ASIS talkshow - manažer kybernetické bezpečnosti Pavel Janák

ASIS talkshow - manažer kybernetické bezpečnosti Pavel Janák
Popisek: Pavel Janák
29 / 04 / 2021, 09:00

Pavel Janák pracoval jako bezpečnostní manažer ve společnosti vytvářející software na zakázku pro německé finanční trhy. Má zkušenosti s implementací a správou systému řízení bezpečnosti informací dle ISO/IEC 27001 a Zákona o kybernetické bezpečnosti č. 181/2014, systému kvality (ISO 9001) a managementu služeb pro IT (ISO 20000-1). Je držitelem profesní certifikace Lead Auditor ISMS 27001, CISM a CPO. Absolvoval Fakultu Managementu VŠE, kterou zakončil doktorským titulem.

Kde nyní pracujete a čím se Vaše společnost zabývá?

Pracuji jako manažer kybernetické bezpečnosti ve společnosti GasNet, což je český lídr v oblasti distribuce plynu. V naší společnosti mám na starost zajištění souladu normativních a legislativních požadavků z pohledu kyber bezpečnosti. Jedná se zejména o nastavení a vytvoření odpovídajících organizačních a technických opatření. Ze své zkušenosti vím, že v každé společnosti je nastavení systému bezpečnosti informací jiný. Základy kybernetické bezpečnosti však zůstávají stejné, ať už se jedná o malou nebo velkou společnost. Energetická společnost vykonává službu pro občany a stát, zabezpečení musí tedy být na nejvyšší úrovni. V našem případě bezpečnost, kybernetická i fyzická, je na prvním místě.

Jak se vzděláváte v oboru?

Pracovat v oboru bezpečnosti bez neustálého vzdělávání vlastně ani moc nelze. Mění se požadavky, které je nutné aplikovat na chod společnosti, aby byl zajištěn jejich soulad, tak jak je v daný moment legislativa platná a závazná. A zároveň, a to hlavně, neustále se vyvíjí i okolní svět a zejména hrozby, které mohou společnost ovlivnit. Co bylo bezpečné včera, dnes již nemusí platit.

Jaké vidíte hlavní hrozby?

Nejvážnějším problémem v současnosti je stále tzv. ransomware neboli škodlivý vyděračský software, který zašifruje vaše data a následně od vás požaduje výkupné za jejich zpřístupnění. Svá data však stejně nemusíte dostat zpět ani po zaplacení výkupného. Když se řekne hacker nebo digitální pirát, spousta lidí si zatím stále, bohužel, představí nějakého studenta, který se na dálku baví tím, že někomu po večerech maže soubory v počítači nebo nahrává filmy na veřejná úložiště. Pokud mohu využít námořní terminologii, tak se na digitálním moři nepohybují již jen osamocení piráti, ale i korzáři. Neboli sofistikované organizace s dobrým zázemím, jež obdržely od vlády oficiální pověření k vedení kořistnické činnosti.

Jde tedy hlavně o ztrátu dat?

Nejde jen o samotné zašifrování počítačů a serverů, ale o vážné narušení dostupnosti služeb společnosti. Tento problém se pro laickou veřejnost mohl zdát velmi vzdálený, avšak jak jsme se mohli přesvědčit minulý rok, vybrané nemocnice v ČR se již staly obětí kybernetických útoků, proto nemohly provádět některé zdravotnické úkony.

Bohužel, ransomware má již za sebou i oficiální první lidskou oběť. Německá nemocnice, která se stala obětí kybernetického útoku, nebyla schopná provést urgentní operaci a bohužel, pacientka proto zemřela. Pod pojmem digitální pirát by tedy lidé neměli mít nějakou pseudoromantickou představu. Jedná se o teroristy a zločince, i když jen operují z druhé strany počítače.

Jak se proti této hrozbě bránit?

Každá hrozba má svoje protiopatření. Pokud se ale dostanete pod pomyslnou palbu, obrana už je komplikovaná a těžká. Proto je na prvním místě prevence, zejména vzdělávání zaměstnanců. Stačí, aby zaměstnanec otevřel phisingový email a ten už se může sám šířit a škodit. Společnost a zaměstnanci musí znát hrozby a rizika, kterým mohou čelit a jak se chovat na síti. Investice do prevence je levnější než řešení nápravného opatření po incidentu. Disaster is just one click away neboli pohroma je totiž jen jeden klik daleko.

Tagy článku

-->