Hybridní práce, v rámci níž zaměstnanci pracují a komunikují z domova, a rapidní růst využívání cloudu. To jsou dva zásadní aspekty, které mění svět kyberbezpečnosti, a trendy, jimž se musí přizpůsobit firmy, aby mohly dál bezpečně růst a rozvíjet svůj byznys. Dlouhodobě jim s tím pomáhá společnost Cisco, která chce v rámci konference Cisco Day ukázat, proč pomyslné hrady patří v zabezpečení firem do středověku a je čas na generačně nový přístup k ochraně všech aplikací a systémů.

Konference Cisco Day se koná v úterý 13. června v pražském Clarion Congress Hotelu a představí nejnovější trendy ve firemní bezpečnosti, která se v dnešním dynamickém prostředí neustále vyvíjí. „Je potřeba změnit přístup k zabezpečení firem a organizací. Díky tomu, že aplikace a jejich data jsou rozprostřeny po různorodých privátních i veřejných cloudech, a zároveň k nim uživatelé přistupují dnes takřka odkudkoliv, již nestačí chránit organizaci jako hrad pomocí ochranného valu – firewallu – na vstupu. Je nutné změnit celou bezpečnostní architekturu a s tím i myšlení manažerů, administrátorů i koncových uživatelů,“ vysvětluje technický ředitel Cisca Pavel Křižanovský.

Důležitou součástí proměny je z pohledu Cisca nový model IT architektury zvaný SASE. Pod touto zkratkou se ukrývá Secure Access Service Edge, což reprezentuje zabezpečení připojení a zároveň posunutí bezpečnostního perimetru blíž k uživateli. Na pražské konferenci vystoupí například zástupci velkých obchodních řetězců či výrobních technologických firem a představí, jak nové kyberbezpečnostní přístupy implementovali do praxe a na co si při tom dávat pozor.

Zaregistrovat se konferenci Cisco Day je možné zdarma přímo na webu akce a experti společnosti Cisco v rozhovoru níže vysvětlují, o čem bude řeč a proč by firmy měly kyberbezpečnost brát vážně. Odpovídají technický ředitel Pavel Křižanovský a bezpečnostní expert Milan Habrcetl.

Říkáte, že hybridní práce a cloud proměňují kyberbezpečnost a sítě kolem nás, a tak je čas na generačně nový přístup k ochraně všech vašich aplikací. O čem je přesně řeč?
Do tradičního modelu zabezpečení firmy zásadně promlouvají dva významné trendy posledních let:

1. Model hybridní práce, v němž zaměstnanci pracují a komunikují z domova, na cestách a podobně, vyžaduje, aby pro svoji práci měli zajištěné stejné podmínky, jako kdyby seděli v kancelářích. To znamená, aby měli rychlý přístup k firemním zdrojům, datům a aplikacím.
2. Rapidně vzrostlo využívání cloudů, kde fungují nejen firemní aplikace, ale cloudově je založena i řada služeb software as a service (SaaS), jako například Office 365, Salesforce a další.

V této situaci není účelné – a především kapacitně možné – směrovat veškerý provoz přes nějaký centrální firemní firewall. Je nutné koncipovat bezpečnost tak, aby byla chráněna zařízení všech zaměstnanců (bez ohledu, kde se nacházejí), firemní zařízení a zároveň všechny komunikační linky mezi firmou, zaměstnanci, cloudy.

My tomu s trochou nadsázky říkáme, že musíme zabezpečit firmu v situaci, kdy „všichni“ komunikují „odkudkoliv“ a „kamkoliv“. Jinými slovy zásadně se mění topologie datových toků a tomu je třeba uzpůsobit architekturu sítě a rozmístění bezpečnostních funkcí.

