Jak řešit nedostatek odborníků na kybernetickou bezpečnost nám prozradil Mgr. Jan Kozák, projektový manažer ve společnosti AXENTA a.s.
Petr Smolník: Honzo, v minulém rozhovoru jsme řešili, jaký je Váš přístup ke klientovi, že přizpůsobujete procesy a technologie běhu firmy, aktuálnímu stavu a navrhnete možnosti, jak to zlepšit. A určitě existují případy, kdy vás oslovila nějaká společnost, a zjistili jste, že jim chybí lidský faktor. Mají procesy, ale nemají na to dostatek lidí nebo třeba nemají vůbec manažera kybernetické bezpečnosti nebo nemají někoho, kdo řeší klasickou bezpečnost a sociální engineering. Jak k tomu potom přistupujete?
Jan Kozák: Samozřejmě personální zdroje jsou dnes problematické. Už se z toho stalo klišé. Slýcháme to na každém odborném fóru, každé konferenci, máme zpětnou vazbu od společností: Lidé nejsou, nejsme schopni je najít, nejsme schopni je zaměstnat. Když už někoho najdeme, tak jeho požadavek na finanční ohodnocení a další benefity, není adekvátní typu naší společnosti, platově se nepotkáváme.
Ono to nemá jednoduché řešení. I my máme omezené kapacity, které zcela využíváme. Východisko z této situace je dle mého názoru jediné, musíme si odborníky vychovávat. Jinak řečeno, pokud se mě klient ptá na to, jakým způsobem má vyřešit tuhle záležitost a není schopen toho člověka najít, tak je potřeba si ho vychovat.
Není to jednoduchý úkol, ale primárně hledám ve svých zdrojích, snažím se identifikovat ve společnosti někoho šikovného, koho by to zajímalo, kdo by se v této oblasti třeba dovzdělával. To je jeden způsob, jak se s tím vyrovnat uvnitř firmy. Samozřejmě, pokud klient chce, tak umíme zajistit kapacitu našich odborníků, ale ta není neomezená.
Když si klient například manažera pro kybernetickou bezpečnost vychová, tak pak má výhodu v tom, že do detailu rozumí problematice v dané společnosti, protože z ní vzešel. Chápe problémy, chápe vnitřní procesy. Zároveň se ale dostává do trochu jiné role, než byl dosud zvyklý, a zde je zapotřebí se překonat a nenést si s sebou provozní slepotu.
Pro příklad. Pokud nový manažer vzešel z IT oddělení, tak primárně řešil provoz a řešil, aby vše fungovalo, aby to blikalo, posílalo maily, aby lidé mohli zadávat údaje do informačního systému a on se teď dostává do role, kdy nad tím musí kriticky přemýšlet a se svými kolegy diskutovat. Protože ona by to měla být diskuse, ne direktiva. Vždy se budou potkávat potřeby společnosti v oblasti její produkce s požadavky na bezpečnost. Problematika bezpečnosti, ať už informační nebo té fyzické, je občas o určitých kompromisech. To je na tom to zajímavé.
Když si toho člověka vychovám, tak už organizaci zná, přesně ví, jak funguje, takže jeho práce je jednoduší. Externí manažer kybernetické bezpečnosti to má složitější, zvláště když je jeho úvazek 8 hodin týdně, tak pak mu může trvat rok navnímat, jak firma funguje, jak fungují její procesy a jaká rizika je potřeba řešit.
Takže pokud to jde, tak já bych doporučil zkusit identifikovat uvnitř organizace vhodného člověka. Pokud ho najdu, tak je nutné mu poskytnout prostor pro vzdělávání a zajistit dostatečné pravomoci a prostředky. Měl by mít naprostou podporu vedení. Na začátku bych doporučil propojení s externí společností, která má praktické zkušenosti, a zajistit externí konzultace.
Na to máme na trhu odborné firmy, které jsou schopny začínajícímu manažerovi kybernetické bezpečnosti pomoci. Jak jsem se spolu bavili – pokud člověk vzešel např. z provozu, tak nemá praktické zkušenosti a ty se studiem nezískají, jen praxí.
Proto je dobré se s někým spojit a nasát znalosti, vzdělat se. To si člověk prostě musí zažít.
Primárně bych neřekl, že vždy nejlepší cesta je někoho si najmout. Realita je ale taková, že pro část společností to může být cesta jediná.
PS: Tomu rozumím. Viděl jsem případovou studii, kde na základě analýzy a komunikace s firmou zjistili, že existuje i cesta k urychlení, protože ta výchova a přijetí trvá nějakou dobu. Oni změnili procesy a technologie a nebylo úplně potřeba mít tak výkonného člověka a mohl stačit jen dohled. Ale museli ze začátku více investovat do technologií. Umíte vy takové společnosti dodat automatizované technologie, které částečně mohou, v některých bodech, nahradit ten lidský faktor?
JK: Ono to k tomu směřuje. I my jsme dospěli do bodu, kdy se bez automatizace neobejdeme. Provozujeme poměrně velké bezpečnostní dohledové centrum. Tím, jak se zvětšuje portfolio zákazníků, tak je samozřejmě tlak na personální zdroje. V určité míře a velikosti se protne křivka počtu personálních zdrojů s efektivitou.
Není to tak, že když naberu víc lidí, obsloužím víc zákazníků. To funguje jen do určité velikosti. Poté to začne selhávat, protože mám mnoho lidí, a ti lidé potřebují adekvátní manažerské řízení. Lidé pak nejsou tak efektivní jako menší tým. Část problémů s tím spojených pak mohu řešit automatizací procesů bez lidských vstupů. A to se dá právě řešit automatizací.
Dnes v této oblasti používáme automatizační systémy, např. SOAR, který je schopen operátorům SOC nabízet řešení dané situace, sumarizovat údaje, které vidí a za normálních okolností by je vyhodnocovali ručně, opticky a vkládali by do toho svoji mentální kapacitu. Tyto systémy udělají část práce za ně, nabídnou jim řešení, ale stále tam musí být lidský faktor. Bez toho to, z mého pohledu, nejde. Pořád někdo na konci musí rozhodnout, jestli se jedná o něco, čím je potřeba se dále zabývat, nějaký bezpečnostní incident, anebo se jedná o událost, která je pouze anomálií v systému a neznamená přímé ohrožení informačních systémů v dané společnosti.
Tedy zpátky k firmám. Určitě tomu operátorovi, manažerovi, auditorovi, případně jiné roli, tyto nástroje pomáhají, zvyšují jeho efektivitu, ale vždycky tam bude zodpovědnost té dané osoby, která ve finále vždycky rozhodne, protože na tom stroji, když rozhodne špatně, si já jako firma nic nevezmu. Tím nemyslím, že by lidé měli být za chybná rozhodnutí nějak perzekuováni, to v žádném případě, všichni jsme omylní, ale vždycky někdo na konci musí odpovědnost nést, a to i z právního hlediska. Není to tak, že rozhodne stroj a je za to zodpovědný. A doufám, že to tak ani nikdy nebude, protože všichni víme, že emoce a vlastní invence, kreativita lidí, ta je potřeba.
PS: Děkuji Vám.