• GDPR a kybernetická bezpečnost

     male Axenta logoNa otázky kolem kybernetické bezpečnosti a kolem GDPR jsme se zeptali Ing. Lukáše Přibyla, ředitele akciové společnosti Axenta a.s.

    Lukáš PřibylV poslední době se v souvislosti s kybernetickou bezpečností hodně hovoří o GDPR regulaci. Přibližte nám prosím, co vše představuje.

    Nová legislativa EU ohledně ochrany osobních údajů – General Data Protection Regulation (GDPR) – bude platit již od 25. 5. 2018. Dává občanům EU možnost kontroly nad tím, co se děje s jejich osobními údaji. GDPR umožní stejnou vymahatelnost práva na ochranu osobních údajů v celé EU, ukládá stejné sankce a zavádí těsnou spolupráci dozorových orgánů. Aby tato legislativa byla přijata ve všech zemích EU a v řádné podobě, zajišťují vysoké pokuty za její nedodržování.

    Jaké povinnosti z ní vyplývají pro státní správu a samosprávu?

    Větší zpracovatelé osobních údajů budou mít za povinnost zřídit pozici DPO – Data Protection Officer. Dále GDPR s sebou přinese větší administrativní i technickou zátěž při nakládání s osobními údaji a nově je zavedena povinnost hlásit úniky dat do 72 hodin od zjištění, a to nadřízenému orgánu – v případě České republiky je to Úřad pro ochranu osobních údajů. Nařízení pro soukromý sektor jsou v podstatě stejná jako pro státní instituce.

    Jaké produkty a služby nabízíte zákazníkům?

    Axenta a.s. nabízí zejména řešení a služby v oblasti provozních a bezpečnostních monitoringů. A dále nabízíme řešení a služby v oblasti Quality Assurance v kyber bezpečnostních projektech a řešení pro sledování a management chování vybraných osob v oblasti IT.

    Mezi vašimi klienty je řada společností z průmyslového sektoru. Na co vše se v této oblasti zaměřujete?

    Zde se zaměřujeme také na oblast provozního a bezpečnostního monitoringu. V této oblasti máme jedny z největších a nejstarších referencí, vždyť v tomto oboru jsme osobně již 15 let a firma Axenta a.s. se v něm pohybuje od založení, tj. od roku 2009.

    S digitalizací průmyslu a přechodem na Industry 4.0 potřeba bezpečnosti dat a jejich množství vzroste nebývalou měrou. Jsme na to dostatečně připraveni?

    Technicky a znalostně jsme na toto připraveni. A výrobci řešení a produktů také. Jediným problémem se v tuto chvílí jeví nedostatek erudovaných a znalých lidí, ale to je celosvětový problém v oblasti kybernetické bezpečnosti. Přičítáme to rychlému rozvoji v této oblasti v posledních letech.

    Na nedávném semináři jste hovořil o tom, že bezpečnost je pouze o lidech. Můžete to specifikovat?

    Sebelepší detekční technika není v tuto chvíli schopna ověřit, zda se opravdu jedná o incident a pokud ano, není schopna reagovat podle incident response plánů. Takže potřeba člověka na rozhraní stroje a reality je stálá. A jak jsem odpovídal výše, odborníků na kyber bezpečnost je stále málo.

    Jak tedy uchopit kybernetickou bezpečnost?

    Asi není reálné očekávat, že někdy půjde vývoj IT ruku v ruce s bezpečností. Pobídky trhu jsou tak silným stimulem, že bezpečnost je vždy řešena o krok pozadu, prostě a krátce zdržuje.

    Nelze tedy nad tímto plakat, ale je potřeba konat. Apelovat na zavedení kyber bezpečnosti do všech nových oblastí, evangelizovat veřejnost a v neposlední řadě i vyvíjet nové produkty s ohledem na co největší úsporu lidských sil.

    Co Axentu se odlišuje od jiných firem z oboru?

    Axentu a.s., odlišuje především jiný přístup. My, zakladatelé společnosti jsme dříve pracovali na místech příjemců služby, takže si dokážeme představit potřeby našich zákazníků a respektujeme je. Dále se snažíme být inovativním, mladým, a přesto velice zkušeným týmem na špici v oblasti bezpečnostních monitoringů.