Pro Cisco je aktuálně velké téma SASE (Secure Access Service Edge) – můžete vysvětlit, co je to za přístup a jak ho využíváte?
SASE představuje relativně nový model IT architektury, který kombinuje zabezpečení a WAN sítě do jedné škálovatelné platformy poskytující bezpečný přístup jak k veřejnému cloudu, tak k místním firemním aplikacím a datům. SASE představuje cestu, jak zapomenout na rozpory mezi „síťaři“ a „bezpečáky“ ve firmě, protože sjednocuje bezpečnostní a síťová řešení do jedné cloudové služby.

Zajišťuje bezproblémové a bezpečné připojení každého uživatele ke každému cloudu. Sníží provozní náklady, zlepší flexibilitu a výkon sítě a přesune bezpečnost blíž uživatelům. Zabezpečení tak na své cestě následuje lidi a data. Dva základní aspekty konceptu SASE jsou vlastně obsaženy již v jeho názvu: Secure Access reprezentuje zabezpečení připojení, Service Edge pak posunutí bezpečnostního perimetru blíž k uživateli.

Jsou na takový přístup firmy připraveny?
SASE nepředstavuje unifikovanou „krabičku“ identickou pro každou společnost a každou situaci. Naopak. Každá firma je jedinečná, a proto ani neexistuje ten jediný správný způsob, jak nasadit SASE. V řadě případů lze například částečně využít již zavedenou infrastrukturu. Z průzkumů Cisco vyplývá, že celosvětově zhruba 17 % firem nemá v infrastruktuře žádné komponenty potřebné k nasazení SASE.

Další zákazníci ale již mohou využít například prvky SD WAN nebo cloudové bezpečnosti. Celou SASE architekturu tak lze kompletovat postupně a do systému přidávat další a další prvky. Půvab SASE tedy spočívá v tom, že jde o skladbu různých služeb, které si může zákazník postupně nastavit a spouštět. Využívá je jako cloudovou službu a nemusí tedy investovat do žádného hardwaru.

Důležité je se též zamyslet se nad mírou integrace plánovaného SASE řešení. Firmy a organizace mají dnes často desítky různých bezpečnostních nástrojů a řešení, což činí celé prostředí natolik komplexní, že je takřka nespravovatelné. I proto Gartner dle své studie z podzimu 2022 předpokládá, že do roku 2025 bude zhruba 2/3 firem a organizací svá SASE řešení konsolidovat na jednoho, maximálně dva SASE dodavatele.

Jak je v celé věci důležitá legislativa a jak je na tuto dobu připravena?
V České republice tuto oblast upravuje především zákon o kybernetické bezpečnosti a vyhláška o kybernetické bezpečnosti. V jejich rámci se řeší především zabezpečení u firem, které souhrnně můžeme zahrnout pod kolonku kritická infrastruktura. Jedna se o zhruba 400 subjektů, mezi nimiž najdeme třeba finanční instituce nebo ČEZ a další klíčové firmy. I Česká republika ale bude nejpozději v příštím roce do svých zákonů implementovat evropskou kyberbezpečnostní normu NIS2, která počet dotčených subjektů podstatně rozšiřuje.

Jedná se o zásadní změnu přístupu k bezpečnosti. Zatímco dříve se řešily jen firmy, u nichž mohou mít narušení bezpečnosti významné dopady na ekonomiku, nynější pojetí staví na tom, že bezpečností by se měl zabývat skutečně každý. Norma podstatně rozšiřuje počet dotčených subjektů a zavádí také významné sankce za nedodržování. Můžeme v ní spatřovat i reakci na měnící se kyberbezpečnostní svět. Kyberzločin se stal průmyslovým odvětvím, které je s rozvojem technologií schopné zaměřovat se i na menší cíle.

Koho se bude nová směrnice týkat?
Směrnice se vztahuje na podniky od střední velikosti (50 zaměstnanců, 10 milionů eur roční obrat) ve vybraných oborech. Definuje přitom dvě skupiny podniků, pro něž platí dvě různé úrovně povinností. V kategorii takzvaných „nezbytných“ (essential) jsou například energetické firmy, zdravotnická zařízení, vodohospodářské společnosti nebo podniky z oblasti digitální infrastruktury. Do segmentu takzvaně „důležitých“ (important) se pak řadí třeba poštovní a kurýrní služby, nakládání s odpady nebo potravinářské firmy.

