Před mikrofonem: Kyberbezpečnost na NÚKIBu a v AI platformách
- Datum: 15.05.2024
- Autor: František Nonnemann
Martin Konečný, dříve NÚKIB, pak zakladatel platformy GUARDIANS.cz, autor a lektor v oblasti kybernetické bezpečnosti, o aktuálních trendech a "NIS2 fantomech".
Martine, mezi lety 2014 – 2018 jste působil na Národním bezpečnostním úřadu a podílel se na vytvoření nové, samostatné instituce, Národního úřadu pro kybernetickou a informační bezpečnost. Jak toto vyčlenění NÚKIB probíhalo v praxi? Co všechno bylo potřeba zajistit, aby jednak plynule pokračovaly dosavadní agendy, a zároveň bylo nastartována fungování nového úřadu?
Martin Konečný (GUARDIANS.cz): Na samotném vyčlenění tehdejšího Národního centra kybernetické bezpečnosti (NCKB) z NBÚ do NÚKIB jsem se přímo nepodílel. Byl jsem součástí jednoho z hlavních “businessů” úřadu a měl jsem na starosti tým Regulace, auditu a podpory, což byl tým odpovědný za praktické dopady regulace na povinné subjekty, poskytování podpory regulovaným subjektům a provádění kyberbezpečnostních auditů a kontrol. Prakticky jsme museli zajistit plynulé poskytování dosavadní agendy s tím rozdílem, že se nám postupně měnili poskytovatelé podpůrných agend (např. ICT, personální, právní oddělení atp.). Na druhou stranu, po strategické stránce bylo samozřejmě potřeba spolupracovat, a tak jsem se se svým týmem podílel na přípravě plánů a strategie pro rozvoj úřadu z hlediska agend, které měl můj tým na starosti.
Jak jste se vůbec k tématu kybernetické a informační bezpečnosti dostal a co vás v roce 2014 dovedlo na NBÚ?
Martin Konečný (GUARDIANS.cz): Už od 8. třídy základní školy, možná i dřív, jsem se věnoval “hraní si” se stavbou a “správou” PC. Prázdniny jsem pravidelně trávil na brigádě v ICT firmě nedaleko svého bydliště, a tak nějak jsem se postupně do ICT oboru dostával víc a víc. Tenkrát ta cesta byla od správy ICT, k webům, později k programování. Na střední škole jsem si udělal drobnou odbočku, studoval jsem strojní průmyslovku se zaměřením na programování CNC strojů, ale na vysokou jsem se dal na cestu ICT managementu. Při vysoké škole jsem začal podnikat, zabýval jsem se poskytováním ICT služeb, to byla skvělá zkušenost, neboť mi praktické zkušenosti usnadňovaly studium. Ale později jsem se viděl někde jinde a táhlo mě to více od “provozního” ICT a vývoje k bezpečnosti. Rozhodl jsem se své tehdejší zákazníky předat kolegům z jiných firem z okolí a zkusit štěstí na NBÚ.
Do tehdejšího NCKB jsem tenkrát nastupoval v době, kdy už byl platný kybernetický zákon a zahájen legislativní proces u vyhlášky o kybernetické bezpečnosti a vyhlášky o významných informačních systémech. Můj úkol byl poskytovat metodickou podporu v oblasti plnění bezpečnostních opatření. Byla to pro mě opravdu nezapomenutelná zkušenost, ať už z hlediska kontrastu v porovnání komerčního a veřejného sektoru, z hlediska výborného kolektivu, který se nám podařilo vybudovat, z hlediska získání nových znalostí, příležitostí a zkušeností a v neposlední řadě také kvůli skvělému leadershipu.
Už souběžně s působením na NÚKIB jste fungoval i jako nezávislý ICT konzultant. Před 2 lety jste pak založil společnost Guardians.cz, která sdružuje nezávislé profesionály věnující se právě kybernetické a informační bezpečnosti. Jakým směrem, ať už tematicky nebo sektorově, se vaše společnost zaměřuje?
