Prečo sa zaoberať kyberbezpečnosťou? Predídete aj niekoľkodňovej odstávke
V posledných týždňoch sa v médiách častejšie objavuje téma kyberbezpečnosti. Požiadali sme Jaroslava Smíška, Head of Customer Services ABRA Software, aby nám povedal, prečo to tak je.
Jardo, prečo sa stále častejšie hovorí o kyberbezpečnosti?
Jaroslav Smíšek: Vnímam hneď niekoľko dôvodov. Prvým je prebiehajúca finalizácia návrhu a očakávané schválenie legislatívy ohľadom NIS2, ktorá upravuje povinnosti organizácií v tejto oblasti. Druhý priniesla pandémia COVID-19, kedy s rozmachom práce na diaľku vzrástol počet potenciálnych vstupných bodov pre kybernetické útoky. A potom sú to stále častejšie prebiehajúce útoky. Bohužiaľ, často úspešné. Tento mesiac sme u našich zákazníkov zaznamenali hneď dva úspešné útoky. V jednom z prípadov to znamenalo niekoľkodennú odstávku, v druhom bohužiaľ firma prišla o všetky dáta.
Zdá sa mi, že o takýchto prípadoch hovoríme pomerne často. Kde sú podľa teba príčiny, prečo sú útoky úspěšné?
JS: Rastie počet aj sofistikovanosť útokov. Samozrejme primárnou príčinou je pretrvávajúce podceňovanie kyberbezpečnosti. Podľa našich skúseností väčšie firmy, a tiež mnoho stredných, majú infraštruktúru zabezpečenú profesionálne – môžu investovať potrebné čiastky do technológií aj do ľudí či služieb. Alebo využívajú kvalitné cloudové služby. Bohužiaľ u menších firiem tomu tak v mnohých prípadoch nie je. Cloudu sa z neznalosti veci obávajú alebo ho považujú za zbytočný výdaj. O ich IT sa stará kamarát, príbuzný, skúsenejší kolega. Pri jednopoužívateľských inštaláciách ABRA Gen je bežné, že zákazník prevádzkuje systém na obyčajnom PC, ktorý niekedy zostáva zapnutý cez noc, aby na ňom používateľ pracoval z domova – pochopiteľne bez adekvátneho zabezpečenia. To naozaj nie sú rozumné spôsoby, ako spravovať kritické firemné dáta.
„Raz mi pracovník zákazníka povedal, že sa stal správcom serveru, protože bol vo firme jediný, kto ho vedel zapnúť. A tiež, že už štyri mesiace neurobil zálohu.“
Zálohovanie je asi základom, že?
JS: Bezpochyby. Ale bezpečné zálohovanie! Dnešné kryptovírusy dokážu zašifrovať dáta na všetkých úložiskách v infraštruktúre. USB flashka rozhodne nie je bezpečné úložisko kritických firemných dát. Rovnako tak NAS alebo disk na inom serveri – umožní vyriešiť určitý okruh problémov s dátami, ale nie sú v bezpečí pred kybernetickým útokom. Preto je potrebné dáta taktiež zálohovať i mimo infraštruktúru, napr. na cloudovú službu alebo do našej služby Záložná prevádzka.
Každopádne kyberbezpečnosť je súborom mnohých technických a organizačných opatrení. Okrem serverov je nutný aj špičkový centrálny prístupový prvok – tzv. firewall. Nevyhnutným sa stává robustný EDR systém, ktorý detekuje útoky aj podozrivé aktivity v sieti a vie im zabrániť. Organizačné opatrenia sú ale rovnako tak dôležité – prísne riadenie prístupov, periodické zmeny hesiel, jasne nastavené pravidlá správy a správania sa v sieti, pravidelné penetračné testy, spracované krízové plány, a hlavne pravidelné školenia ako používateľov, tak najmä IT správcov.
To znie ako veľmi drahá záležitosť. Aj toto je dôvodom rastúcej popularity cloudových služieb?
JS: Tiež je to veľmi drahá aj časovo náročná záležitosť. Ale môžem každému garantovať, že ešte omnoho drahšia je potom strata dát alebo dlhší výpadok systému. Snáď bude rozbiehajúca sa diskusia ohľadom smernice NIS2 pre firmy budíčkom, že kyberbezpečnosť musia brať naozaj vážne.
K druhej časti otázky: Je jasné, že cloudová služba alebo forma systému SaaS je z pohľadu kyberbezpečnosti veľmi dobré riešenie. Ale pozor! Nie je cloudová služba, ako cloudová služba. Bezpečný a spoľahlivý cloud vyžaduje obrovské investície, ešte omnoho väčšie ako vlastná infraštruktúra. Tento rok sme napríklad pre našu službu ABRA on-line zaobstarali dvojicu nových firewallov. Išlo o viac než polmiliónovú investíciu. Ďalšie státisíce nás ročne stojí bezpečnostný software. O infraštruktúru sa stará tím špičkových, teda drahých technikov, do ich vzdelávania naviac neustále investujeme. Toto si menšie či lacné cloudové riešenia proste nemôžu dovoliť, neufinancujú to. V ohrození sú potom bezpečnosť aj úroveň služieb.
A ako teda poznať bezpečný cloud?
JS: Prvým varovaním pred potenciálnym problémom je podozrivo nízká cena. Odporúčam držať sa osvedčených služieb serióznych a dlhodobo etablovaných poskytovateľov. Zákazník by sa mal napríklad pýtať na to, ako sú dáta zálohované, ako je šifrovaná komunikácia alebo ako je zaistený monitoring infraštruktúry a najmä chod samotného ERP systému a jeho služieb. Dôležitou otázkou je tiež zastupiteľnosť v prípade problémov s prevádzkou. Zároveň záleží na tom, akú úroveň služby zákazník požaduje – či si len prenajme server a správu si kompletne zaistí sám, alebo naopak chce komplexné zaistenie prevádzky ERP systému, pretože proste nemá vlastné know-how nutné pre profesionálnu IT správu.
Najväčšiu dôveru potom môže zákazník vložiť do prevádzky systému formou SaaS, kde si za mesačný poplatok uhradí systém vrátane jeho prevádzky jeho samotným dodávateľom. Tu je profesionalita správy o ERP systém a najmä priamo služieb zaručená v najvyššej miere. Našťastie firmy už postupne prichádzajú na to, že cena tejto služby je oproti všetkým nákladom na vlastné servery a správu systému (a súvisiacich rizík) vlastne veľmi prijateľná.
Radi s vami bezpečnosť vášho systému ABRA Gen preberieme. Napíšte mi priamo na [email protected]
Ďakujeme za rozhovor
Informácie o službe ABRA on-line nájdete na www.abra.eu/sk/sluzby/abra-on-line.
