V mém týmu je polovina žen. V kyberbezpečnosti mají stále silnější roli, říká šéf bezpečnosti Uniqa Karel Polák

„I v kyberbezpečnosti jsou kabelky od Prady. Jsou krásné, dobře se prezentují, mají umělou inteligenci. Jenže pak zjistíte, že se vám do ní nevejde to, co potřebujete,“ uvedl v rámci odborného setkání projektu #FinŽeny na téma Kyberbezpečnost. Kabelka od Prady, nebo záchranná vesta? ředitel úseku bezpečnosti a pojistného podvodu Uniqa Karel Polák. Co jsou největší hrozby dneška? A jak na ně reagovat?

Když dojde na lámání chleba, nezáleží na tom, kolik jsme do bezpečnosti nasypali peněz a kolik máme ajťáků. Záleží na tom, jak rozhodné máme manažery a jak jsou schopni reagovat v krizových situacích. Touto myšlenkou Polák zahájil své vystoupení, v němž kladl důraz především na osvětu personálu.

Bezpečnost firemního sektoru se primárně vztahuje ke kyberbezpečnosti, ale nejen k ní. Firmy naráží na další rizika, v posledních letech spojená s geopolitickým vývojem, stálicí jsou přírodní katastrofy. Tyto tři oblasti se točí na čele žebříčku hrozeb pro firmy i podle různých studií. S kybernetickými hrozbami je podle manažera Uniqy třeba počítat jako s hotovou věcí a jejich váha se bude zvyšovat.

Podle Poláka, mimochodem dobrovolného hasiče, je pro téma bezpečnosti typické, že se řeší, až když je pozdě. „Je třeba to otočit a téma uchopit tak, aby pozdě nebylo. Dnes není otázka, zda se něco stane. V každé firmě se dříve či později něco stane. Je potřeba, aby v té chvíli zodpovědní věděli, co mají dělat, ne aby začali zmatkovat,“ uvedl Polák.

Stabilita, logika, odolnost

Expert pojišťovny Uniqa popsal nejčastější vznik kybernetických hrozeb, který je proti obvyklé představě dosti banální. „Máme tendenci si prostředí kybernetické kriminality představit tak, že ji tvoří lidé v mikinách s kapucí v potemnělých místnostech. Jenže často je to tak, že někdo přišel do práce a měl špatný den. Nasadil či nainstaloval něco, co neměl. Nebo dodavateli vypadl klíčový člověk, takže neprovedl aktualizaci, nenastavil síťový prvek. To dnes způsobuje největší problémy,“ popsal Polák. 

Útok na IT infrastrukturu je podle řečníka obvykle jen začátek, který odhalí chyby. Stále větší složitost systémů přitom nahrává jejich zranitelnosti. „Technologické prostředí ve firmách je stále složitější, protože nikdo nechce zůstat pozadu. Dnes chce každý umělou inteligenci, ale i ta může být zlý pán,“ varuje Polák s tím, že podstatou kyberbezpečnosti není jen samotná obrana před útoky, ale především stabilita, logika a odolnost vnitřní regulace. V tom je důležitá součinnost též oddělení vnitřního auditu a compliance. „Bezpečnost je otázka celé firmy. Pokud to management nebude prosazovat, nemůže velký důraz čekat ani na nižších patrech,“ vysvětlil. 

Poučený leadership na všech úrovních je tedy klíčovým atributem. Podle Poláka je přitom jedno, zda je lídrem muž či žena. Ačkoli v prostředí IT a bezpečnosti stále převažují spíše muži, ve společnosti Uniqa tomu tak není. „Dlouho jsem žil v představě, že to pro ženy není moc lákavá oblast. Ale byl jsem vyveden z omylu. V mém týmu je polovina žen, a kdyby si nevedly stejně dobře jako muži, nebyly by tam. Dokonce bych řekl, že si vedou lépe,“ uvedl Polák. 

Několik tipů

Polák poukázal též na to, že přísná regulace uplatňovaná v zemích Evropské unie sice přináší řadu výhod, ale též zásadní nevýhody. „Naše odvětví je regulováno národními bankami, EU, speciální legislativou DORA, máme skvělé technologie, to vše jsou výhody. Na druhé straně s tou složitostí jednak roste riziko, že vznikne škoda, jednak finanční instituce je vždy pod větším tlakem útočníků než třeba restaurace rychlého občerstvení. Navzdory vší ochraně zůstáváme lukrativním cílem a nemůžeme si dovolit zaspat,“ uvedl Polák. 

Zaspat může být snadné třeba i proto, že díky dobře nastavené firemní bezpečnosti se třeba několik let nemusí žádný incident stát. I tehdy je ale bdělost na místě. Polák je v pojišťovně též zodpovědný za trénink krizového týmu a popsal loňskou simulaci útoku ransomware, který zašifroval všechna data. „Musel jsem rozhodnout, zda odstřihneme celou firmu. Školitel se zeptal, zda bych toho byl schopen. Řekl jsem, že ano, protože vím, že bych tím část firmy zachránil,“ popsal zásadní moment. 

Polák je přesvědčen, že v oblasti kyberbezpečnosti platí Paretovo pravidlo, konkrétně v podobě, že splněním 20 procent základních opatření lze dosáhnout 80procentního zabezpečení dat firmy. „Jakmile ošetříte privilegované účty a správu identit, multifaktorovou autentifikaci a zálohy, máte dobrý technologický základ. K tomu ale patří ještě podstatná věc a to je awareness, neboli kompetentnost personálu. Je důležité lidi trénovat, ukazovat jim, co se může stát, a vštěpovat jim, že vždy se najde někdo, kdo z nich bude chtít tahat data,“ uzavřel.