Ochrana firemných údajov vo virtuálnom svete – poznáte SecurityScorecard?

Google+ Pinterest LinkedIn Tumblr +

Téma kybernetickej bezpečnosti sa v dnešnom svete skloňuje čoraz viac a viac. Ešte v nedávnej minulosti si jej dôležitosť mnoho firiem príliš neuvedomovalo. Nevenovali jej prioritnú pozornosť, a ak aj áno, snažili sa riešiť problém kybernetickej bezpečnosti vlastnými silami, v rámci svojich možností. Mnohé firmy používali manuálne vyhodnocovanie zabezpečenia infraštruktúry, ktoré však dnes, v čase rýchlo sa meniaceho trhu a pri obrovskej dynamike zmien vo vlastnej infraštruktúre firiem, absolútne nie je postačujúce.

Zaujíma vás, ako čo najlepšie ochrániť vaše firemné dáta či údaje vašich klientov? Chcete vedieť viac o tom, ako sa brániť voči reálnym hrozbám v kybernetickom priestore a zabezpečiť citlivé údaje pred prípadným útokom hackerov? Spoločnosť SecurityScorecard ponúka firmám nástroj, ktorý nielen otestuje aktuálny stav bezpečnosti firmy, ale permanentne monitoruje a vyhodnocuje jej zabezpečenie a redukuje tak hrozbu kybernetických útokov. Viac nám o tomto nástroji, o profile firmy, ale aj kybernetickej bezpečnosti ako takej, prezradil Jozef Chudý, Head of Quality Assurance a Czech Republic Site Manager firmy.

FOTO: www.facebook.com/PatriciaBelickovaPhotography

Ahoj Jozef, povieš nám, ako si sa dostal k tejto práci?

K tejto práci som sa dostal prostredníctvom inzerátu na Glass door. Videl som, že tu už pracuje kolega, s ktorým som v spojení na LinkedIn, povypytoval som sa ho, o čo ide. Povedal mi, že je to americký startup, že majú zaujímavý business case, a že tu v Čechách práve potrebujú otvoriť pobočku a hľadali niekoho do QA – to mi v podstate sedelo do môjho profilu a do toho, čo som chcel robiť.

Čomu sa venuje firma SecurityScorecard?

Hodnotou firmy SecurityScorecard je zabezpečiť VRM – vendor risk management. Najlepšie to vysvetlím na príklade. Máme firmu A, ktorá predáva nejaký produkt, napríklad fotografie. Firma A má ako jedného z dodávateľov firmu B, ktorá jej dodáva nejaké služby, napríklad úpravu fotografií. Firma A pri svojej činnosti pracuje aj s citlivými údajmi, ktoré sú uložené niekde v infraštruktúre firmy, napríklad na cloude, v počítači… Tieto údaje musí zabezpečiť voči útokom hackerov, prípadne inému zneužitiu. Na tento účel si teda firma A najme firmu SecurityScorecard, ktorá jej urobí audit infraštruktúry. Tento audit sa nazýva „Scorecard zabezpečenia“. V rámci neho firma pozoruje infraštruktúru, vyhodnocuje všetky potrebné technické parametre napr. zabezpečenie voči malware útokom, sleduje, ako je zabezpečená bezpečnosť firemných sietí, zabezpečenie endpoint servisov, ochranu mail serverov. Zhromaždí všetky potrebné údaje z týchto pozorovaní a potom na základe komplexných výpočtov vytvorí „scorecard“, kde bude vyhodnotenie siete firmy z hľadiska bezpečnosti – firma získa skóre a ešte takzvaný „semafor“. Zelená farba na semafore znamená najlepšie hodnotenie a červená naopak najhoršie. Vyhodnocuje sa celkom 7 faktorov, výsledok sa interpretuje číselne aj semaforom. Toto hodnotenie dodávame firmám zadarmo.

A tá druhá vec, ktorú ešte SecurityScorecard dodáva pre firmy, konkrétne pre zamestnancov firmy na poste Chief Security Officer a Risk manažérov, ktorí zodpovedajú za ochranu firmy a potrebujú pomoc pri zabezpečení tejto ochrany, je niečo ako „nápravný plán”, v ktorom firmám hovoríme o konkrétnych krokoch, ktoré vedú k zlepšeniu zabezpečenia v ich firme.

FOTO: www.facebook.com/PatriciaBelickovaPhotography

Ako firmy doteraz riešili otázku kybernetickej bezpečnosti?

