Česká republika by podceňování bezpečnostních rizik mohla vyhlásit za národní sport. V obcházení pravidel, jisté míře bohorovnosti a vymýšlení vlastních cestiček podle dostupných statistik patříme mezi „nejlepší“ v regionu. Co s tím? To už jsou otázky na Petru Dušovou a Jana Trunkáta, kteří mají v Aricomě na starost problematiku zabezpečování identit. Na jedné straně řeší zabezpečení státních institucí, měst, nemocnic a úřadů samosprávy – a na druhé straně vyvíjejí vlastní produkty v oblasti identity managementu, access managementu a nově také v oblasti privilegovaných účtů.
Tři velká „au“
Přeloženo do češtiny, řeší tři velká „au“, které firmy či úřady často trápí: To, jak automatizovat péči o autorizaci a autentizaci jednotlivých účtů. Jak zajistit přístup k datům jen těm, kteří ho opravdu potřebují. V ideální míře a podle role, kterou daný člověk v organizaci má. A zároveň, jak zabezpečit to, aby se do systému nedostal někdo nepovolaný.
Jakou paseku může způsobit nedostatečné zabezpečení účtů, jsme měli možnost vidět v nedávné minulosti, kdy hackeři napadli nemocnice v Benešově či v Brně. Paralýza interních systémů v nemocnicích je mimořádný malér, protože nejde o miliony jako ve chvíli, kdy vám stojí výroba, ale o zdraví a životy, protože musíte odkládat operace. A uhlídat takovou nemocnici, ve které se neustále mění personál, pracuje se v nepřetržitém provozu a do sítě se připojují nejrůznější interní i externí systémy, je opravdu oříšek.
„Kritickou infrastrukturu už dnes řeší kybernetický zákon, proto nemocnice nebo státní instituce spadají mezi subjekty, které musí mít řízení identit vyřešeno, a vztahuje se na ně zákonná povinnost. Pro firmy je ale security manager člověk, kterého budou na trhu jednak těžko shánět a zároveň jej budou nuceni draze platit. Proto hodně zvažují, zda se jim vyplatí a rizika tak nechávají na jiných,“ vysvětluje Petra Dušová, která v Aricomě řeší identity & access management.
Řešení je PIM/PAM
Ale zpět k českým firmám. „Je až neuvěřitelné, když zjistíte, kolik z nich data vůbec nezálohuje. Nebo kolik z nich je nechává dostupná a nehlídaná. Přitom každá firma má tu největší hodnotu – kromě zaměstnanců – v oblasti know-how a dat. A praxe ukazuje, že až šedesát procent ztrát přichází zevnitř. Data ohrožují lidé, kteří ve firmě jsou nebo nedávno byli zaměstnáni. To nevyřeší žádný firewall nebo SIEM (Security Information and Event Management), ale vhodná celková strategie, která obsahuje celý management identit.
Pokud netušíte, kdo se vám ve firmě pohybuje, kdo má k čemu přístup a jaké jsou role jednotlivých uživatelů, máte zaděláno na problém. A právě pro každou část máme tři různé úrovně řešení. Uživatele a jejich role řeší identity management, přístup access management a pohyb v rámci infrastruktury PIM/PAM,“ doplňuje Jan Trunkát, který má na starosti technický vývoj vlastního řešení v oblasti identity.
Příští rok do ciziny
„Když jsme v roce 2010 začínali, byla to trochu sázka do loterie. První řešení jsme prodávali dokonce ve chvíli, kdy jsme ho neměli ještě ani úplně dotažené. Ale v posledních letech jsme několikrát prokázali, že se můžeme měřit i s těmi největšími světovými řešeními. A k tomu jako bonus přidat výhodnější cenu a výrazně dostupnější služby,“ říká Petra Dušová.
„Hodně těžíme z toho, že máme platformu, která řeší všechny typy identit. Umíme pokrýt všechny běžně používané systémy a platformy, jako je AD, LDAP, Office 365, Google Workspace (dříve G Suite), komunikujeme se SAP, Navision, D365 i lokálními řešeními nebo řešeními pro specifické vertikály. Zejména pro lokální zákazníky je pak velká výhoda, že umíme celou implementaci rychle odřídit. A díky vlastnímu vývoji jsme schopni vyvinout spoustu řešení na míru,“ doplňuje Jan Trunkát.
Přesto tým pod vedením Radima Drgáče necílí jen na zákazníky v České republice. „Jsme přesvědčeni, že jsme společně dali dohromady řešení, které dokáže obstát v evropské konkurenci. Naší ambicí je v příštím roce najít partnera v zahraničí a nabízet celý balíček identity managementu v rámci evropských zemí. Kombinací úrovně, ceny a služeb ho považujeme za unikátní,“ uzavírá Petra Dušová.
Automatizace, autorizace a autentizace jsou tři slova, která je dobré mít na paměti, pokud nechcete zažívat bolestivou ztrátu dat a cenných údajů.