Mnoho spoločností naráža na zle nastavené procesy v IT bezpečnosti, čím sa stávajú ľahkou korisťou pre hackerov. S odborníkom na IT bezpečnosť zo spoločnosti Solitea Petrom Gajdošechom sme sa okrem iného porozprávali aj o tom, ako tento problém čo najviac eliminovať.
Peter, v oblasti IT sa pohybujete už viac ako 26 rokov. Čím vás zlákal svet IT a ako sa podľa vás za tie roky vyvíjal?
Na začiatku kariéry som si vyskúšal rôzne oblasti, napr. IT technik pre SW aj HW. Najviac ma však chytil vývoj SW, tvorba webových stránok a neskôr informačných systémov ako webových aplikácií. Tejto oblasti sa v podstate venujem doteraz, len už aktívne neprogramujem. Svet IT ma láka neustále svojou pestrosťou – niekoľkokrát za rok si uvedomujem, že pribudli nové veci, a že sa potrebujem zase vzdelávať, aby som dokázal niekomu pomôcť v kontexte nových možností.
Napokon ste sa dostali až do Solitey, ktorá sa radí medzi najväčšie ICT spoločnosti v strednej Európe. Tá cesta bola netypická, pretože spoločnosť, v ktorej ste dovtedy pôsobili, Solitea pred 3 rokmi kúpila. Ako ste vnímali túto zmenu?
Som bežcom na dlhé trate, mám 47 rokov a robím ešte len pre druhého zamestnávateľa, čo v IT segmente nie je vôbec časté. Pre spoločnosť WBI som začal pracovať pred desiatimi rokmi, v 2019 sa fúziou WBI dostala pod značku Solitea. Zmenu som vnímal a stále vnímam pozitívne – väčšia firma dokáže poskytnúť zamestnancovi viaceré možnosti. Firemná kultúra v Solitei je fajn, nikto sa na nič nehrá, každý sa správa prirodzene, ako keby sme boli v menšej firme. So svojou priamou nadriadenou si rozumieme už dlhé roky, akceptuje moje silné aj slabé stránky a spoločne (a, samozrejme, aj každému samostatne, smiech) sa nám darí robiť zaujímavý biznis.
V Solitey sa venujete najmä správe dokumentov, cloudovým službám a IT bezpečnosti. Tieto oblasti sú zrejme úzko prepojené?
Áno – dokumenty, cloud a bezpečnosť majú silné prepojenia. Dokumenty vznikajú v každej spoločnosti a taktiež sú do každej spoločnosti zasielané. Riešenia na vlastnom „železe“ už dávno nie sú jedinou voľbou, cloud ponúka zaujímavé možnosti aj menším zákazníkom. A bezpečnosť v celkovom ekosystéme dokumentov a informácií zohráva veľkú rolu. Veľa ľudí si našťastie už uvedomuje, že cloud môže byť oveľa viac zabezpečeným priestorom ako riešenie na vlastnej infraštruktúre.
Okolo IT bezpečnosti sa robí v posledných rokoch silná osveta. Napriek tomu je mnoho spoločností, ktoré tieto procesy podceňujú. S čím sa najčastejšie stretávate, čo sú opakované chyby?
Často sa stretávam s tým, že firma zálohuje svoje údaje nedostatočne alebo vôbec. Poznám firmy, kde sa hackeri dostali najskôr k zálohám (firma mala jedinú kópiu záloh len na sieťovom úložisku), tieto zálohy zašifrovali a následne šifrovali všetky ostatné údaje na serveroch. Taktiež si veľa ľudí myslí, že zálohovať údaje v cloude nie je potrebné – takmer 75 % spoločností svoje údaje v cloude vôbec nezálohuje. Podceňované sú aj útoky na ľudí, napr. formou phishingu – toto sa našťastie hlavne vo väčších spoločnostiach otáča. Zamestnanci zvyknú absolvovať školenia na tému bezpečnosti informácií, a preto je pre hackerov čoraz ťažšie prelomiť prirodzenú ochranu – rozum zamestnanca.
Aké sú teda úplne základné kroky v bezpečnostných procesoch, ktoré by mali byť alfou a omegou každej spoločnosti?
Základom je edukácia zamestnancov a korektné nastavenie zálohovania. Pokus o odcudzenie informácií od zamestnanca prichádza e-mailom, telefonátom alebo osobne. Šikovný hacker od netušiaceho zamestnanca jedným telefonátom získa jeho heslo. Alebo „opravár kopírky“ príde v pracovnom oblečení do budovy spraviť servis zariadenia, počas servisu sekretárke oznámi, že v zariadení našiel vážny problém a zariadenie musí ísť do servisu. Nič netušiaca sekretárka mu ešte zavolá zopár silných kolegov, aby „opravárovi“ pomohli zariadenie naložiť do auta. Je potrebné pravidelne zamestnancov v oblasti bezpečnosti vzdelávať, všetko podozrivé by si mal zamestnanec overiť, a až potom konať. Pri zálohovaní platí, že zálohy by nemali byť iba v jednej kópii na lokálnom sieťovom alebo cloudovom úložisku. Odporúča sa aspoň 1x týždenne kopírovať zálohu napr. na fyzické médium o odniesť ho mimo primárnej lokality spoločnosti. Dôležité je v rozumných intervaloch zrealizovať aj plán obnovy, t. j. reálne vyskúšať, či obnova zálohy naozaj funguje.
A ak chcem mať svoju spoločnosť zabezpečenú na najvyššej možnej úrovni? Na čo sa mám zamerať?