Interne, v rámci firmy, sa vypĺňali dotazníky, v ktorých Risk manažér žiadal od všetkých administrátorov podrobné údaje zabezpečenia jednotlivých serverov, komplexné údaje o heslách, portoch, firewalloch, čo je vo veľkých firmách (100 000 ľudí), kde je veľké množstvo serverov, veľmi zdĺhavý proces, trvá napríklad mesiac. Pričom ten proces je neplatný už od prvej minúty, kedy bola tá úloha zadaná. Je to z jednoduchého dôvodu – pretože infraštruktúra firmy sa neustále mení, 24 hodín denne, 365 dní v roku. Pri takomto manuálnom vypĺňaní dotazníkov, kým sa údaje dostali k Risk manažérovi, už boli neplatné. A v tom je práve naša výhoda. My vieme na dennej báze poskytovať informácie o tom, ako sa zmenila infraštruktúra. Aby takýto monitoring na dennej báze fungoval, musíme si dohodnúť spolu kontrakt, a to je vlastne ten biznis case, z ktorého žijeme.

Pre doplnenie nášho príkladu, nestačí, ak má zabezpečenú infraštruktúru len firma A, pretože odoberá aj nejaké služby od firmy B, no a firma B odoberá zas od firmy C a tak ďalej. Preto firmy žiadajú nielen o svoj vlastný scan, aj o scan firiem, s ktorými spolupracujú a zdieľajú medzi sebou nejaké dáta. Chcú vedieť, či aj tieto firmy majú dostatočne zabezpečenú infraštruktúru. Náš biznis case je výhodný v tom, že my nepotrebujeme mať armádu obchodníkov, ktorí by náš produkt predávali, stačí, aby sme ho predali jednej firme a lavínovite sa potom šíri cez všetkých vendorov ďalej.

Kto sú vaši klienti?

Nemáme špecifické odvetvie klientov, na ktorých by sme sa zameriavali. Máme záber na celý internet, na akúkoľvek doménu, na akúkoľvek firmu vo svete, ktorá chce mať zabezpečenú svoju infraštruktúru. Nerozlišujeme, či je to automobilový priemysel, medicína, bankové systémy, telekomunikačné systémy…

Máte klientov po celom svete. Ktoré aktivity alebo kroky hodnotíš ako kľúčové pre rast firmy?

Našou kľúčovou hodnotou, o ktorú sa snažíme starať, je spokojnosť zákazníkov. Veľmi dôležitým faktorom je taktiež spoľahlivosť nášho systému. Kľúčové sú pre nás práve hodnotenia zákazníkov. Ponúkame riešenie, ktoré je automatizované, vyžaduje minimálnu manuálnu podporu na to, aby sa nejaké „false positive“ problémy objavili a v tomto máme veľký náskok pred konkurenciou. Máme rozvetvenú platformu na novú funkcionalitu. Tu by som hlavne podotkol, že naozaj dodávame zákazníkom niečo, na čo sa môžu spoľahnúť.

Ako si vie bežná firma overiť, či je dobre „zabezpečená”?

Môžu ísť na to tým spôsobom, že si spíšu, čo všetko by sa malo vlastne skenovať na infraštruktúre, aby sa zistilo, či tá spoločnosť je napadnuteľná takým alebo onakým spôsobom, môžu si to spísať do excelu, to sú tie dotazníky, rozposlať to napríklad adminom, ktorí sa starajú o infraštruktúru, oni ich vyplnia a následne môžu urobiť nejaké nápravné kroky.

FOTO: www.facebook.com/PatriciaBelickovaPhotography

Akých 5 praktických vecí môže malá firma či startup spraviť sám, aby sa ochránili proti kyber hrozbám?

Neviem, či vymenujem práve 5 vecí, ale určite je veľmi potrebné zabezpečiť, aby mali prehľad o tom, čo im kde beží, na ktorom serveri. Aké servisy im bežia, aby tieto servisy boli ešte za nejakým firewallom, chránené, aby mali presný prehľad o tom, čo s kým zdieľajú. Veľmi dôležité je, samozrejme, aby používali silné heslá, aby ich podľa potreby menili. Stále mať nejaký svoj zoznam, ktorý si odškrtávam, či mám všetko hotové, skontrolované, splnené, aby som na nič, čo sa tohto zabezpečenia týka, nezabudol.

Keď už sme pri tých silných heslách, čo to vlastne znamená? Na čo má človek dbať pri tvorbe hesla?

Ak nemáš vlastný overovací systém, ale chceš si overiť, či tvoje heslo je, alebo nie je dostatočne silné, môžeš využiť napríkla zdarma open source aplikácie na Internete, ktoré vyhodnotia silu tvojho hesla. Alebo ti povie – pri dnešných prostriedkoch toto heslo je hacknuteľné. Dokonca ti povie čas, ktorý je na jeho zlomenie potrebný. Dnes na silné heslá existujú algoritmy, rôzne aplikácie, nástroje, ktoré ti vedia vygenerovať heslo, ktoré bude dostatočne bezpečné.