Martin Konečný (GUARDIANS.cz): Nejsem úplně typ člověka, který by za sebou pálil mosty. Proto jsem byl velmi vděčný za to, že mi bylo umožněno ponechat si aktivní dosavadní živnost, a já tak mohl svým bývalým zákazníkům postupně pomáhat s transferem mých služeb na jiné dodavatele, případně se o ně ještě částečně “starat”. Vzhledem k povaze práce v NCKB jsem se nemusel bát jakéhokoliv střetu zájmů, neboť to nebylo v případě mých tehdejších zákazníků relevantní (byly to spíše malé firmy z mého okolí). Zároveň jsem se ale začal ve volném čase věnovat i poradenství v oblasti informační a kybernetické bezpečnosti (tehdy to bylo pro ne-regulované společnosti) a poskytování školení. To byl benefit jak pro mě, tak i pro mého tehdejšího zaměstnavatele – já si mohl přilepšit ke svému platu úředníka a získat trochu jiné zkušenosti a pohledy z jiných firem a mohl jsem tyto poznatky uplatňovat i ve svém zaměstnání ve státní správě. Díky tomu jsem nepřišel o praktické zkušenosti, což se dle mého názoru někdy děje.
Po cca pěti letech ve státní správě jsem se vydal zpět do komerčního sektoru. Po několika letech jsem se rozhodl vydat zcela vlastní cestou. Založil jsem Guardians.cz, ve kterých se z hlediska služeb zaměřujeme spíše na “information/cyber security governance & management” a to bez ohledu na sektor. Tedy s jediným rozdílem – a to tím, že necílíme na státní správu, ale soustřeďujeme se na komerční sféru. Poskytujeme primárně služby související s podporou firem v oblasti:
Zákona o kybernetické bezpečnosti (zejm. poskytování služeb manažera kybernetické bezpečnosti s poněkud unikátním přístupem)
ISMS (požadavky podle standardů řady ISO/IEC 27k)
Nově i bezpečností AI a low-code/no-code platforem
Výše jsou uvedeny naše hlavní služby, samozřejmě je s tím ale spojena řada drobných služeb, jako jsou školení, bezpečnostní analýzy, podpora při výběru nových bezpečnostních technologií atp. Přes to všechno se snažíme držet své odbornosti a tam, kde naše odbornost končí, spolupracujeme s řadou partnerů – od právníků, penetračních testerů, technologických vendorů atp.
Začínáte nabízet i služby týkající se kybernetické bezpečnosti u tzv. low- code/no-code a AI platforem. Můžete stručně vysvětlit, oč se jedná?
Martin Konečný (GUARDIANS.cz): Zatímco několik let zpátky, když firmy potřebovaly nějakou drobnou aplikaci, např. pro správu zákazníků, zakázkových listů, ale i integrační platformy k propojení různých systémů, musely si pořídit speciální systémy, nebo zaplatit zakázkový vývoj. V dnešní době má většina aplikací dostupná API rozhraní a firmy tak mohou pomocí API a tzv. low-code a no-code platforem, skoro bez nutné znalosti programovat, propojovat aplikace za účelem získání chybějících funkcí. Cílem je nejčastěji získání nové funkcionality, automatizace opakujících se procesů, dosažení vyšší produktivity, snížení chybovosti atp.
Využití v podstatě záleží na potřebách každé organizace, ale také na kreativitě. Dnes si i malá firma může snadno automatizovat svůj specifický prodejní proces tak, že propojí webový registrační formulář s fakturačním systémem a e-mailem, zákazníkovi e-mailem automaticky posílá zakázkové listy, proforma faktury, sleduje pohyby v bance, a v momentě, kdy zákazník uhradí proforma fakturu, propíše stav k fakturaci a zákazníkovi zajistí odeslání zboží nebo zakoupeného digitálního obsahu s daňovým dokladem. Jiné využití může být při práci s různými zdroji informací a dat (PDF, excely, RSS kanály), které potřebujeme před-zpracovat pomocí AI / LLM nástrojů a provést hrubou analýzu, jako podklad k další analýze ze stran experta.
Zní to velmi zajímavě. Nehrozí ale v praxi riziko, že nadšení z efektivity přebije uvažování o bezpečnostních rizicích, které při využití těchto platforem organizaci hrozí?
Martin Konečný (GUARDIANS.cz): Přesně tak. Podle našich zkušeností se uživatelé často zaměřují jen na výstupy a požadované funkce a zabývají se pouze otázkou, zda automatizace, kterou si naklikali v no-code platformě funguje. Málokdy řeší, jak je to bezpečné. Přitom ale mnohdy používají jeden účet “na všechno”, bez zapnuté vícefaktorové autentizace (např. shodný účet k firemnímu e-mailu i k no-code platformě). V no-code platformě si pak nastaví spojení přes API do e-mailu, do banky, do sdíleného úložiště, do fakturačního systému, do chatGPT účtu, do CRM atd.) Pro útočníky jsou pak účty do low-code / no-code platforem bez zapnuté MFA snadný cíl. V momentě, kdy se útočník dostane k platformě, snadno si nakliká proces, který např. vytáhne data z propojených systémů, nebo zneužije funkční propojení na e-mail uživatele, a aniž by si toho uživatel všiml, využívá platformu k útokům založených na principu BEC (business e-mail compromise).
