Au! Proč firmy podceňují autorizaci a autentizaci?

31. 5. 2023

 

Když firma zavádí informační nebo výrobní systém, zná očekávanou návratnost a seznam budoucích výhod. Finanční manažer získá lepší reporty, skladník okamžitý přehled o dostupných položkách, účetní přehlednější podklady k fakturaci. Jednoduše tak dokáže spočítat investice. V případě kyberbezpečnosti a ochrany dat je situace mnohem složitější. Protože platíte v zásadě „jen“ za to, že všechno funguje a o celém pozadí toho mnoho nevíte. I proto si mnoho firem říká: „to se nás přece netýká“, „naše data přece nikoho nezajímají“ nebo „něco tam máme, a to asi stačí“. A potenciální zisky se každému prodávají výrazně lépe než potenciální ztráty.

Česká republika by podceňování bezpečnostních rizik mohla vyhlásit za národní sport. V obcházení pravidel, jisté míře bohorovnosti a vymýšlení vlastních cestiček podle dostupných statistik patříme mezi „nejlepší“ v regionu. Co s tím? To už jsou otázky na Petru Dušovou a Jana Trunkáta, kteří mají v Aricomě na starost problematiku zabezpečování identit. Na jedné straně řeší zabezpečení státních institucí, měst, nemocnic a úřadů samosprávy – a na druhé straně vyvíjejí vlastní produkty v oblasti identity managementu, access managementu a nově také v oblasti privilegovaných účtů.

Tři velká „au“

Přeloženo do češtiny, řeší tři velká „au“, které firmy či úřady často trápí: To, jak automatizovat péči o autorizaci a autentizaci jednotlivých účtů. Jak zajistit přístup k datům jen těm, kteří ho opravdu potřebují. V ideální míře a podle role, kterou daný člověk v organizaci má. A zároveň, jak zabezpečit to, aby se do systému nedostal někdo nepovolaný.

Jakou paseku může způsobit nedostatečné zabezpečení účtů, jsme měli možnost vidět v nedávné minulosti, kdy hackeři napadli nemocnice v Benešově či v Brně. Paralýza interních systémů v nemocnicích je mimořádný malér, protože nejde o miliony jako ve chvíli, kdy vám stojí výroba, ale o zdraví a životy, protože musíte odkládat operace. A uhlídat takovou nemocnici, ve které se neustále mění personál, pracuje se v nepřetržitém provozu a do sítě se připojují nejrůznější interní i externí systémy, je opravdu oříšek.

„Kritickou infrastrukturu už dnes řeší kybernetický zákon, proto nemocnice nebo státní instituce spadají mezi subjekty, které musí mít řízení identit vyřešeno, a vztahuje se na ně zákonná povinnost. Pro firmy je ale security manager člověk, kterého budou na trhu jednak těžko shánět a zároveň jej budou nuceni draze platit. Proto hodně zvažují, zda se jim vyplatí a rizika tak nechávají na jiných,“ vysvětluje Petra Dušová, která v Aricomě řeší identity & access management.

Řešení je PIM/PAM

Ale zpět k českým firmám. „Je až neuvěřitelné, když zjistíte, kolik z nich data vůbec nezálohuje. Nebo kolik z nich je nechává dostupná a nehlídaná. Přitom každá firma má tu největší hodnotu – kromě zaměstnanců – v oblasti know-how a dat. A praxe ukazuje, že až šedesát procent ztrát přichází zevnitř. Data ohrožují lidé, kteří ve firmě jsou nebo nedávno byli zaměstnáni. To nevyřeší žádný firewall nebo SIEM (Security Information and Event Management), ale vhodná celková strategie, která obsahuje celý management identit.

Pokud netušíte, kdo se vám ve firmě pohybuje, kdo má k čemu přístup a jaké jsou role jednotlivých uživatelů, máte zaděláno na problém. A právě pro každou část máme tři různé úrovně řešení. Uživatele a jejich role řeší identity management, přístup access management a pohyb v rámci infrastruktury PIM/PAM,“ doplňuje Jan Trunkát, který má na starosti technický vývoj vlastního řešení v oblasti identity.

Příští rok do ciziny

„Když jsme v roce 2010 začínali, byla to trochu sázka do loterie. První řešení jsme prodávali dokonce ve chvíli, kdy jsme ho neměli ještě ani úplně dotažené. Ale v posledních letech jsme několikrát prokázali, že se můžeme měřit i s těmi největšími světovými řešeními. A k tomu jako bonus přidat výhodnější cenu a výrazně dostupnější služby,“ říká Petra Dušová.

„Hodně těžíme z toho, že máme platformu, která řeší všechny typy identit. Umíme pokrýt všechny běžně používané systémy a platformy, jako je AD, LDAP, Office 365, Google Workspace (dříve G Suite), komunikujeme se SAP, Navision, D365 i lokálními řešeními nebo řešeními pro specifické vertikály. Zejména pro lokální zákazníky je pak velká výhoda, že umíme celou implementaci rychle odřídit. A díky vlastnímu vývoji jsme schopni vyvinout spoustu řešení na míru,“ doplňuje Jan Trunkát.

Přesto tým pod vedením Radima Drgáče necílí jen na zákazníky v České republice. „Jsme přesvědčeni, že jsme společně dali dohromady řešení, které dokáže obstát v evropské konkurenci. Naší ambicí je v příštím roce najít partnera v zahraničí a nabízet celý balíček identity managementu v rámci evropských zemí. Kombinací úrovně, ceny a služeb ho považujeme za unikátní,“ uzavírá Petra Dušová.

Automatizace, autorizace a autentizace jsou tři slova, která je dobré mít na paměti, pokud nechcete zažívat bolestivou ztrátu dat a cenných údajů. 

"Jakou paseku může způsobit nedostatečné zabezpečení účtů, jsme měli možnost vidět v nedávné minulosti, kdy hackeři napadli nemocnice v Benešově či v Brně."

Výroby čipů jsme se v Evropě zbavovali, teď ji těžko dostáváme zpět. Ale má to smysl

17. 9. 2024

„Čipový dluh si neseme už někdy od 70. let, Evropa se jejich výroby ráda zbavovala, protože je náročná na vodu i elektřinu. A teď to jen pomalu a těžko doháníme. Přitom čipů, a ještě těch sofistikovanějších než dnes, budeme potřebovat čím dál víc,“ říká Tomáš Pitner, profesor Fakulty informatiky Masarykovy univerzity a šéf výzkumného centra k situaci, v níž se ocitlo Česko i Evropa. Pomoct v tom mají mimo jiné nedávno avizované investice amerického Onsemi do výroby v Rožnově pod Radhoštěm. Ale v čem přesně?

Paula Januskiewicz: Rozumět infrastruktuře není totéž jako na ni umět útočit

31. 7. 2024

Množství kybernetických útoků nebude menší. Smiřme se s tím a braňme se. I tak by se dala shrnout slova Pauly Januszkiewicz, polské kyberbezpečnostní expertky, která na jaře vystoupila na Security 2024, výroční konferenci Aricomy věnované právě trendům v oblasti IT bezpečnosti. Januskiewicz, jejíž společnost CQURE už má po světě čtyři pobočky, mluvila o tom, proč firmy a instituce neumí útokům odolávat, jak získat víc odborníků i kam obor směřuje.