cloudových řešení?

Jak jsem již říkal, rizika se liší případ od případu podle organizace. Nejčastěji jde o smluvní zajištění služby. Právě stanovení úrovně kybernetické bezpečnosti bývá velmi důležitou částí takovýchto smluv. Musíme mít na paměti, že bezpečnost je velice široký pojem. Pod smluvním zajištěním bezpečnosti není (nebo by být nemělo) jenom klasické NDA (Non-Disclosure Agreement), ale i jednoznačný popis způsobu zacházení s daty nebo způsobu ukončení služby a předání aktiv. To už se ale dostáváme za hranice ICT, do oblasti právní, regulatorní, ale i finanční. Teď neříkám, že by společnosti nedbali na právní, regulatorní nebo finanční otázky, ale tvrdím, že často právě propojení těchto oblastí, i včetně s oblastí ICT, je potřeba zlepšit. V tom vidím velký přínos vstupu poradenské společnosti kategorie velké čtyřky, která svojí expertízou tyto oblasti propojí.