Mnoho uživatelů a firem si neuvědomuje rozdíly v tom, že nástroje, které jsou zdarma, často neumožňují řadu bezpečnostních funkcí, někdy ani MFA, častěji jsou to ale funkce volby data regionů, SSO integrace, ukládání logů atp. Využití takových nástrojů nás může, mimo jiné, vystavit riziku porušení GDPR a jiných regulací.
K efektivnímu posuzování těchto rizik je vždy nutné znát celý kontext - detailní business proces, technologie (API, SaaS) a jejich zranitelnosti, data a jejich objem která jsou zpracovávaná prostřednictvím low-code / no-code a AI nástrojů atp.
Klientům nabízíte i pomoc s přípravou na certifikaci jejich systému řízení kybernetické bezpečnosti (SOC 2, ISO/IEC 27001). Je o tyto služby zájem a kde a pro koho vidíte přínos této certifikace v praxi?
Martin Konečný (GUARDIANS.cz): Specifickou skupinou našich zákazníků jsou například firmy, které potřebují být zapsány v katalogu eGovernment cloudu. Po některých z nich, v závislosti na bezpečnostní úrovni poskytovaných služeb, jsou vyžadovány právě SOC 2 reporty a ISMS certifikace, infrastrukturní penetrační testy atd.
Pro certifikaci se zpravidla firmy rozhodují, aby mohly prokázat shodu s pravidly, podle kterých se certifikuje, obchodním partnerům. Aby získaly potenciální nové obchodní partnery a aby nepřišly o stávající zákazníky nebo obchodní partnery. V dnešní době bývá často ve smlouvách s dodavateli požadováno, že dodavatel musí mít certifikaci podle ISO/IEC 27001, nebo obdobnou. Pakliže požadovanou certifikaci nemá, musí se například podrobovat pravidelným zákaznickým auditům ze strany obchodního partnera. Na mezinárodním poli bývá často, kromě ISMS, požadován SOC 2 Type II report, nebo dle typu kontraktu a druhu obchodního partnera i specifické standardy (např. bezpečnostní standardy pro karetní transakce PCI-DSS).
Přínos certifikace vidím minimálně dvojí:
Certifikovaným to přinese zvýšení konkurenceschopnosti a pokud je samotné certifikované ISMS implementováno správně, tak primárně systematičnost v řízení a zabezpečování informací potřebných pro existenci a fungování samotného businessu.
Obchodním partnerům to pak přináší jakousi formu záruky, že daný dodavatel splňuje normou stanovené požadavky na řízení bezpečnosti informací.
K tomu bych však rád zmínil důležitou věc: Požadavek na ucelený systém ochrany informací (ISMS) je dnes, z mého pohledu, minimum. V praxi jsem se nejednou setkal s případem, kdy dvě srovnatelné firmy měly certifikované ISMS, ale praktická úroveň zajišťování informační bezpečnosti byla v každé z firem naprosto odlišná. Jedna z nich by s největší pravděpodobností zvládla kybernetický útok s nízkým dopadem, druhou by to “položilo”. To samozřejmě tak trochu degraduje celý princip ISMS certifikací.
Otázkou tedy je – můžeme se u řízení bezpečnosti u dodavatelů spokojit jen s ISMS certifikací? K řízení bezpečnosti u dodavatelů je proto nutné přistupovat komplexněji (pravidelný monitoring dodavatelů, pravidelné testování, CTI atp.). Bohužel, s nedostatkem kompetencí a zdrojů toto často sklouzává k “papírové” záležitosti a dotazníkům, které dodavatelé vyplní a obchodní partneři na své straně jen založí pro účely “compliance”. Pokud bych měl něco firmám v oblasti ISMS poradit, tak by to bylo, aby k ISMS požadavkům přistupovaly smysluplně, aby se soustředily na praktickou aplikaci požadavků, tedy na to, aby ISMS prakticky přispívalo k efektivnímu řízení bezpečnosti a až poté na “papíry”, ale to by bylo ještě na dlouhé povídání.
Pokračování rozhovoru naleznete na gdpr.cz.