Čo sa najčastejšie hackuje? Sú to aplikácie? Pracovné maily?

Najužitočnejšie sú dáta. Osobné údaje, ktoré sa dajú využiť a zneužiť na to, aby sa hacker dostal k systémom, z ktorých môže naozaj vyťažiť peniaze. Alebo je to na nejaký blackmailing.

A ako sa tomu ubrániť?

Povedzme, že dnes je veľmi rozšírené mať nejaký Master Key alebo Master Password, existujú systémy, ktoré dokážu ukladať množstvo hesiel. V súčasnosti je to o tom, že všetci máme 20 súkromných aplikácií – od facebooku až po pinteresty – a pri všetkých si musíme zadať nejaké heslo. Nie je dobré opakovať to isté heslo, pretože ak ho zlomí hacker raz, dostane sa ku všetkému, čo ten človek používa. Najlepšie je mať rôzne heslá do všetkých aplikácií, dostatočne silné.

Čo považuješ za najväčšie kybernetické riziká v nasledujúcom období?

Tak to je veľké portfólio. Je to napríklad nejaká špionáž, ktorá sa robí dnes na úrovni vládnych agentúr, pri ktorej sa malvéry dostávajú k nám do počítačov, sú distribuované a nenachádzajú sa iba v jednej aplikácii, ale vedia sa v istom čase stretnúť a vtedy niečo urobiť, nejakú škodu a zase sa nejakým spôsobom vytratiť. Veľmi často sú to štátne Intelligence agentúry. Je to veľmi ťažko vystopovateľná vec. Pokiaľ to robia štátne agentúry, tak bojujú viac menej len medzi sebou o získavanie informácii a o nadvládu v špionáži. Horšie môže byť, keď niekto hackne napr. jadrovú elektráreň a mal by také silné nástroje, že by prešiel cez všetky zabezpečovacie techniky a brzdy. Potom môže dôjsť k nešťastiu.

Koľko je vás aktuálne v tíme SecurityScorecard a kde momentálne pôsobíte?

Tu v Prahe je nás 20. To, čo sme chceli vybudovať tu, a snáď sa nám aj darí, je mať centralizované RND na jednom mieste. Sídlime v HubHube.

FOTO: www.facebook.com/PatriciaBelickovaPhotography

Čo je pre teba najväčším prínosom práce z HubHubu?

Je to služba, ktorá ako jediná dokázala splniť všetky 4 atribúty, ktoré sme požadovali.

Je to v centre – to bola silná požiadavka manažmentu z New Yorku. Bolo pre nich mimoriadne dôležité, aby sme sa nachádzali niekde na dopravne dostupnom mieste.

Ďalšou požiadavkou bolo, aby kontrakt nebol viazaný na 4‑5 rokov, ale na nejaké kratšie obdobie.

Veľkou výhodou práce z HubHubu je možnosť rozšírenia priestorov, alebo naopak ich zmenšenie v prípade potreby.

No a na záver, nás veľmi oslovil aj komfort, ktorý HubHub ponúka. Je vidieť, že priestory sú dobre navrhnuté a sú spravené z kvalitných materiálov.

Čo je podľa teba najväčší mýtus o práci v coworkingoch?

Mne coworking evokuje nejakým spôsobom slovo kolaborácia, spolupráca – a to je vyložene pozitívna vec, takže ja osobne som s nejakým mýtom o coworkingu nikdy nebojoval.

Ktoré miesto v HubHube máš najradšej?

Asi kávomat v open space. Práve tam stretávam ľudí z iných startupov. Bavia sa o niečom, čo napríklad trápi aj mňa, takže vždy prehodíme pár slov. Prakticky si všetci hneď tykáme, máš známych, možno postupne aj priateľov, takže, je to naozaj príjemné prostredie.

Ďakujeme za rozhovor!


Článok v spolupráci s coworking centrom HubHub.

Share.

About Author

Patrícia Beličková

Písaniu sa venujem už od stredoškolských čias. Zaoberala som sa témami v rôznych odboroch. Každá z nich ma posunula ďalej nielen profesionálne, ale predovšetkým ľudsky. Mala som možnosť študovať umenie a dizajn v Krakowe a masmediálnu komunikáciu. Túžba spoznávať svet a učiť sa ma zaviala na istý čas aj do Prahy, kde som pracovala na rôznych projektoch, predovšetkým v oblasti marketingu, mediálnej tvorby a fotografie, čomu sa venujem aj tu na Slovensku. Rada robím veci, ktoré majú význam, a ktoré pomáhajú tento svet zlepšiť.

Leave A Reply