EN
ZPĚTČasto se mluví o úniku dat nějaké nadnárodní korporace a očekává se, že v příštím roce budou mít kyberútoky na svědomí ztrátu asi 6 trilionů dolarů. Jaká je ale šance, že někdo zaútočí na běžnou tuzemskou firmu?
Z našich dat vyplývá, že běžná firma zaznamená několik útoků měsíčně. Samozřejmě, že ne všechny jsou stejně závažné a některé nepřinášejí bezprostřední škodu, ale určité riziko představují. Nejde jen o to, že vám může zpomalit síť nebo spadnout firemní aplikace. Pokud nemáte zabezpečená data, může k nim získat přístup někdo cizí. V horších případech útočník zašifruje data a bude chtít výkupné za jejich obnovu. Můžeme se bavit o různých způsobech obrany, ale je fascinující, kolik firem nevyužívá ani základní možnosti zabezpečení. Přitom 43 % útoků cílí právě na menší firmy, protože jsou zranitelnější.
Čeho se v IT bojíme nejvíc? A je ten strach opodstatněný?
Strach je právě to, čemu se snažím v praxi vyhnout a nezabývat se tím. Subjektivní obavy lidí totiž málokdy odrážejí skutečnou míru rizika. Většina lidí se obává pádu letadla, přitom je mnohem pravděpodobnější, že je srazí auto. Úplně nejpravděpodobněji ale podlehnou nějaké civilizační chorobě, protože třeba bydlí vedle dálnice a dýchají celý život zplodiny. Já se snažím jít od těch nejobvyklejších příčin problémů a atomovou válku řešit až na konec.
Jaká jsou tedy nejčastější slabá místa?
Nejčastější příčina problémů je lidský faktor, a to často i mimo IT oddělení. Třeba, že někdo klikne na cílený spear-phisingový mail, který vypadá důvěryhodněji než klasický spam. Další problém představuje správa hesel a jejich ukládání do prohlížečů. Často také narážím na to, že si firmy ponechávají původní nastavení po instalaci a využívají admin hesla od výrobce. Nebo nemají žádné zálohy a plány obnovy, takže když jim shoří server, přijdou o všechno.
Správnými postupy a nastavením ale můžete problémům v obou případech předcházet. Prevence je mnohem levnější než hašení požárů, jen v ideálním případě není vidět. A to je právě ten problém. Čím lépe my pracujeme, tím méně se toho u zákazníka děje a tím méně toho musí „mít“. Jenomže lidé raději utrácejí za něco hmatatelného. Zákazník si raději koupí novou krabici a zanedlouho třeba i další, než aby investoval pětinu těch peněz do správného nastavení a proškolení. Samotná krabice mu ale nepomůže, když ji neumí využít, nebo nemá čas to řešit.
Preferuješ nějaká konkrétní řešení? Linux nebo Windows? Cloud nebo vlastní server?
Bez zohlednění všech důležitých okolností, určitě ne. Setkávám se s tím často a říkám tomu technologické náboženství. Tvrdohlavý přístup, že jedině tohle je správně, nebo že nějaká univerzální poučka zaručí optimální fungování. Žádné ideální řešení ale neexistuje. Často se za tím schovává jen nedostatek informací nebo zkušeností s něčím jiným. Rozhodně nemá smysl na někoho tlačit, že by měl přejít na to a to, protože se mi to zrovna líbí. Snažím se respektovat, co klient aktuálně má k dispozici a soustředit se na to, aby s tím dobře pracoval. Zase je to stejný princip – nevyhazovat peníze za zbytečná zařízení, pokud k tomu není opravdu dobrý důvod. Hlavně je správně nastavit, sledovat a dodržovat bezpečnostní postupy. Teprve pokud je tohle v pořádku, můžeme se ptát, zda je nutná vyšší kapacita, častější zálohování atd. a v takovém případě zvážit nákup další techniky.
Dobře, ale určitě existují řešení, se kterými se ti pracuje lépe, nebo která jsou spolehlivější než jiná, ne?
