Josef Muknšnábl prošel pozicemi testera SW, business analytika, projektového manažera, interního auditora, manažera kybernetické bezpečnosti a dnes se jako ředitel kybernetické bezpečnosti v Bance CREDITAS denně potýká s nejrůznějšími hrozbami a riziky.
Zeptali jsme se, co obnáší vedení bezpečnostního týmu, jaká bezpečnostní rizika se pojí s fúzí firem, jakou roli hraje umělá inteligence nebo lidský faktor. A samozřejmě jsme se dotkli i praktických tipů, které pomohou běžným uživatelům i firmám ochránit jejich data.
Josefe, Vaše kariéra je docela pestrá. Jak Vás to profesně ovlivnilo?
Ta pestrost je otázkou úhlu pohledu. Z pohledu odvětví či počtu společností, kde jsem pracoval, to může vypadat poměrně „pestře“, nicméně z profesní stránky si myslím, že ten pohled je mnohem konzervativnější. Moje kariéra se vždy nějakým způsobem pohybovala kolem technologií, IT, nebo dat, posléze přibyly kontrolní činnosti, audit a bezpečnost.
Přesahem mimo technologie pak byly záležitosti jako projektové řízení, komunikační dovednosti a následně řízení lidí. Ale té komunikaci se dnes již prakticky není možné vyhnout na jakékoliv pozici. Jednotlivé pozice, které jsem zastával, byly nějakým způsobem navazující na ty předchozí nebo se mi podařilo synergicky využít nabytých znalostí a zkušeností.
A to i u přestupů, které na první pohled mohou vypadat zvláštně. Například v roce 2004 jsem přestoupil z IT oddělení, z pozice testera SW (Quality Assurance) do marketingu na pozici senior analytika a vlastníka datového skladu.
Dnes s rozvojem datové analytiky to tak zvláštní přestup není, ale v roce 2004 rozhodně byl. Ta pozice v marketingu byla reálně velice technická, ale kromě technických dovedností bylo nutné mít i komunikační schopnosti.
Marketing tenkrát potřeboval takového tlumočníka z IT jazyka do jazyka, kterému rozumí. Někoho, kdo jim pomůže pochopit často strohá, technická sdělení a stanovit srozumitelně reálné dopady do jejich činnost tzn. provozu datového skladu, dostupnosti dat a reportingu pro vedení a akcionáře.
Na své současné pozici řídíte bezpečnostní tým. Co všechno je součástí Vaší práce?
Má pozice je manažerská. Mám celkovou odpovědnost za svěřenou oblast, tedy kybernetickou bezpečnost naší organizace. To znamená za všechno, co s tím souvisí.
Spadá sem například:
- odpovědnost za celkovou úroveň kybernetické bezpečnosti organizace (a stav v jaké se organizace nachází)
- odpovědnost za definici bezpečnostní strategie a její naplňování
- odpovědnost za obranu před hrozbami, odpovědnost za odrážení útoků
- odpovědnost za veškeré bezpečnostní procesy a postupy, za vedení a rozvoj týmu, za spolupráci s jinými útvary, spolupráci s dodavateli, provozované bezpečnostní nástroje atd.
Je toho celkem dost a jakkoliv to může znít velmi teoreticky, obecně vše, co jsem vyjmenoval, se v praxi rozpadá do zcela konkrétních aktivit a činností, které můj tým a já naplňujeme a realizujeme na denní bázi, ale i ve střednědobém a dlouhodobém horizontu.
Nedávno bylo dokončeno sloučení Max banky s CREDITAS. Klidně i obecně, když firmy přistoupí k fúzi, jaké to může mít dopady na jejich zabezpečení?
Obecně – škála dopadů fúze organizací na zabezpečení může být velmi široká. Od nulového dopadu až po významné zhoršení úrovně kybernetické bezpečnosti. O výsledku rozhodují podle mě zejména dva faktory a sice 1) výchozí stav slučovaných organizací a 2) celkový přístup k fúzi (a zejména míra rizika, kterou je management ochoten akceptovat).
Čím menší jsou rozdíly ve vyspělosti bezpečnostního prostředí obou organizací, tím lépe. Když je rozdíl příliš velký, tak to samo o sobě není nic dobrého a srovnání na stejnou nebo lepší úroveň je o to náročnější.
Ohledně toho přístupu k fúzi se může třeba stát, že dočasně dostanou přednost provozní aspekty před zabezpečením nebo že jedna organizace přestane defakto existovat nebo že dojde ke ztrátě know-how. Těch scénářů tam může být mnoho.
