Kybernetická bezpečnost

V Česku chybí odborníci na kyberbezpečnost. Čím se liší od IT a co by měli umět?

Hackerských útoků na firmy i jednotlivce stále přibývá. Dokazuje to množství malwarů, phishingových incidentů nebo třeba říjnová série DDoS útoků na české firmy. Majitelé firem si akutnost uvědomují a bezpečnostní situaci se snaží řešit. Na trhu však zoufale chybí odborníci. Je na místě spoléhat se na IT oddělení, nebo hledat jinou alternativu?

Není už absolutně žádných pochyb, že je nutné brát kyberbezpečnost velmi vážně. Rizika a možné ztráty jsou příliš bolestivé, než aby firmy nebezpečí ignorovaly. Do toho navíc přichází chystaná evropská směrnice NIS 2, která u nás bude platit od roku 2024. Ta ještě zpřísní povinnosti u kybernetického zabezpečení.

Hodíme to na ajťáky

Najít vhodné a správné zabezpečení může být nesmírně náročný úkol. Některé firmy ho svěří svému IT oddělení. Zdánlivě nejjednodušší varianta má ale vážné trhliny. Kompetence a znalosti ajťáka a odborníka na bezpečnost se totiž většinou liší.

kyberbezpečnost, ilustrační foto.jpg

Druhý jmenovaný se specializuje pouze na bezpečnost a musí znát konfiguraci vaší sítě, zabezpečení používaných platforem i rozumět počítačové kriminalistice. Mít zkušenosti s forenzní analýzou, řízením bezpečnostních incidentů, penetračním testováním i správou bezpečnostních systémů, jako je firewall, antivir či IDPS. A hlavně musí mít zkušenosti a koncepční a analytické myšlení. Přehodit celou tuto agendu na IT není nejlepší nápad jak z hlediska znalostí, tak z pohledu časových kapacit.

Hledání nového kolegy, nebo outsourcing?

Jako lepší varianta se tak může jevit najmutí odborníka. Ti ale na trhu zoufale chybí a jejich zaměstnání stojí nemalé peníze. Jako řešení může fungovat i outsourcing, neboli spolupráce s externí firmou. Tento způsob je podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) dokonce nejčastějším postupem, jak firmy s nedostatkem odborníků v současnosti bojují. Ve finále to může být nejméně nákladné a zároveň spolehlivé řešení situace. Zkušených firem, které vám zajistí komplexní kyberbezpečnost na klíč, je na trhu celá řada.

Mějte se ale na pozoru. Firma by k vám i tak měla přistupovat individuálně a řešit vaše konkrétní problémy a nedostatky. Jak popisovali etičtí hackeři Daniel Hejda a Jan Marek v O2 Cybercastu: „Mnohdy ve firmách nefunguje ani základní bezpečnostní opatření. A kybernetická bezpečnost není jen o samotném zabezpečení, ale postavit jde jen nad něčím, co samo o sobě musí fungovat.“ Ochrana se dá budovat pouze nad dobře nastavenou sítí. Jen díky správným nastavením a pohotovosti se například O2 Security Expert Centru podařilo uchránit své klienty před újmou při již výše zmíněném říjnovém DDoS útoku.

kyberbezpečnost, ilustrační foto 2.jpg

Pozor na „papírové odborníky“

Kybernetická bezpečnost je často přirovnávána k práci detektiva. Takový expert musí být ostražitý, neustále připravený a neměla by mu chybět dedukce. S nadsázkou jde říct, že vypadá jako novodobý Sherlock Holmes, ale místo Watsona má k ruce celou řadu nástrojů, které mu práci ulehčují. Logicky by měl být zkušený a také vzdělaný.

Jak ale zmiňují etičtí hackeři Jan Marek a Daniel Hejda, jejichž firma se specializuje na hledání bezpečnostních pochybení: „Spíš než o vzdělání je to v tomto oboru o přístupu. Člověk se musí neustále učit novým věcem. Část vzdělávacích kurzů je postavená čistě obchodně, marketingově. Slibují toho mnohem víc, než certifikace reálně obsahuje.V poslední době pak vídám i dost „certifikací za účast“. Lidi je předkládají jako něco, co má prokázat jejich znalosti. A mnoho firem je tak vnímá, což je samozřejmě špatně,“ dodávají v rozhovoru s ředitelem bezpečnosti O2 Radkem Šichtancem.

Další článek: Prosincové trable. Windows 10 mohou spadnout, zamrzají i Průzkumník a hlavní panel

Témata článku: , , , , , , , , , , , , , , , , ,