Pokud se budeme bavit o řešení na vlastním serveru (on premise), tak se mi dobře pracuje s virtualizační platformou Proxmox, která obsahuje podnikové funkcionality, které jsou jinak u konkurence podstatně dražší. Např. fail-over clustering, živé migrace, či podporu linuxových kontejnerů. Při posledních migracích klientů z VMWare i Hyper-V jsme vedle snížení nákladů za licence dosáhli i snížení nároků na HW, právě díky kontejnerizaci.
Pro monitoring infrastruktury klientů rád využívám systém Nagios. Ten umožňuje vytvořit si checklist klíčových služeb a prvků, díky kterému vždy vidíte, jestli je vše v pořádku, nebo máte něčemu věnovat pozornost. Pokud se objeví problém, dozvím se to ještě dříve, než se mi ozve uživatel či klient.
Vzhledem k tomu, že se u nás ve firmě stále více prosazuje DevOps přístup a sbližování vývoje aplikací s jejich provozem, snažím se na správu infrastruktury také dívat jako vývojář a u některých klientů implementuji tzv. IaC (Infrastructure as Code). Konfigurace systémů se poté ukládají ve verzovacím systému GIT, kde máte přehled o jednotlivých změnách – kdo a kdy je udělal – a můžete se vždy vrátit do předchozí (funkčního) stavu.
To znamená, že se správcům sítě postupně mění styl práce?
Spíš se rozšiřuje, aby celé IT fungovalo plynule jako jeden celek. Ale můj styl a přístup je stále stejný. Jsem prostě přesvědčený, že méně je více. Stejně jako když v Japonsku Marie Kondo uklízí a postupně vyhazuje vše, co není potřeba, můžete udělat to samé v IT, až zbyde jen to nejdůležitější. Mnohem lépe tak zajistíte bezchybnost a spolehlivost. I když přiznávám, že ne vždy se tento radikální postup setkává s nadšením klienta.
Jaký je tedy běžný proces, když od tebe někdo potřebuje zajistit infrastrukturu?
Vždy začínáme analýzou, ke které je potřeba i dokumentace. Už tady často vzniká problém, protože zjistíme, že klient třeba žádnou nemá, nebo je v neaktuálním a zanedbaném stavu. Ve firmách, kde spoléhají na malý tým nebo jednotlivce, se často stává, že ten člověk jednou odejde a odnese si s sebou v hlavě většinu znalostí firemního IT. My se snažíme tu závislost na jednom člověku snížit, což začíná právě od přípravy transparentní dokumentace. Na základě toho potom navrhneme opatření, implementujeme procesy monitoringu a zálohování, provádíme školení a jsme schopni se o vše starat, pokud má klient zájem.
A když zájem nemá a chce se o vše starat sám?
Zákazník vždy dostává kompletní checklist. Ten obsahuje všechny klíčové metriky – tedy například stáří záloh, které je možné kontrolovat v reálném čase, nebo dostupnost systému včetně doby odezvy a vytížení. Všechny parametry jsou průběžně ukládány a tvoří základ jakýchkoli dalších analýz, třeba když se zjišťuje příčina pádu aplikací, útoku a tak podobně.
Narážíš během spolupráce na nějakou legislativu, GDPR a tak podobně? Umíš s tím poradit?
Na výklad pravidel je lepší hledat právníky. My řešíme práci s daty v praxi. Umíme zjistit, kde všude se klientům válí citlivá data a důsledně je zabezpečit. Každá firma má ale úplně jiné nároky – jinak to řeší malý výrobní podnik a jinak se na to dívá třeba banka. To je zase jiná liga, bankovní útoky rostou, loni stouply o polovinu a finance jsou obecně citlivé téma.
Nechci recept na úspěch, ale máš nějaká základní doporučení, co může firma udělat pro lepší zabezpečení dat?
Úplný základ je pravidelná aktualizace systémů, monitoring a zálohování dat. Tam se vždy odráží míra rizika – o jaké množství dat jste v případě výpadku ochotni přijít. Také doporučuji určitý minimalismus a takzvaný princip nejnižších privilegií. To znamená přidělit všemu nejnižší možná oprávnění a omezit přístup k citlivým datům jen pro ty, kteří s nimi opravdu potřebují pracovat. Správně vše nastavit a proškolit zaměstnance, aby měli alespoň základní představu o riziku a bezpečnosti.
