11. října 2022 se v Cubex Centru Praha konala konference ARROW FORUM, jejímiž hlavními tématy byly kybernetická bezpečnost a cloud. Zeptali jsme se, jak je to vlastně s tou „kyberbezpečností a cloudem“. Na dotazy odpovídali Milan Bartek a Radek Čelůstka z Arrow ECS pro Českou a Slovenskou republiku.
Petr Smolník: V předchozím rozhovoru a také na konferenci se prolínaly otázky a témata o kybernetické bezpečnosti, ale také o cloudu. Jak je to tedy s tím cloudem? Je opravdu bezpečný?
Milan Bartek: Veškerými otázkami, které na konferenci zazněly, se prolínal cloud a kybernetická bezpečnost. A my se s nimi stále setkáváme nejenom u našich partnerů, ale i u zákazníků, kteří se s touto obavou potýkají v různých formách – jestli je pro ně cloud, cloud třetích stran, nebo jakýkoliv jiný cloud, bezpečný.
Nejenom Microsoft nebo Oracle, ale většina vendorů, kteří se na konferenci Arrow Forum prezentovali, hovořili o bezpečnosti. Kupodivu i firmy, které jako bezpečnostní na našem trhu nejsou obecně vnímané.
Někdy mám pocit, že bezpečnost je spíše taková výmluva. Lidé nechtějí změny a cloud velkou změnou je, a tak hledají důvody, proč jej nezvolit. Důvody jsou v podstatě z naší zkušenosti dva: zaprvé je to drahé a druhým důvodem je právě obava z pohledu bezpečnosti.
My se snažíme jak partnerům, resellerům, tak i koncovým zákazníkům ukazovat, že tyto jejich obavy jsou liché, a přechod do cloudu je bezpečný. A nejenom přechod, ale i provozování IT v cloudu je bezpečné a není to drahé.
Na zabezpečení se můžeme dívat tak, že se budeme bránit proti nějakému útoku, a to je řekněme krok A, ale krok B je i to, že když mě někdo napadne, tak musím být připraven na to, že data mám na nějakém bezpečném místě ochráněná a také kvalitně zálohovaná, takže když už mě někdo napadne, budu schopen velice rychle z této zálohy obnovit provoz.
To, co se stalo u některých organizací v poslední době, kdy výpadky jejich služeb po kyberútoku byly dlouhotrvající, je důkazem, že tuto oblast zabezpečení, řekněme zálohování nebo disaster recovery, má klient ve své infrastruktuře jako slabé místo a měl by se na ni zaměřit a posílit ji. Na tuto oblast by měl z hlediska zabezpečení IT a IT strategie v rámci společnosti pohlížet ne pouze jako na nějakou ochranu před útokem, ale i na to, co se stane po útoku, až bude organizace nějakým způsobem napadena a bude muset následně obnovit provoz.
Petr Smolník: Množství společností na našem trhu má vždy otázku, kolik je vlastně bude ta „kyberbezpečnost stát a kolik do ní mají investovat“. I ty firmy, které mají nějak své systémy zabezpečené, se staly terčem útoku a byly pak paralyzovány z pohledu funkčnosti celé společnosti. Je zde rozdíl, jestli má firma infrastrukturu klasickou nebo cloudovou?
Radek Čelůstka: Bez ohledu na to, jestli se jedná o cloud nebo standardní infrastrukturu, je kyberbezpečnost ve společnostech víceúrovňový problém. První úrovní je, jak moc si dokážou IT lidé v dané firmě obhájit investice do oblasti zabezpečení. Další úrovní je samotná znalost technologií a čas na přípravu nasazení bezpečnostních technologií. A v neposlední řadě, jak si pravidelně prověřují svojí infrastrukturu, jak je odolná na známé i neznámé vektory útoků. Důležitým faktorem jsou také pravidelné, plánované investice do dalších rozšiřujících technologií. To je totiž přesně to, co jsem popsal v minulém rozhovoru. Jsou tady technologie, které se v čase vyvíjí, a já jim musím být schopen porozumět a pravidelně je doplňovat. Nejde jednoduše říci, investuji jednorázově a situace je vyřešena.
Oblasti znalostí technologií věnuje Arrow ECS ve svém edukačním středisku významný prostor a pozornost, nabízí certifikované i necertifikované školení a workshopy, aby správci technologie dokázali využívat na maximum a zároveň měli představu o možném rozvoji do budoucna.
Milan Bartek: Jedna z věcí je technologie a znalost těchto lidí, a druhou je nastavení nějakých vnitřních procesů, pravidel a strategie, kterou se firma ubírá. Všichni naši partneři jsou schopni kvalifikovaně pomoci takovým společnostem, které potřebují pomoci v oblasti nastavení a také provozování bezpečné infrastruktury. Je tady spíše otázka, zda jsou tyto organizace schopny a ochotny za takové služby zaplatit.
To je v podstatě jako s pojištěním. Také na našich silnicích jezdí některé automobily bez pojištění a ti, kterým se ještě nestala žádná nehoda, si říkají, že se jim nemůže nic stát. Ale pouze do první autohavárie.
Většina lidí v Česku si pořídí svůj první zámek na kolo, až když jim to kolo někdo ukradne.
Radek Čelůstka: Dostupnost kvalifikovaných lidí na trhu – stále více rezonující téma. U koncových zákazníků, ale zároveň i u našich partnerů. Nejen v ČR, ale celosvětově chybí kvalifikovaní IT odborníci. A tak je běžné, že velmi málo firem má adekvátní IT tým, který by potřebovaly k provozování svojí infrastruktury. Z naší zkušenosti vidíme, že jeden administrátor má velmi široké portfolio služeb v rámci organizace – od zabezpečení desktopů, výměny cartridge v tiskárně, aktualizace serverů a celou řadu dalších pracovních povinností.
V dnešním světě platí, IT bezpečnost je samostatná disciplína, která potřebuje specializaci. A pokud tuto specializaci ve firmě nemáte, tak nejste vlastně schopen připravit sebelepší bezpečnostní systémy na kybernetický útok, natož reagovat na stresovou situaci, kdy je organizace pod útokem.
Milan Bartek: Ano, IT odborníci na trhu chybí, a hned tak se to nezmění. Proto je směr poskytování IT jako služby aktuálním celosvětovým trendem. Ale dnes je již nutností začít ve větší míře používat cloudové služby i proto, že IT lidé u koncových zákazníků opravdu nemohou být specialisté na všechno.
Takže pokud si firmy na trhu najdou nějakého „spolehlivého servis providera“, který má ve svém týmu odborníky, a může tak, hlavně díky znalosti a využívání nových cloudových technologií, poskytovat zabezpečení firem formou služby více klientům, může mít více firem kvalitnější ochranu, bez nutnosti mít mnoho vlastních IT specialistů.
V dnešní době vnímáme, že v cloudových technologiích a poskytování těchto služeb je stále větší potenciál. A díky sdílení sil mnoha IT odborníků je možnost zabezpečení pro firmy daleko větší, než když si budou svou IT infrastrukturu a její bezpečnost zajišťovat vlastními silami.
To, že je a bude cloud každým dnem větší součástí našeho běžného života, je neoddiskutovatelným faktem. Ale to, jak se postavíme k zabezpečení těchto technologií, závisí na každém z nás. My v Arrow ECS našim klientům, nebo skrze naše partnery, pomáháme jak pravidelnou edukací, tak i odbornou pomocí našich specialistů na kyberbezpečnost a cloud.