Blog

Proč se věnovat kyberbezpečnosti? Předejdete i několikadenní odstávce

29. 5. 2024
Data v bezpečí před kryptovirem

V posledních týdnech se v médiích častěji objevuje téma kyberbezpečnosti. Požádali jsme Jaroslava Smíška, Head of Customer Services ABRA Software, aby nám řekl, proč tomu tak je.

Jardo, proč se stále častěji mluví o kyberbezpečnosti?

Jaroslav Smíšek: Vnímám hned několik důvodů. Prvním je probíhající finalizace návrhu a očekávané schválení legislativy kolem NIS2, která upravuje povinnosti organizací v této oblasti. Druhý přinesla pandemie COVID-19, kdy s rozmachem práce na dálku vzrostl počet potenciálních vstupních bodů pro kybernetické útoky. A pak to jsou stále častěji probíhající útoky. Bohužel často úspěšné. Tento měsíc jsme u našich zákazníků zaznamenali hned dva úspěšné útoky. V jednom případě to znamenalo několikadenní odstávku, ve druhém bohužel firma přišla o všechna data.

Přijde mi, že o takových případech mluvíme poměrně často. Kde jsou podle tebe příčiny, proč jsou útoky úspěšné?

JS: Roste četnost i sofistikovanost útoků. Ovšem primární příčinou je pokračující podceňování kyberbezpečnosti. Podle naší zkušenosti větší firmy, a také mnoho středních, mají infrastrukturu zabezpečenou profesionálně – mohou investovat potřebné částky do technologií i do lidí či služeb. Anebo již využívají kvalitních cloudových služeb. Bohužel u menších firem tomu tak v mnoha případech není. Cloudu se z neznalosti věci obávají nebo to považují za zbytečný výdaj. O jejich IT se stará kamarád, příbuzný, zkušenější kolega. U jednouživatelských instalací ABRA Gen je běžné, že zákazník provozuje systém na obyčejném PC, které i někde zůstává zapnutý přes noc, aby se na něj uživatel dostal z domova – pochopitelně bez adekvátního zabezpečení. To opravdu nejsou rozumné způsoby, jak provozovat kritická firemní data.

„Jednou mi pracovník zákazníka řekl, že se stal správcem serveru, protože byl ve firmě jediný, kdo ho uměl zapnout. A také že už čtyři měsíce neprovedl zálohu.“

Zálohování je asi základem, že?

JS: Bezpochyby. Ale bezpečné zálohování! Dnešní kryptoviry dovedou zašifrovat data na všech úložištích v infrastruktuře. USB flashka rozhodně není bezpečné úložiště kritických firemních dat. Stejně tak NAS nebo disk na jiném serveru – umožní vyřešit určitý okruh problémů s daty, ale nejsou v bezpečí před kybernetickým útokem. Proto je data potřeba také zálohovat i mimo infrastrukturu, např. na cloudovou službu nebo do naší služby Záložní provoz.

Jaroslav Smíšek, Head of Customer Services ABRA Software
Jaroslav Smíšek, Head of Customer Services ABRA Software

Každopádně kyberbezpečnost je souborem mnoha technických i organizačních opatření. Kromě serverů je nutný i špičkový centrální přístupový prvek – tzv. firewall. Nezbytným se stává robusní EDR systém, který detekuje útoky i podezřelé aktivity v síti a umí jim zabránit. Organizační opatření jsou ale stejně tak důležitá – přísné řízení přístupů, periodické změny hesel, jasně nastavená pravidla správy a chování v síti, pravidelné penetrační testy, zpracované krizové plány, a hlavně pravidelná školení jak uživatelů, tak zejména IT správců.

To zní jako velmi drahá záležitost. Je to i důvodem rostoucí popularity cloudových služeb?

JS: To také je hodně drahá i časově náročná záležitost. Ale mohu každému garantovat, že ještě mnohem dražší je pak ztráta dat nebo delší výpadek systémů. Snad rozbíhající se diskuse kolem směrnice NIS2 bude pro firmy budíčkem, že kyberbezpečnost musí brát opravdu vážně.

K druhé části otázky: Je nasnadě, že cloudová služba nebo forma systému SaaS je z pohledu kyberbezpečnosti velmi dobré řešení. Ale pozor! Není cloudová služba jako cloudová služba. Bezpečný a spolehlivý cloud vyžaduje obrovské investice, ještě mnohem větší než vlastní infrastruktura. Letos jsme například pro naši službu ABRA on-line pořizovaly dvojici nových firewallů. Šlo o více než půlmilionovou investici. Další statisíce nás ročně stojí bezpečnostní software. O infrastrukturu se stará tým špičkových, tedy drahých techniků, do jejichž vzdělávání navíc neustále investujeme. Tohle si menší či levná cloudová řešení prostě nemohou dovolit, neufinancují to. V ohrožení jsou pak bezpečnost i úroveň služeb.

A jak tedy poznat bezpečný cloud?

JS: Prvním varováním před potenciálním problémem je podezřele nízká cena. Doporučuji držet se osvědčených služeb seriózních a dlouhodobě etablovaných poskytovatelů. Zákazník by se měl ptát například na to, jak jsou data zálohována, jak je šifrovaná komunikace nebo jak je zajištěn monitoring infrastruktury a zejména běhu samotného ERP systému a jeho služeb. Důležitou otázkou je také zastupitelnost v případě problémů s provozem. Zároveň záleží na tom, jakou úroveň služby zákazník požaduje – jestli si jen pronajme server a správu si kompletně zajistí sám, nebo naopak chce komplexní zajištění provozu ERP systému, protože prostě nemá vlastní know-how nutné pro profesionální IT správu.

Nejvyšší důvěru pak může zákazník vložit do provozu systému formou SaaS, kdy si za měsíční poplatek hradí systém včetně jeho provozu samotným jeho dodavatelem. Tady je profesionalita správy o ERP systém a zejména šíře služeb zaručena v nejvyšší míře. Naštěstí firmy už postupně přicházejí na to, že cena této služby je oproti všem nákladům na vlastní servery a správu systému (a souvisejících rizik) vlastně velmi přijatelná.

Rádi s vámi bezpečnost vašeho systému ABRA Gen probereme. Napište mi přímo na [email protected]

Děkujeme za rozhovor

Informace o službě ABRA on-line naleznete na www.abra.eu/sluzby/abra-on-line.