    Jaké jsou podle vás hlavní hrozby současnosti a jaká opatření je třeba přijmout, aby se minimalizovaly?

    Žijeme stále podobný život se všemi radostmi a problémy jako před sto lety. Ale naše údaje, peníze, informace apod. se přesunuly do virtuálního světa. Logicky se tedy útoky, krádeže, války také přesouvají do tohoto virtuálního světa. Za hrozby osobně považuji překotný rozvoj Internet of Things, Smart Technologií, útoky na IT výrobních systémů apod. a v neposlední řadě i nedostatek odborných lidských kapacit v oblasti kyber bezpečnosti. Vyjmenovat všechny záměry, jak zabezpečit tyto oblasti by zabralo mnoho řádků, omezím se tedy jen na prohlášení, že opatření jsou hledána a nacházena a pokud je snaha a chuť, vždy se řešení najde.

     -LiM

  • Současný stav GDPR pohledem odborníka

     male Axenta logoNa otázky, týkající se GDPR jsme se zeptali odborníka na tuto problematiku, Ing. Lukáše Přibyla ze společnosti Axenta.

    Tématem rozhovoru byla nedávno proběhlá celostátní konference ISSS (Internet ve státní správě a samosprávě), konaná v Hradci Králové na začátku dubna. Společnost Axenta a.s. se jí aktivně účastnila jako jeden z vystavujících.

    Byli jste účastníkem konference ISSS 2017. Zaznamenal jste osobně nějaké nové trendy a přístupy, týkající se GDPR?

    Společnost Axenta a.s. byla opět vystavovatelem na konferenci ISSS 2017. Konference ISSS byla zaměřena na kybernetickou bezpečnost, problematika GDPR ale nebyla nosným tématem tohoto ročníku konference. Problémy GDPR byly diskutovány v jednom z menších sálů a blok měl jen jeden den. Nové trendy jsou tedy jasně dány zákonem a jeho platností od 25. 5. 2018.

    Myslíte si tedy, že ISSS přispěla v rozšíření povědomí o GDPR? A jsou vám známy reakce firem, státní správy, tedy něco, co by mohlo akcelerovat problematiku GDPR ve státním sektoru?

    Jak jsem již sdělil výše, nevšimli jsme si detailnějšího zaměření letošního ročníku ISSS na GDPR, možná i proto, že na tématiku GDPR bylo, je a jistě i bude zaměřeno mnoho jiných specializovaných konferencí a workshopů v České republice.

    Z vašich dosavadních slov tedy soudíme, že konference ISSS v problematice GDPR asi nebyla příliš velkým přínosem?

    Z výše uvedeného vyplývá, že přínos tu sice jistý byl, ale téma GDPR nebylo hlavním pro konferenci ISSS 2017.

    Jsou tedy nějaké novinky ve společnosti Axenta, které se týkají GDPR?

    Společnost Axenta a.s., jako předsedající společnost družstva Network Security Monitoring Clusteru, plánuje nabízet komplexní služby pro zájemce a povinné subjekty dle zákona o GDPR. Bude se jednat o analytické vstupní práce, implementace nápravných opatření pro dosažení požadovaného stavu, kontrolní mechanismy a v neposlední řadě budeme poskytovat i služby externího DPO – Data Protection Officera. Tyto komplexní služby budou mít vlastní webové stránky a služby budou zajišťovat zhruba čtyři až pět společností z NSMC.

    Blíží se – nebo už je na dohled – květen roku 2017. Co by firmy v tento okamžik měly dělat nebo čím by se měly zabývat, aby stihly realizaci GDPR do příštího roku, kdy začne toto nařízení EU na konci května roku 2018 platit? Co byste firmám v tento okamžik dokázal poradit?

    Do okamžiku platnosti GDPR zbývá skoro přesně jeden rok. Osobně bych začal posouzením aktuálního stavu v dané organizaci a tato analýza následně ukáže, kudy se vydat pro zajištění plnění povinností dle GDPR.

