Už ste určite počuli dosť o tom, že by ste mali mať vo firme kyberbezpečnostného profesionála alebo zabezpečené služby v tejto oblasti. Alebo mať dokonca audit kybernezpečnosti. Tak ste si dohodli stretnutie s potenciálnym zamestnancom či dodávateľom. Čo sa ho spýtate ako prvé?
Prax
„Ak vám niekto ponúka kyberbezpečnostné služby, pýtajte sa na profesionálnu históriu,“ radí bezpečnostný expert Ivan Kopáčik. Ak niekto minulý rok predával tonery alebo bol obchodný zástupca pre spojovací materiál a dnes sa prezentuje ako špecialista kyberbezpečnosti, je to podozrivé.
Ivan Kopáčik začínal ako systémový administrátor vrátane úlohy „zabezpečiť systém a sieť“ popri štúdiu na vysokej škole. Uplynulo takmer tridsať rokov a dnes je uznávaný najmä v implementácii procesov analýzy a riadenia rizík kyberbezpečnosti.
A ešte raz prax
Medzi prvých certifikovaných audítorov kybernetickej bezpečnosti patrí Michal Ďorda. Pred desiatimi rokmi absolvoval aplikovanú informatiku na Fakulte elektroniky a informatiky STU, čo ho vybavilo poznatkami z architektúry počítačov, operačných a logických systémov, z algoritmizácie a programovania.
Skúsenosti získal v takzvanej veľkej štvorke a pár rokov nato vytvoril s kolegami s obdobným zameraním značku auditori.it. Všetci sa zhodujú v tom, akou vysokou pridanou hodnotou je práca v teréne.
„Čím viac rokov skúseností, viac prejdených klientov a viac videných IT prostredí, tým je audítor samostatnejší a vie sa lepšie rozhodnúť alebo vyhodnotiť IT a bezpečnosť v auditovanom subjekte,“ prízvukuje Michal Ďorda.
Je to o vzťahoch
Ivan Kopáčik má skúsenosti v organizáciách rôzneho typu a vidí posun v tom, že aj kyberbezpečnosť si vyžaduje nové zručnosti. Do popredia sa dostávajú takzvané soft skills.
Okrem znalosti problematiky musí byť špecialista schopný vysvetliť svoju tému pred vedením či ostatnými organizačnými jednotkami. Musí ich presvedčiť a zdôvodniť odporúčania. „Niet nad dobré vzťahy v tomto našom malom odvetví, kde je stále nedostatok expertov a každý nový člen je vítaný,“ hovorí Michal Ďorda. Dnes sám učí nových audítorov spôsobom shadowingu, čiže spoluúčasti na audite.
Pohľad z iného uhla
Mohlo by sa zdať, že ak máte rozpočet, aj získavanie ľudí ide ľahšie. Na slovenskom trhu práce totiž chýbajú tisícky kyberbezpečnostných špecialistov a ich pozície patria medzi najlukratívnejšie.
Zároveň však platí, že kybernetická bezpečnosť sa na celom svete robí veľmi podobným spôsobom, čo ešte viac zvyšuje náročnosť obsadiť tieto pozície v silnej konkurencii.
„Udržať si dlhodobo tím bezpečnostných špecialistov je preto rovnako náročné, ak nie náročnejšie, ako prijímanie nových kolegov,“ vysvetľuje Ján Adamovský, riaditeľ bezpečnosti Slovenskej sporiteľne. Pri výbere nových kolegov preto kladie dôraz na tímovosť a správnu „chémiu“, následne zanietenie a chuť učiť sa. Ak sú splnené tieto kritériá, potom ho zaujímajú skúsenosti.
Už zajtra
Ak bolo doteraz málo profesionálov, ešte sa to zhorší. V organizáciách bude oveľa väčší dopyt po odborných zručnostiach v oblastiach digitálnej forenzie a identifikácie a riešenia kybernetických incidentov. Tento nárast súvisí s rastom kybernetických incidentov s využitím umelej inteligencie.
„Som skeptik. Počet útokov na báze sociálneho inžinierstva bude rásť a s veľkou pravdepodobnosťou sa chytíme do pasce všetci. Nové špecializácie a zručnosti v kyberbezpečnosti budú nevyhnutné,“ posúva tému ďalej Roman Čupka, hlavný konzultant Progress a CEO Synapsa Networks.
Budeme sa brániť
Podľa Romana Čupku budú v obrane dominovať technológie, ktoré dokážu z viacerých uhlov pohľadu využívať generatívnu umelú inteligenciu, správne vyhodnocovať dáta a rozumne a lacno ich ukladať. Obrana bude aktívne pracovať s týmito dátami na základe matematických operácií pre automatizovanú odozvu, blokovanie, izoláciu či infiltrovanie späť k útočníkom s využitím databázy hrozieb.
K prevencii budeme musieť pristupovať s oveľa väčšou mierou obozretnosti v duchu úslovia „dvakrát meraj a raz strihaj“, viac kontrolovať takzvané red flags a obmedziť komunikáciu mailom a chatbotmi na minimum. Tradičné heslá by mali nahradiť „passwordless“ riešenia.
Krok vpred, dva vzad
„Vo vzdelávaní profesionálov som celkovo optimista,“ konštatuje Miroslav Havelka, riaditeľ odboru vzdelávania KCCKB. Na Slovensku máme jeden z najlepších programov vzdelávania dospelých v rámci Európskej únie, vznikajú aj vzdelávacie programy kybernetickej a informačnej bezpečnosti na univerzitách.
V sklze je však vzdelávanie verejnej správy a kyberbezpečnostná osveta. Väčšina populácie svoju zraniteľnosť kyberútokmi ešte stále neberie dostatočne vážne.
Podľa Miroslava Havelku to súvisí aj s vyššou mierou nedôvery a kritického myslenia a hneď má pre vás aj otázku: „Ste pripravení napríklad na to, že o chvíľu nebudeme schopní rozlíšiť, ktoré obrázky a videá vytvoril človek a ktoré AI ako súčasť kybernetického útoku?“
Čakanie na osvietenie
V názore na katastrofálny stav kyberbezpečnostného povedomia sa zhodujú všetci oslovení profesionáli.
Ak by si bežní používatelia uvedomovali riziká a správali sa obozretne a v súlade s odporúčaniami, profesionáli by boli menej vyťažení. Mohli by sa sústrediť na zdokonaľovanie systému opatrení, namiesto toho, aby riešili bezpečnostné incidenty zapríčinené nedbalosťou.
Slovenským firmám stále chýba dostatočné povedomie o rizikách, ktoré digitálna doba prináša, a to často na úrovni riadiacich pracovníkov. Pokiaľ by bolo povedomie dostatočné, určite by sa štatutári viac zaujímali, ako je riešená kyberbezpečnosť.
V prípade malých a stredných firiem pritom nemusí ísť o obrovské investície. Veľa sa dá dosiahnuť dodržiavaním základných pravidiel a využitím programov, ktoré už firmy často majú.