Můžete mi popsat společnost SimSpace? V Česku jsme o ní neslyšeli.
Je to pravda, teprve v Evropě začínáme. V USA už ale fungujeme v oblasti kyberbezpečnosti sedmým rokem. Máme kořeny v americkém vojenském prostředí. Můj kolega William „Hutch“ Hutchison, se kterým jsem firmu SimSpace spoluzaložil, začínal jako vojenský pilot a postupně přešel do oddělení, která se zabývala čistě kybersvětem, podílel se na mnoha inovativních projektech, jež výrazně změnily a zlepšily schopnosti americké armády v kyberprostoru.
Já jsem působil ve federálním výzkumném centru pokročilých technologií MIT Lincoln Laboratory. Patnáct let jsem tam pracoval na vývoji prostředí, ve kterém všechny bezpečnostní organizace USA od armády až po tajné služby mohly rozličnými způsoby testovat kvality svých kyberbezpečnostních produktů.
Pak jsme se spojili a založili SimSpace, do které armáda vydělila technologie pro vytváření virtuálních simulačních prostředí a rozšířila jejich využívání i pro komerční sféru. Armáda nás dodnes používá pro školení jak v oblasti obrany, tak i útoku. Kupříkladu jsme se podíleli na trénování všech šesti tisíc členů speciální jednotky US Army CyberForce, pro které jsme společně postavili vysoce
realistická testovací prostředí.
Takový podobný princip budování úspěšných firem z vojenského prostředí mají třeba v Izraeli. Takže to je stejný případ?
Ano, akorát v Izraeli jsou v téhle formě podnikání mnohem dál, v USA takový
postup není úplně běžný. Ale prostě jsme vzešli z vojenského prostředí a naše know-how na vytváření tréninkových, vysoce realistických prostředí pro školení v oblasti kyberbezpečnosti si neseme s sebou.
V čem je to know-how unikátní?
Jak jsem říkal, pocházíme z armády, takže umíme pro školení nasimulovat opravdu věrné prostředí z praxe a máme vytvořené skutečně funkční postupy, jak by měla kyberobrana země či společnosti fungovat. Protože pokud se chcete efektivně bránit, musíte mít k ruce velmi dobrý tým odborníků, nejen technologie.
Jak si takový tým můžu postavit?
V první řadě musíte mít lidi ochotné na sobě pracovat. Měli by mít určité znalosti, i když ty jim můžete předat v rámci školení. Nejdůležitější a nejsložitější je však z těch jednotlivců postavit funkční tým. Protože mít hromadu byť skvělých individualistů je prakticky k ničemu, když nebudou umět pracovat spolu.
Tým pak musíte pravidelně vzdělávat a trénovat. Pro efektivní edukaci proto stavíme naše tréninkové prostředí. Spolupracujeme s velkou většinou vendorů bezpečnostních řešení, takže dovedeme postavit školicí proces přesně na míru každé firmě podle jejích požadavků, potřeb a interního vybavení.
Takže byť jste bezpečnostní firma, vlastně nic nevyrábíte?
Přesně, pomáháme firmám trénovat, testovat, zlepšovat pracovníky, dokážeme určit, kde jsou jejich slabá místa, a navrhovat kvalifikovaná řešení vzniklých problémů, kvantifikovat, jak dobrá je organizace, aby se zlepšila.
Když si koupíte pušku, pistoli nebo zaměstnáte někoho jako ochranku, jdete vyzkoušet na střelnici, jak to ta zbraň nebo člověk zvládají. Naše služby jsou takovou střelnicí v kybersvětě. Vytváříme bezpečné prostředí, kde si můžete všechno vyzkoušet a být připraven na střet s realitou.
Staráte se tedy to, aby byl nejslabší článek v obraně – tedy člověk – připraven a správně vyzbrojen?
Ano, ale nesmí se zapomínat ani na technologie. Ani sebelepší člověk nebo tým neobstojí bez vhodných technologií. A naopak sebelepší technologie je k ničemu, když ji neumíte používat.
Proto pomáháme zákazníkům vybírat nástroje a současně trénovat na nich jejich zaměstnance. Nejsme nijak spojení s žádným vendorem, jsme technologicky nezávislí, můžeme radit opravdu nezaujatě.
A obvykle je problém v oblasti bezpečnosti v tom, že organizace nemají buď správné technologie, nebo připravené lidi s patřičnými dovednostmi.
Coby firma s vojenskými kořeny musíte aspoň trochu vidět do konfliktu mezi Ukrajinou a Ruskem, který se děje i v kybersvětě. Myslíte si, že se Česka dotýká takový konflikt víc než třeba USA, protože jsme velmi blízko okupovaných území?
Je to pro vás možná trochu jiné, ale v kyberprostoru nehraje vzdálenost roli. Jak si myslíte, že americká armáda mohla poskytnout tak velkou podporu Ukrajině v kyberprostoru během relativně krátké doby? Protože k tomu intenzivně začala cvičit a školit specialisty právě pomocí naší platformy.
