Rozhovor s Mgr. Janem Kozákem, projektovým manažerem ve společnosti AXENTA a.s., vedl Petr Smolník, šéfredaktor vydavatelství AVERIA.
Petr Smolník: Dobrý den, Honzo, zdravím Vás v AVERIA.NEWS. Dnes jste přednášel na konferenci o kybernetické bezpečnosti a umělé inteligenci v Pardubicích. Měl jste tam přednášku a já se Vás na ni hned zeptám. Představil jste tam případovou studii o strojírenské firmě a kybernetické bezpečnosti v ní. Nebyla to klasická IT firma, se kterou běžně pracujete, které poskytujete nějaké služby v SOC, ale byla to firma strojírenská, ještě k tomu trochu zbrojařská.
Můžete nám k tomu říct, jak se to k Vám dostalo? Jak uděláte případovou studii na takovou společnost, kde už by měli kybernetickou bezpečnost historicky nějak vyřešenou?
Jan Kozák: Dobrý den, velice rád. Podívejte se, dnes trh začíná fungovat trochu jinak. Už to není o tom, že bychom něco dělali jenom pro IT firmy. Je to hodně o tom, že firmy si uvědomují potřebu nějakým způsobem řešit jak tu kybernetickou bezpečnost, tak hlavně vůbec schopnost detekce.
A když se podíváme na to, co jsem dnes přednášel, to byl primárně příběh. Ten příběh byl o tom, že strojírenská firma, která se primárně vždycky věnovala svému oboru, ať už je to ohýbání, sváření plechu nebo vyrábění obrobků, dospěla do fáze, kdy její zákazníci požadují, aby se ona k jejich datům chovala bezpečným způsobem.
Asi hlavním impulzem pro to, aby to začali řešit, byla velká zbrojní zakázka, kterou chtějí realizovat. A ten partner, který si je vybral jako nejkompetentnější společnost v této oblasti, vyloženě striktně požadoval, aby kybernetickou bezpečnost řešili a provedli audit společnosti. Oznámili: „Pojďme spolu spolupracovat, vy se nám líbíte, ale musíte tu svou infrastrukturu a tyto věci dát do pořádku, a vyberete si společnost, která pro vás bude dlouhodobým partnerem.“
Takže tady se nebavíme o tom, že bychom spolupracovali rok, dva, tři. Zbrojní zakázky jsou v horizontu dekád. Protože nejenom, že to vyrobí, oni to potom budou dlouhodobě servisovat. Ta vojenská technika má dnes životnost 20, 30, 40 let, kdy se ty komponenty a ty stroje, nebo respektive to, co budou vyrábět, musí servisovat a musí se to pro armádu udržovat funkční.
PS: Ta případová studie byla provedena tak, že jste jim nejdříve udělali audit, kde mají nějaké mezery v kybernetické bezpečnosti nebo jak to vlastně probíhalo?
JK: My už jsme se dostali k výsledkům auditu. To znamená, že zákazník sám si najal společnost, která provedla audit u této firmy nebo u budoucího partnera. Auditor vyhodnotil nálezy, kde nesplňují v určitých oblastech jeho požadavky, a dostal za úkol oslovit komerční společnosti.
My, AXENTA, jsme se k tomu dostali jako jedna z oslovených firem. Prošli jsme si několika koly výběrového řízení. Tak nějak jsme si společně „sedli“ a řekli si, že to spolu chceme dělat. A to už byla reálná případová studie. To znamená, že jsme dnes ve fázi, kdy technologie v té společnosti implementujeme a budeme realizovat dohled nad jejich infrastrukturou a nad jejich daty.
PS: A je tam nějaký úhel z pohledu směrnice NIS2, musí něco splňovat vůči této směrnici? Nějaká pravidla nebo požadavky, které jsou s touto zakázkou nebo klientem spojené?
JK: Podívejte se, NIS2 není žádná revoluce, to je jenom přirozená evoluce. A ono by se to takto mělo i chápat a prezentovat. Zákazníci, kteří už spadali pod zákon o kybernetické bezpečnosti nebo obecně měli zavedené ISO z rodiny 27000 nebo tedy ISMS, když to převedeme do známější zkratky, tak už určitým způsobem fungovaly, podle toho standardu, který dnes říká, že NIS2 by ten zákazník měl splňovat.
Víceméně zákon o kybernetické bezpečnosti projde další novelizací, a z toho to vyplyne, ale nebude to kompletní přepracování. Takže ano, i s tímto aspektem se to tam buduje. Zákazník dostane, ať už v té oblasti procesu, tedy oblasti technických opatření, i v oblasti lidských zdrojů, vše tak, aby do budoucna, pokud bude povinným subjektem, tato nařízení splňoval. Ono to není jenom o technice, ono je to právě i o těch lidských zdrojích a procesech, a to tam chceme zajistit komplexně. Takže nejenom, že tam děláme technická opatření, ale provádíme také kompletní revizi všech směrnic – procesů, která ta společnost má.
PS: A když půjdeme o krok dál, a nechci abyste vyzradil nějaké tajemství, jak dlouho bude trvat tento proces, o kterém hovoříte, to posouzení procesů, poté nasazení a splnění požadavku klienta?
JK: Ten harmonogram, který jsme si se zákazníkem ustanovili, počítá s tím, že bychom to měli zvládnout během 12 měsíců. A to je za mě taková hraniční doba, kdy je to vůbec fyzicky, lidsky, a technologicky zvládnutelné.
Je třeba si uvědomit, že i na straně zákazníka je potřeba obrovská součinnost. Ono to není o tom, že my jako externí společnost tam přijdeme a celé to „překopeme“. Moje letitá zkušenost je, že procesy a směrnice se musí přizpůsobit životu té společnosti, ne naopak život společnosti těm směrnicím, protože to potom nefunguje. Každá společnost svým způsobem žije, má nějakou vnitřní zažitou kulturu, a je to o tom, že ti lidé se neobrátí na povel, nezačnou dělat něco jiného. Takže ten proces musí popsat to, jak fungují, a najít v tom nějaké zlepšení. A stejně tak ty technologie musí reflektovat to, jak to ve firmě funguje.
Tady máme trochu výhodu, že tu část pro zbrojní výrobu stavíme na zelené louce. I ti zaměstnanci, kteří budou vyčleněni pro tuto práci, vlastně přecházejí do nové role, takže i taková ta mentální výhoda, že nový zaměstnanec nerozporuje, ale počítá s tím, že takto nastupuje do určitého procesu. Kdežto letití zaměstnanci mají většinou s přechodnými změnami problém.
Ale my jsme tam hlavně partnerem. Nejsme direktivní orgán, protože i ve finále to, co je tím cílem, a to je poskytovat nad tím služby bezpečnostního dohledového centra, tak to je úzký partnerský vztah. My nejsme auditoři, nejsme dráb, který by říkal, vy to děláte špatně. My jsme tam spíš ten kamarád, který říká: „…my tady vidíme nějaký problém, pojďme ho společně řešit“. Naším společným cílem je předejít bezpečnostním incidentům a maximálně řešit bezpečnostní události s cílem, že je eliminujeme nebo že zabráníme případným škodám, v případě pokusu o kybernetický útok. Tím cílem tedy je být opravdu partnery.
PS: Děkuji Vám. Celou tu přípravu si natočíme, až ji budete mít potvrzenou a mít možnost zveřejnit. Děkuji Vám a přeji Vám hezký den.
JK: Já Vám také děkuji.
