Proč se podle vás stále častěji mluví o kyberbezpečnosti?

Vnímám hned několik důvodů. Prvním je legislativa kolem NIS2, která upravuje povinnosti organizací v této oblasti. Druhý přinesla pandemie COVID-19, kdy s rozmachem práce na dálku vzrostl počet potenciálních vstupních bodů pro kybernetické útoky. A pak to jsou stále častěji probíhající útoky. Bohužel často úspěšné. Před prázdninami jsme u našich zákazníků zaznamenali hned dva úspěšné útoky. V jednom případě to znamenalo několikadenní odstávku, ve druhém bohužel firma přišla o všechna data.

Přijde nám, že o takových případech mluvíme poměrně často. Kde jsou podle vás příčiny, proč jsou útoky úspěšné?

Roste četnost i sofistikovanost útoků. Ovšem primární příčinou je pokračující podceňování kyberbezpečnosti. Podle naší zkušenosti větší firmy, a také mnoho středních, mají infrastrukturu za­bez­pe­če­nou profesionálně – mohou investovat potřebné částky do tech­no­lo­gií i do lidí či služeb. Anebo již využívají kvalitních cloudových služeb. Bohužel u menších firem tomu tak v mnoha případech není. Cloudu se z neznalosti věci obávají nebo to považují za zbytečný výdaj. O jejich IT se stará kamarád, příbuzný, zkušenější kolega. U jednouživatelských instalací ERP systému ABRA Gen je běžné, že zákazník provozuje systém na obyčejném PC, které i někde zůstává zapnutý přes noc, aby se na něj uživatel dostal z domova – pochopitelně bez adekvátního zabezpečení. To opravdu nejsou rozumné způsoby, jak provozovat kritická firemní data.

Zálohování je asi základem, že?

Bezpochyby. Ale bezpečné zálohování! Dnešní kryptoviry dovedou zašifrovat data na všech úložištích v infrastruktuře. USB flashka rozhodně není bezpečné úložiště kritických firemních dat. Stejně tak NAS nebo disk na jiném serveru – umožní vyřešit určitý okruh problémů s daty, ale nejsou v bezpečí před kybernetickým útokem. Proto je data potřeba také zálohovat i mimo infrastrukturu, např. na cloudovou službu nebo do specifické služby dodavatele ERP systému, jako je např. náš Záložní provoz, kde mimo samotnou zálohu poskytujeme zákazníkům v případě incidentu rychlé zprovoznění náhradní instance ERP systému v našem cloudu.

Každopádně kyberbezpečnost je souborem mnoha technických i organizačních opatření. Kromě serverů je nutný i špičkový centrální přístupový prvek – tzv. firewall. Nezbytným se stává robustní EDR systém, který detekuje útoky i podezřelé aktivity v síti a umí jim zabránit. Organizační opatření jsou ale stejně tak důležitá – přísné řízení přístupů, periodické změny hesel, jasně nastavená pravidla správy a chování v síti, pravidelné penetrační testy, zpracované krizové plány, a hlavně pravidelná školení jak uživatelů, tak zejména IT správců.

To zní jako velmi drahá záležitost. Je to i důvodem rostoucí popularity cloudových služeb?

To také je hodně drahá i časově náročná záležitost. Ale mohu každému garantovat, že ještě mnohem dražší je pak ztráta dat nebo delší výpadek systémů. Snad rozbíhající se diskuse kolem směrnice NIS2 bude pro firmy budíčkem, že kyberbezpečnost musí brát opravdu vážně.

K druhé části otázky: Je nasnadě, že cloudová služba nebo forma systému SaaS je z pohledu kyberbezpečnosti velmi dobré řešení. Ale pozor! Není cloudová služba jako cloudová služba. Bezpečný a spolehlivý cloud vyžaduje obrovské investice, ještě mnohem větší než vlastní infrastruktura. Letos jsme například pro naši službu cloudového provozu ERP systému ABRA on-line pořizovaly dvojici nových firewallů. Šlo o více než půlmilionovou investici. Další statisíce nás ročně stojí bezpečnostní software. O infrastrukturu se stará tým špičkových, tedy drahých techniků, do jejichž vzdělávání navíc neustále investujeme. Tohle si menší či levná cloudová řešení prostě nemohou dovolit, neufinancují to. V ohrožení jsou pak bezpečnost i úroveň služeb.

A jak tedy poznat bezpečný cloud?

Prvním varováním před potenciálním problémem je podezřele nízká cena. Doporučuji držet se osvědčených služeb seriózních a dlouhodobě etablovaných poskytovatelů. Zákazník by se měl ptát například na to, jak jsou data zálohována, jak je šifrovaná komunikace nebo jak je zajištěn monitoring infrastruktury a zejména běhu samotného ERP systému a jeho služeb. Důležitou otázkou je také zastupitelnost v případě problémů s provozem. Zároveň záleží na tom, jakou úroveň služby zákazník požaduje – jestli si jen pronajme server a správu si kompletně zajistí sám, nebo naopak chce komplexní zajištění provozu ERP systému, protože prostě nemá vlastní know-how nutné pro profesionální IT správu.

Nejvyšší důvěru pak může zákazník vložit do provozu systému formou SaaS, kdy si za měsíční poplatek hradí systém včetně jeho provozu samotným jeho dodavatelem. Tady je profesionalita správy o ERP systém a zejména šíře služeb zaručena v nejvyšší míře. Naštěstí firmy už postupně přicházejí na to, že cena této služby je oproti všem nákladům na vlastní servery a správu systému (a souvisejících rizik) vlastně velmi přijatelná.

Děkujeme za rozhovor