Okrem vyššie uvedených skutočností je fajn sa zamerať aj na ochranu klientskych zariadení – pravidelne aktualizovaný antivírus a anti-malware by mali byť súčasťou každého počítača, ktorý pristupuje do firemnej siete. Plus špecifické systémy na aktívny monitoring prevádzky na sieti. Inteligentný systém dokáže automaticky zachytiť podozrivú aktivitu, napr. že si používateľ kopíruje stovky dokumentov alebo nejaký proces modifikuje v krátkom čase veľké množstvo súborov. Takéto inteligentné systémy sú pomerne drahou hračkou, v cloude sú často dostupné za dodatočný mesačný poplatok, pričom suma oproti menej zabezpečenému cloudu spravidla nie je extrémne odlišná. Odporúčam zapnúť aj tzv. dvojfaktorovú autentifikáciu – t. j. mechanizmus, ktorý si pri prvom prihlásení z nového zariadenia vypýta okrem hesla ešte ďalšiu formu prihlásenia, napr. SMS kód. Všeobecne platí, že heslá sa už prestávajú používať, v niektorých segmentoch sa používatelia prihlasujú pomocou autentifikačných aplikácií (napr. cez mobil).
Peter Gajdošech
Poďme ale ďalej ku cloudom. Občas sa stretávam s názorom, že ľudia cloudu ešte úplne nedôverujú. Ako je to s bezpečnosťou cloudových služieb? Predsa len, nad uloženými dátami nemám úplnú kontrolu.
Kontrola nad údajmi – toto je všeobecný pohľad. Osobne nemám silnejší pocit bezpečia len vďaka tomu, že mám údaje na dátovej karte v zariadení alebo na disku na lokálnom serveri. Pocit dobrého zabezpečenia mám len v prípade, keď mám funkčné zálohy. Je mi jedno, či mám údaje na lokálnom médiu alebo v cloude renomovaného poskytovateľa.
Posledné roky sa často dejú rôzne hackerské útoky. Dá sa pred tým nejako chrániť? Ako to majú riešené poskytovatelia cloudových služieb?
Poskytovatelia cloudových služieb sa aktívne bránia, veľkí hráči majú vlastné tímy a tie sa pokúšajú v podstate non-stop nabúrať do služieb a takto odhaľovať slabé miesta. Ochrana pred útokmi je viacvrstvová, riešenia sú za rôznymi prvkami ochrany a častokrát je systém prevádzkovaný paralelne na viacerých serveroch, aby bola zabezpečená dostupnosť pre veľké počty používateľov cloudu.
Každá spoločnosť tvorí denne množstvo dokumentov, ktoré okrem toho, že ich potrebuje mať bezpečne uložené, v nich potrebuje mať aj dostatočný prehľad. Existujú nástroje, ktoré sa o toto vedia postarať?
Na prehľadné usporiadanie dokumentov slúži systém DMS (Document Management System). Takýto systém umožňuje dokumenty uchovávať v rozličných štruktúrach, pričom môže ísť o fyzické priečinky alebo virtuálne zobrazenia na základe metadát. Metadáta sú vlastne atribúty dokumentov. Predstavte si dokument Faktúra, ktorý má atribúty Dátum vystavenia, Dátum splatnosti, Variabilný symbol, Dodávateľ, Suma a pod. V systéme DMS je možné na základe metadát dokumentov robiť rôzne zobrazenia alebo riadiť procesy, v našom príklade by to mohol byť schvaľovací proces faktúry pred zaúčtovaním a odoslaním na úhradu na základe sumy na faktúre.
DMS je teda nástroj, ktorý umožňuje prístup ku dokumentom všetkým zamestnancom. Ak tomu správne rozumiem, výhodou je, že viem každému udeľovať individuálne prístupové práva a viem skontrolovať, kto robil v dokumente konkrétne úpravy.
Áno, oprávnenia sú prideľované podľa agendy DMS alebo podľa roly používateľa. Niekto vidí všetko, niekto iba malú časť DMS dokumentov. Vyhľadávanie v systéme je jednoduché a oprávnenia sú automaticky aplikované aj na výsledok vyhľadávania. Obľúbenou funkciou práce s dokumentom, ktorý je uložený v DMS, je napr. možnosť paralelnej práce viacerých používateľov naraz v jednom dokumente. Toto u nás v Solitei častou používame – kolega mi pripravuje technickú časť ponuky, ja robím na cenovej časti a moja šéfka si prechádza manažérske zhrnutie. Všetci vidíme, čo kto upravuje a nijako sa pritom neblokujeme v práci.
Aké ďalšie nástroje by mali podnikatelia používať?
Vo firmách často vidím okrem DMS využívanie základnej platformy na komunikáciu (e-mail, chat, audio/video horory), a potom sú to systémy ako CRM (riadenie vzťahov so zákazníkmi) alebo ERP (ekonomický systém s rôznymi agendami – napr. predaj, nákup, výroba, sklady a ďalšie). Niektoré firmy samozrejme využívajú viacero špecifických IS, napr. u nás je veľmi využívaný aj nástroj na riadenie projektov.
Takže, ak si to zhrnieme, budúcnosť je najmä v digitalizácii. Ak si spoločnosti procesy správne nastavia, je zároveň aj bezpečnou voľbou?
Ja digitalizáciu vnímam ako prínos pre ľudí. Vďaka digitalizácii sa procesy v spoločnostiach významne zrýchľujú. Digitalizované dokumenty sú dostupné väčšinou odkiaľkoľvek, nijako ma preto neobmedzuje papierová forma dokumentu. Samozrejme, digitalizáciou šetríme aj prírodu. Veľmi dôležitým aspektom digitalizácie je dobre nastavený proces pre archiváciu dokumentácie a zabezpečenie celého systému.

source