Dotčené firmy budou mít řadu nových povinností, například provést analýzu bezpečnostních rizik, vytvořit bezpečnostní týmy a zpracovat bezpečnostní politiku. Povinné bude také podávat NÚKIB hlášení o incidentech. Pak jsou tu aspekty technologické, jako třeba vícefaktorová autentizace nebo ochrana vzdálených zařízení. A konečně je tu otázka personální. Podniky z kategorie „nezbytných“ by třeba měly mít manažera kybernetické bezpečnosti. Odhadujeme, že povinnosti vyplývající z NIS2 se budou vztahovat na zhruba šest tisíc českých firem.

Platí, že se neustále otevírají nové cesty k sofistikovanějším a masivnějším bezpečnostním hrozbám? Na co by si měly dát firmy největší pozor?
Ano, platí, a to již z podstaty měnící se komunikace, využívání internetu, možnostech připojení kdekoliv a také s rostoucím využitím mobilů, aplikací a dnes i cloudových prostředí. Když se podíváte například na platformy v oblasti sociálních médií jako Facebook, Twitter, Instagram a další nebo na nabídku streamovacích služeb či e-commerce, to vše jsou prostředí, která mohou útočníci využívat – a rádi je využívají.

Tím, že je svět stále propojenější a počet připojení do internetu a konzumace aplikací neustále roste, tím se stávají případné útoky masivnějšími. A nač by se měly firmy dát pozor? Především na jasné definování bezpečnostních pravidel, ověřování uživatelů nejlépe vícefaktorově a kontinuálně, ověřování zařízení a jejich „zdraví“ – také kontinuálně, vynucovat bezpečnostní pravidla v závislosti na to kdo, jak a kam se připojuje a jaké zdroje konzumuje.

Řeší firmy po celém světě stejné problémy, nebo je třeba něco specifického jen pro Česko?
Bezpečnostní problémy jsou ve své podstatě stejné všude na světě, což je dáno propojeným prostředím, ve kterém se pohybujeme. Z hlediska České republiky je třeba zmínit, že v souvislosti s podporou Ukrajiny výrazně vzrostl počet útoků na prostředí českých firem.

K otázkám bezpečnosti v Česku stále někdy panuje trochu laxní a konzervativní přístup. Bezpečnost bývá považována za nákladovou položku, bez vazby na obchodní aktivity firmy. A často se bezpečnostní aspekty důkladně řeší až ve chvíli, kdy vlivem napadení dojde ke ztrátě nebo zneužití firemních dat.

Vaše konference je rozdělena na byznysovou a technickou část. Jak je důležité, aby spolu byznysové divize a technické divize ve firmách při řešení bezpečnosti spolupracovaly?
My to považujeme za klíčové, protože bezpečnost dnes nepředstavuje jen nějakou třešničkou na dortu. Naopak tvoří integrální součást výrobních či obchodních aktivit jakékoliv firmy. Vezměte si jen, v jaké míře využívají koncoví spotřebitelé nejrůznější firemní aplikace a kolik přes tyto kanály teče dat.

Bezpečnostní incidenty narušující chod aplikací mají bezprostřední vliv na spokojenost zákazníků. A incidenty spojené se zneužitím, nebo dokonce ztrátou osobních dat pak ovlivňují dobrou pověst. Podle našeho průzkumu Security Outcomes Report mělo v uplynulých dvou letech bezpečnostní incident 60 % firem. A u 40 % z nich to mělo za důsledek trvalé poškození pověsti značky. Takže ochrana firemní pověsti je určitě silným motivem. K tomu připočítejte ochranu know-how či citlivých obchodních informací.