Považujete rychlý rozvoj umělé inteligence za bezpečnostní riziko?
Vaše otázka je položena velmi široce. Zúžím ji na oblast kybernetické bezpečnosti. Opravdu rychlý rozvoj umělé inteligence by mohl po nějakou přechodnou dobu být kyberbezpečnostním rizikem. Ale jen opravdu omezenou dobu, protože využití umělé inteligence není omezeno pouze na kyberzločince, ale dnes se již běžně používá na straně obránců a výzkumníků.
Je to jako s každou jinou příležitostí v běžném životě. Když novinku aplikujete dostatečně rychle, máte výhodu, ale po čase, kdy se z toho stane běžná věc, se již o výhodu nejedná. V současnosti se na umělou inteligenci nedívám jako na bezpečnostní riziko.
Ano, spousta otázek spojená s jejím použitím není dořešena, může a je zneužívána. Ale již existují mechanismy bránící zneužití a celkově je toto riziko známé a pracuje se s ním. V tomto ohledu se zatím umělá inteligence neliší od ostatních technologií, řekl bych.
Vy osobně AI ve své práci nebo v soukromí využíváte?
Ano, AI používám jak v práci, tak v soukromí. Použití se liší způsobem a mírou. V práci spíš opatrně, zatím poměrně málo pouze v rámci technologií a nástrojů, které používáme v rámci kybernetické bezpečnosti, v soukromí více a pro různé účely.
Důvodem rozdílnosti používání jsou samozřejmě možné dopady na organizaci, omezení spojená s ochranou dat, autorská práva zaměstnavatele a další. Výsledky plynoucí z použití AI mám různé, velmi to závisí na vhodnosti aplikace, použitém modelu nebo zvoleném na způsobu dotazování. Každopádně jsem příznivcem AI, je to něco, co nám jako lidstvu může velmi pomoci.
Říká se, že když jde o kybernetickou bezpečnost, často je největším rizikem lidský faktor. Je tomu skutečně tak?
Podle mě rozhodně ano. Důvodů je celá řada. Například člověk často dělá chyby (ať úmyslně, či neúmyslně), má problém reagovat na stejné situace stejným, unifikovaným způsobem, nechá se sebou manipulovat, je důvěřivý, podléhá emocím, také má tendenci hledat zkratky, ignorovat pravidla, ignorovat fakta, opomíjet i ta nejzákladnější bezpečnostní pravidla, zjednodušovat si život apod.
Ve zkratce všechno, co z nás dělá lidské bytosti, lidi, je nebo bývá naší nevýhodou v kybernetickém světě, ve světě podvodů a útoků. Hackeři toho umí chytře využít.
Máte radu pro běžného člověka, který chce ochránit svá osobní data? Co by pro to měl dělat?
Velký důraz bych dal na to, pečlivě si rozmýšlet, jaká data, zejména osobní data, fotografie, kontakty a další osobní informace, kde sdílí a s kým. Nic cizím lidem nesdělovat po telefonu, nepotvrzovat, nepřeposílat. Když už něco sdílet, tak pouze v míře nezbytně nutné nebo po ověření, že komunikujete s tou správnou osobou.
Neexistuje nevýznamných dat. Jsou jen data, jejichž čas ještě nenastal, ale jednou nastane. Často útočník ukradenou identitu (uživatelské jméno/heslo/referenci/odkaz) použije jen jako odrazový můstek pro vstup do organizace nebo útok na jiné osoby a nepřímá škoda, která vám vznikne, může být mnohem horší než ta přímá.
Obecně základem je obezřetnost, zdravá nedůvěra, chcete-li. Být tak nějak trochu ve střehu a uvědomovat si, co se kolem děje. Ptát se, je toto normální, co se mi stalo? Je to běžné, je to možné?
Je pravděpodobné, že jsem třikrát do týdne zdědil několik milionů po neznámém člověku nebo že si chce ode mě někdo koupit bagatelní položku na inzertním portálu a poslat si pro ni kurýra až z Anglie? Nebo že mi někdo nabídne lámanou češtinou super výhodnou investici zaštítěnou známou osobností?
Je normální a běžné, že banky při napadení účtů klientů klientům volají a a jako prostředek záchrany nabízí výběr peněz a následné vložení do Bitcoinomatu? Já myslím, že ne.