    -LiM

  • Kybernetické nebezpečí neustále roste

     male Axenta logoNa otázky kolem kybernetické bezpečnosti odpovídá Ing. Lukáš Přibyl, předseda představenstva společnosti Axenta a. s., www.axenta.cz.

    Jak vnímáte z pozice firmy, která se kybernetickou bezpečností zabývá, zvýšenou aktivitu kybernetických útoků v této době?

    Svět je globální, elektronicky propojený, a navíc zažíváme větší pohyb lidí a větší změny ve střídání režimů, zejména ve vztahu k Asii. Válka se vede nejen ta fyzická, konvenční, ale paralelně i kybernetická. Tento trend bude narůstat.

    Jsou české firmy kvalitně připraveny na tyto útoky?

    Jak jsou do detailu české firmy připraveny nelze soudit. Ale lze poměrně dobře odhadnout, jak je připravena Česká republika a její kritická infrastruktura. Máme tu Zákon o kybernetické bezpečnosti a máme tu vytipované organizace, které provozují kritickou infrastrukturu státu nebo významné informační systémy. A tyto organizace by je měly chránit právě v souladu s požadavky Zákona o kybernetické bezpečnosti.

    Jaké možnosti v edukaci této problematiky, nabízíte za společnost Axenta a NSM cluster?

    Primárně NSM Cluster, jehož je společnost Axenta a.s. předsedou, nabízí školení kybernetické bezpečnosti. Jde o školení, které má několik variant, a to jak pro různé stupně zaměstnanců, tak pro různé stupně znalostí. Společnost Axenta a.s. participuje v tomto školení jen některými částmi.

    Co byste poradil firmám v době, kdy se na ně sypou nejen hackerské útoky, ale také témata EIDAS, ZoKB a GDPR?

    Zachovat chladnou hlavu, provést analýzu stavu IT, kybernetické bezpečnosti a následně stanovit kroky, které povedou k souladu se zákony a normativy, které musí daná organizace plnit. Postupným plněním nápravných opatření dojít k vyváženému stavu a ten udržovat a případně i zlepšovat. Jak jsem říkal v úvodu našeho rozhovoru – kybernetické útoky budou. Současný poslední kybernetický útok nezasáhl Českou republiku tak silně, jako ostatní členské státy EU. Ale příště tomu už tak být nemusí.

    -LiM

  • Společnost Axenta v pilné práci

     male Axenta logoNa dění především v oblasti GDPR a bezpečnosti jsme se ptali Ing. Lukáše Přibyla, předsedy představenstva společnosti Axenta a. s., www.axenta.cz.

    Jak v současné době řešíte GDPR v rámci vašich projektů?

    Naše společnost Axenta a.s. se od svého založení v roce 2009 specializuje na implementace provozních a bezpečnostních dohledových systémů. Tyto systému monitorují úroveň bezpečnosti nad datovými aktivy a tím pádem bdí i nad osobními údaji. Takže se dá zjednodušeně říci, že naše systémy obsahují nativně zabezpečení osobních údajů. Samozřejmě je potřeba provést pár dílčích úprav a nastavení a případně i doplnit systém o instalace vybraných chybějících prvků.

    Podílíte se na práci skupiny firem pro GDPR, řeknete nám k tomu něco bližšího?

    Novinkou je založení a práce skupiny firem pro oblast GDPR. Je to několik firem z Network Security Monitoring Clusteru, které se dlouhodobě zabývají analýzami, stanovením nápravných opatření a implementací těchto opatření v praxi. Pracujeme pod názvem GDPR-SNADNO, více informací je zde: www.gdpr-snadno.info a AXENTA a.s. je jedním ze zakládajících členů této skupiny. Rád bych vypíchl, že neposkytujeme pouze právní a procesní poradenství, ale také implementace nápravných opatření a také služby DPO a služby forenzního týmu pro vyšetření incidentů.

    A jak pomáháte klientům v době, kdy kybernetické útoky rostou geometrickou řadou?

    Nejvíce pomáháme přenesením dobré praxe v oblasti nastavení našich dohledových systémů od klientů, kde útok proběhl ke klientům, kde se útok dá očekávat. A dále kvalitním servisem provozovaných monitorovacích systémů.

    Vnímáte větší tlak na kvalitu kyberneticko-bezpečnostních služeb?

