V polovině jara se uskutečnila v pražském hotelu Paříž snídaně s analytikem Gartneru Tomem Scholtzem na téma informační bezpečnost. Tom ve své přednášce upozornil na zásadní změny, k nimž dochází v organizacím díky řadě změn – počínaje nástupem internetu věcí a chytrých strojů přes rostoucí význam nerutinních prací až po stále větší roli byznysu při rozhodování o většině „IT“ témat včetně bezpečnosti či hodnocení rizik.
Řada změn přitom již nastala – například mezi roky 2005 a 2012 vrostla míra vzdáleného přístupu k práci
(a tedy i podnikovým informačním prostředím) o 79 % a v desetiletí 2002–2012 pak téměř o polovinu
narostl význam týmové práce, a tedy i podpory spolupráce na dálku. To se postupně promítá i do bezpečnostních rozpočtů. V roce 2020 by například až 60 % prostředků na informační bezpečnost mělo být
utráceno za preventivní nástroje a řešení typu SIEM (Security Information and Event Management).
Větší pozornost a prostor budou také věnovány alternativním přístupům k řízení bezpečnosti a rizik, jako je
bezpečnost založená (či orientovaná) na uživateli – people centric security, které jsou postaveny v první řadě
na individuální odpovědnosti uživatelů za data, s nimiž pracují.
Po skončení akce jsme si s Tomem Scholtzem sedli ke skvělému obědu a položili mu několik otázek.
Lze očekávat, že tzv. chytré stroje nějak zásadně ovlivní do budoucna informační či kybernetickou bezpečnost?
Myslím, že mnohem dříve budeme muset řešit bezpečnostní otázky spojené s internetem věcí – zejména nejrůznějšími fitness a zdravotními doplňky, které sbírají informace o zdravotním stavu, jež by potenciálně mohly být cenné. Další praktickou výzvou budou také senzory a spínače zejména v provozních a výrobních systémech, jako je SCADA. Ty bývaly v minulosti výrazně odděleny od ostatního IT, v poslední době je ale jejich řízení stále častěji propojováno, protože chceme využít řídicí a analytické nástroje pro optimalizaci i v oblasti výroby. To ale znamená, že jsou přístupné z internetu, nebo dokonce jsou k němu přímo připojené – což je pochopitelně příležitost pro potenciální útočníky.
Například autonomní auta?
To je další oblast, která přinese řadu inovací a s nimi také bezpečnostních výzev. Nemusí přitom jít přímo o auta autonomní – například existující připojená auta by mohla mít do budoucna funkce pro automatické placení paliva u čerpacích nebo dobíjecích stanic, což přidává další možná rizika do oblasti platebních systémů. Že každý chytrý přípojný bod představuje potenciální riziko, ukazuje například zneužívání standardizovaného rozhraní řídicích jednotek v automobilech (tzv. OBD II konektor – pozn. red.) zloději aut.
Takže počet potenciálních rizik roste s chytrými stroji takřka exponenciálně?
Určitě. Každé připojené zařízení – vaše televize, lednička nebo jiný spotřebič – se může stát cílem útoku. Zejména pokud chytré řešení obsahuje vaše cenná osobní či platební data nebo umožňuje se k nim snáze dostat.
Náš trh byl v minulosti před útoky částečně chráněn díky jazykové bariéře. Změní se to, stává se jazyková bariéra v oblasti bezpečnosti nepodstatnou?
I to souvisí s chytrými zařízeními. Ve chvíli, kdy jich bude hodně, bude jednodušší útočit na zařízení než na jejich uživatele – díky tomu může klesnout počet útoků využívajících sociální inženýrství. Kde ale budou
podobné techniky dál využívány, jsou cílené útoky, zejména tzv. harpunářství například v bankovním nebo korporátním sektoru.
Celý rozhovor naleznete v INSIDE Report 2Q 2015
Lukáš Erben (lukas.erben(at)kpc-group.cz/inside)
Tom Scholtz
Ve společnosti Gartner působí na pozici viceprezidenta pro výzkum. Věnuje se zejména problematice řízení informační bezpečnosti, bezpečnostním strategiím a trendům. Mezi jeho specializace patří návrh bezpečnostních politik, dynamika bezpečnosti v organizacích a řízení bezpečnostních procesů.
Tom se v oblasti informační bezpečnosti pohybuje již 20 let. V minulosti pracoval pro META Group a po její akvizici vstoupil do týmu Gartneru. Svou kariéru zahájil na pozicích v oblasti IT architektury a provozu v Jihoafrické republice. Jeho prozatím poslední report nese název „Sedm technik pro proaktivnější řízení rizik a bezpečnosti“.