Částečně mohou pomoci základní nástroje a počítačová hygiena jako například používání aktualizovaného softwaru, hardwaru (upgrade firmwaru), nejnovějších verzí aplikací, operačních systémů, internetových prohlížečů, antivir/antimalware systémů a zálohování dat (a to i na mobilních zařízeních). Ale klíčovou roli v tom všem má zas jen a jen člověk.
Důležité je jednat v klidu, nepanikařit, vzít si čas věci si rozmyslet, nedělat nic podle pokynu neznámých lidí. Když se mi něco nezdá, tak to přerušit, nepokračovat v tom. Vystoupit. Přestat. Přestat odepisovat, reagovat, odejít z podezřelé stránky, vypnout hovor. Cokoliv, jen ne pokračovat s tím, že to nějak dopadne.
Veškerý obsah v užitečném formátu. Rozhovory, články, life hacky a tipy ze světa businessu i korporátů na našem LinkedIn profilu.
Pojďte se připojit!
Jak moc riskují podnikatelé, kteří neřeší bezpečnost firemních dat?
Obecně lze říci, že podnikatelé, kteří neřeší bezpečnost firemních dat, riskují spoustu nepříjemných věcí. Například pokutu od regulátora, extra náklady na obnovu provozu, extra náklady na kompenzace zákazníků/klientů, ztrátu know-how (průmyslová špionáž), ztrátu konkurenceschopnosti nebo ztrátu důvěry zákazníků a partnerů (reputace).
Závažnost skutečných dopadů záleží na vícero faktorech, jako jsou povaha odvětví, typ a velikost podniku, typu útoku a možnosti návratu do normálního provozu. Třeba u kryptoburz bylo donedávna poměrně běžné, že úspěšný útok se rovnal odčerpání značné části finančních prostředků, a v některých případech byl pro burzu zcela fatální (viz kauza Cryptopia).
A co by měly firmy udělat, aby svá data lépe ochránily?
Když to hodně zjednoduším tak je to v podstatě snadné. Stačí dodržovat několik základních pravidel:
- vědět, kdo jsou moji uživatelé a mít seznam aktiv používaných ve společnosti
- používat moderní, aktuální (myšleno neustále aktualizované) aplikace a systémy
- preferovat bezpečné systémy (systémy, které s bezpečností již počítají)
- používané systémy zabezpečit dle zásad nejlepší praxe (zjednodušeně řídit přístup do organizace [zvenku i zevnitř], řídit uživatelská práva, šifrovat data při přenosu, při uložení, data zálohovat)
- mít někoho, kdo se o bezpečnost stará každý den, maximálně automatizovat a šetřit lidskou práci na smysluplné činnosti
- používat základní ochranný SW z kategorií EDR/XDR, IDM, SIEM, PAM a DLP
- testovat a vylepšovat svoji provozní a bezpečnostní odolnost
Pokud to není tajné, můžete se s námi podělit o zajímavý příklad z praxe?
Těžko se mi vybírá jen jeden příklad. Moje praxe je plná zajímavých příkladů. Některé jsem zažil napřímo, některé mám zprostředkované nebo jsem se s nimi setkal až v následných fázích, při řešení následků a zavádění nápravných opatření.
Jednalo se například o situace, kdy zaměstnanec ukradl data o zákaznících, která se následně pokusil zpeněžit u konkurence, nebo se zaměstnance pokusil ukrást / částečně ukradl data, která chtěl použít pro svoje vlastní podnikání.
Setkal jsem se s případy okradených klientů, viz scénáře a situace nastíněné v odpovědi na předchozí otázku (dlužno říct, že často klienti zcela ignorovali všechna bezpečnostní opatření a doporučení).
Setkal jsem se také s přímými útoky na organizace, ve kterých jsem pracoval. Jednalo se například o snahu o průnik skrze zranitelnosti, DoS útoky na vybrané aplikace, DDoS útoky (útok na dostupnost služby), útoky na známé zranitelnosti (např. log4j), snahu o rozšíření ransomwaru, phishingové útoky včetně spear-phishingu (cíleného phishingu na konkrétní osoby).
Na závěr, máte nějakou zajímavou myšlenku, kterou byste s námi chtěl sdílet?
Chtěl bych poprosit všechny, aby byli maximálně opatrní a popřát, ať se jim problémy v oblasti soukromí, kybernetické bezpečnosti a ochrany dat vyhnou a nikdy je nemusí řešit.