    Ano, zcela určitě. Zákonná povinnost je větším motivačním faktorem pro naše zákazníky a také hrozba sankcí z neplnění povinností je Damoklův meč visící nad povinnými subjekty.

  • Jak je na tom vaše firma s přípravou na GDPR?

    Termín, kdy se GDPR stane běžnou realitou, se neúprosně blíží, květen příštího roku je stále více na dohled. Požádali jsme o vyjádření k této problematice předsedu představenstva společnosti AXENTA a. s Ing. Lukáše Přibyla.

    TrezorPokud vám vrtá v hlavě neustále téma GDPR a chcete návod, jak se s ním nejlépe vypořádat, přečtěte si následující rozhovor. Možná vás dokáže inspirovat v tom, jaké kroky už se v jiných firmách provádějí a co máte začít (konečně) podnikat ve vaší společnosti, abyste v půli příštího května byli – jak se říká – ready i vy.

    Z jakého úhlu pohledu vnímáte aktuální trend prodeje služeb v oblasti GDPR?

    Aktuální trend prodeje služeb v oblasti GDPR vidíme z naší pozice dodavatele služeb a řešení v této oblasti. Takže z tohoto úhlu pohledu mohu říci, že v současné době se zabýváme nejvíce prováděním analytických prací u našich zákazníků. Tyto analýzy jsou zaměřeny na prozkoumání souladu aktuálního stavu přípravy našich zákazníků na plnění požadavků GDPR. Následně rozdílové stavy v přípravě a v požadavcích dle zákona popíšeme v soupisu nápravných opatření.

    Očekáváme, že v prvním kvartále roku 2018 budeme řešit implementace nápravných opatření a zavádění procesu řízení životního cyklu osobních údajů.

    Nabízíte také nějaké služby z této oblasti?

    Ano, samozřejmě, nabízíme kompletní služby v této oblasti. Začínáme analytickými pracemi, pokračujeme přes výše zmiňované implementace stanovených nápravných opatření a zavádění procesu životního cyklu osobních údajů a naše komplexní služby uzavíráme poskytnutím forenzního týmu pro pomoc našim zákazníkům v případě nastalého incidentu. V tomto týmu máme i dva proškolené a certifikované DPO neboli Data Protection Officer, česky pověřence pro ochranu osobních údajů.

    Termín GDPR se blíží mílovými kroky, dají se stihnout přípravy ve firmách teď, když je již konec roku?

    Stihnout se dá všechno, ale je potřeba neotálet. Do konce roku je naše kapacita již omezená, ale vstupní konzultace jsme stále našim zákazníkům připraveni poskytnout. S nimi pak stanovíme harmonogram prací na první kvartál roku 2018, kde musí proběhnout vstupní rozdílová analýza a následně bezodkladně implementace nápravných opatření. Spekulovat o tom, že při případné kontrole od nadřazeného kontrolního úřadu, bude stačit prokázat snahu, není vhodné.

    Můžete dát nějaké rady firmám, které čeká příprava na GDPR, jak se jednoduše na GDPR připravit anebo zjistit, co mají a nemají v pořádku?

    Kybernetická bezpečnost ve vztahu k ochraně datových aktiv dnes není jednoduché téma, kde stačí zaměstnat jednoho interního zaměstnance a tímto úkolem jej pověřit. Dnes je kybernetická bezpečnost samostatný studijní obor a je potřeba smířit se s tím, že implementace kybernetické bezpečnosti není jen projekt, ale je to zejména proces a tento proces vyžaduje tým odborníků, kde každý má svoji nezastupitelnou roli. Je to zejména specialista na právo, legislativu a procesy, dále specialista na IT a specialista na lidské zdroje a jejich edukaci. Takže firmám bych doporučil obrátit se na ověřené dodavatele, využít jejich služeb, a to představuje nejkratší – a nakonec i nejlevnější – cestu k cíli. V naší společnosti připravujeme speciální automatizované dotazníky za účelem rychlého a přesného sběru vstupních informací a dále již musí nastoupit lidská práce analytiků.

    Děkujeme za rozhovor!

    Petr Smolník, šéfredaktor

Nejčtenější