Jak by mělo postupovat Česko v této době při ochraně svého kyberprostoru?
Každá země, obzvlášť ty sousedící s Ruskem či Ukrajinou, by měla intenzivně budovat bezpečnostní síly, aby se byla schopná skutečně bránit ruským útokům. Nebudeme si nalhávat, že Rusko není v kyberprostoru velmi aktivní.
Jak tedy postupovat? Musí tam být koordinace. Nejen na vládní úrovni, ale i mezi soukromým sektorem a vládou. Každá banka nebo energetická firma se musí umět uchránit sama, ale všichni včetně armády si musejí navzájem vypomáhat a sdělovat si informace, aby byla obrana maximálně efektivní. Protože na konci dne jeden osamocený subjekt útoku neodolá, ale společně ho mohou zvládnout nebo alespoň minimalizovat škody.
Platí to samozřejmě i v mezinárodním měřítku – jeden stát nemusí uspět, ale více spolupracujících států už si může poradit.
Jaký je váš typický zákazník?
Jsou to armády, vlády. Je to finanční sektor, energetické společnosti… Je jich plno, když bych to měl zkrátit, tak asi pro každou společnost, která provozuje vlastní bezpečnostní operační středisko (SOC) s pěti, deseti a více lidmi, je vhodná naše spolupráce. Pomůžeme jim najít správné nástroje a vychovat odpovídající bezpečnostní operátory.
Protože náležitá kyberobrana není jen o dobré technologii a kvalitních lidech. Ti lidé musejí umět ty nástroje používat, a to nejen v klidu, ale i při skutečném kybernetickém útoku, kdy se na ně valí jedna katastrofa za druhou. V takové situaci se musejí umět chovat, musejí znát své limity, schopnosti svých kolegů a nebát se řešit problém společně. Protože jenom sehraný tým uspěje.
Teprve při takto simulovaném útoku, který opravdu vypadá jako skutečný, zjistíte, kde jsou vaše potenciální slabiny.
Jak často by se takový útok měl trénovat?
Pravidelně. Jednotlivci by na vylepšování svých znalostí měli pracovat každý týden, tým by měl takové menší cvičení postoupit jednou za měsíc a každý čtvrtrok až půlrok nějakou opravdu velkou simulaci. Ovšem jen v případě, že máte stabilní tým. Pokud z něj někdo odejde nebo se rozroste, je třeba se secvičit co nejdříve.
Rychlost změn v technice a způsobu kyberútoku je však mnohem rychlejší. Jak rychle zareagujete vy a připravíte platformu pro simulaci nových typů útoků nebo zranitelností?
Typicky nám trvá vytvořit automatické simulace nových útoků do pěti dnů potom, co je náš tým odhalí. Pro klasické simulace máme totiž připravené automatické scénáře, které otestují běžné bezpečnostní postupy. Dovedeme i používat individuální scénáře, kdy útok vedou skuteční živí lidé za monitory. Každý náš zákazník si tak může v profilu naklikat, jakým typem útoku chce pro-
věřit svůj bezpečnostní aparát.
Případné nedostatky může potom odstranit třeba studiem více než 400 hodin školicích materiálů, které máme v systému připravené pro zlepšení schopností celých týmů i jednotlivců.
Počítám, že umíte simulovat i útok na firmu, která provozuje aplikace v cloudu.
Samozřejmě umíme připravit simulace jak pro AWS nebo Azure, tak i třeba při používání lokálních providerů. Ostatně my sami pro simulace používáme cloudová datacentra. Máme své vlastní v Bostonu a teď jsme čerstvě otevřeli nové ve Frankfurtu pro naše evropské zákazníky kvůli legislativě i lepší časové zóně a časové odezvě.
Existuje jedno řešení, se kterým lze vyřešit všechna kyberrizika?
Nejsem si tím jistý, my spíše razíme teorii nejlepší z vrhu. Tedy od každého si vybrat to nejlepší a naučit se používat. Ale nesmí se to přehánět, firmy mají běžně 50 až 100 bezpečnostních nástrojů, které je stojí velké peníze, ale v praxi je vůbec neumějí používat. Jen si je pořídily, protože to bylo zrovna trendy. Poslední dobou z finančních důvodů hodně našich zákazníků prochází konsolidací a zbavuje se zbytečností. Lépe mít méně dobrých nástrojů a tým, který je umí používat, než mít na každý problém nějaké drahé technické řešení, jež nikdo neumí obsloužit.
Vyhození nepoužívaného softwaru je ideální způsob šetření peněz, které můžete použít pro školení personálu. A s tou redukcí také umíme efektivně pomoci.
Článek vznikl za finančního přispění společnosti SimSpace. Oficiálním partnerem společnosti SimSpace je v ČR firma Taktik.
Tento rozhovor a řadu dalších zajímavých textů si můžete přečíst v magazínu CIO BW 4/22, který je koupi zde.
CIO Business World si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.