Au! Proč firmy podceňují autorizaci a autentizaci?

Když firma zavádí informační nebo výrobní systém, zná očekávanou návratnost a seznam budoucích výhod. Finanční manažer získá lepší reporty, skladník okamžitý přehled o dostupných položkách, účetní přehlednější podklady k fakturaci. Jednoduše tak dokáže spočítat investice. V případě kyberbezpečnosti a ochrany dat je situace mnohem složitější. Protože platíte v zásadě „jen“ za to, že všechno funguje a o celém pozadí toho mnoho nevíte. I proto si mnoho firem říká: „to se nás přece netýká“, „naše data přece nikoho nezajímají“ nebo „něco tam máme, a to asi stačí“. A potenciální zisky se každému prodávají výrazně lépe než potenciální ztráty.

Česká republika by podceňování bezpečnostních rizik mohla vyhlásit za národní sport. V obcházení pravidel, jisté míře bohorovnosti a vymýšlení vlastních cestiček podle dostupných statistik patříme mezi „nejlepší“ v regionu. Co s tím? To už jsou otázky na Petru Dušovou a Jana Trunkáta, kteří mají v rámci CES EA týmu firmy Aricoma na starost problematiku zabezpečování identit. Na jedné straně řeší zabezpečení státních institucí, měst, nemocnic a úřadů samosprávy – a na druhé straně vyvíjejí vlastní produkty v oblasti identity managementu, access managementu a nově také v oblasti privilegovaných účtů.

Tři velká „au“

Přeloženo do češtiny, řeší tři velká „au“, které firmy či úřady často trápí: To, jak automatizovat péči o autorizaci a autentizaci jednotlivých účtů. Jak zajistit přístup k datům jen těm, kteří ho opravdu potřebují. V ideální míře a podle role, kterou daný člověk v organizaci má. A zároveň, jak zabezpečit to, aby se do systému nedostal někdo nepovolaný.

Jakou paseku může způsobit nedostatečné zabezpečení účtů, jsme měli možnost vidět v nedávné minulosti, kdy hackeři napadli nemocnice v Benešově či v Brně. Paralýza interních systémů v nemocnicích je mimořádný malér, protože nejde o miliony jako ve chvíli, kdy vám stojí výroba, ale o zdraví a životy, protože musíte odkládat operace. A uhlídat takovou nemocnici, ve které se neustále mění personál, pracuje se v nepřetržitém provozu a do sítě se připojují nejrůznější interní i externí systémy, je opravdu oříšek.

„Kritickou infrastrukturu už dnes řeší kybernetický zákon, proto nemocnice nebo státní instituce spadají mezi subjekty, které musí mít řízení identit vyřešeno, a vztahuje se na ně zákonná povinnost. Pro firmy je ale security manager člověk, kterého budou na trhu jednak těžko shánět a zároveň jej budou nuceni draze platit. Proto hodně zvažují, zda se jim vyplatí a rizika tak nechávají na jiných,“ vysvětluje Petra Dušová, která řeší identity & access management v rámci největší české IT skupiny Aricoma.

Řešení je PIM/PAM

Ale zpět k českým firmám. „Je až neuvěřitelné, když zjistíte, kolik z nich data vůbec nezálohuje. Nebo kolik z nich je nechává dostupná a nehlídaná. Přitom každá firma má tu největší hodnotu – kromě zaměstnanců – v oblasti know-how a dat. A praxe ukazuje, že až šedesát procent ztrát přichází zevnitř. Data ohrožují lidé, kteří ve firmě jsou nebo nedávno byli zaměstnáni. To nevyřeší žádný firewall nebo SIEM (Security Information and Event Management), ale vhodná celková strategie, která obsahuje celý management identit.

Pokud netušíte, kdo se vám ve firmě pohybuje, kdo má k čemu přístup a jaké jsou role jednotlivých uživatelů, máte zaděláno na problém. A právě pro každou část máme tři různé úrovně řešení. Uživatele a jejich role řeší identity management, přístup access management a pohyb v rámci infrastruktury PIM/PAM,“ doplňuje Jan Trunkát, který má na starosti technický vývoj vlastního řešení v oblasti identity.

Příští rok do ciziny

„Když jsme v roce 2010 začínali, byla to trochu sázka do loterie. První řešení jsme prodávali dokonce ve chvíli, kdy jsme ho neměli ještě ani úplně dotažené. Ale v posledních letech jsme několikrát prokázali, že se můžeme měřit i s těmi největšími světovými řešeními. A k tomu jako bonus přidat výhodnější cenu a výrazně dostupnější služby,“ říká Petra Dušová.

„Hodně těžíme z toho, že máme platformu, která řeší všechny typy identit. Umíme pokrýt všechny běžně používané systémy a platformy, jako je AD, LDAP, Office 365, Google Workspace (dříve G Suite), komunikujeme se SAP, Navision, D365 i lokálními řešeními nebo řešeními pro specifické vertikály. Zejména pro lokální zákazníky je pak velká výhoda, že umíme celou implementaci rychle odřídit. A díky vlastnímu vývoji jsme schopni vyvinout spoustu řešení na míru,“ doplňuje Jan Trunkát.

Přesto tým pod vedením Radima Drgáče necílí jen na zákazníky v České republice. „Jsme přesvědčeni, že jsme společně dali dohromady řešení, které dokáže obstát v evropské konkurenci. Naší ambicí je v příštím roce najít partnera v zahraničí a nabízet celý balíček identity managementu v rámci evropských zemí. Kombinací úrovně, ceny a služeb ho považujeme za unikátní,“ uzavírá Petra Dušová.

Automatizace, autorizace a autentizace jsou tři slova, která je dobré mít na paměti, pokud nechcete zažívat bolestivou ztrátu dat a cenných údajů. 

"Jakou paseku může způsobit nedostatečné zabezpečení účtů, jsme měli možnost vidět v nedávné minulosti, kdy hackeři napadli nemocnice v Benešově či v Brně."

Nemocniční IT potřebuje injekci. V Jihlavě ukazují, jak ji píchnout

Digitalizaci by chtěli všechny. Jsou ale obory a odvětví, kde to s ní jde ještě pomaleji než jinde. Příkladem budiž zdravotnictví: fokus na jiné věci, financování závislé na různých zdrojích a nedostatek kvalifikovaných lidí. To jsou podle Davida Zažímala, náměstka pro informatiku a kybernetickou bezpečnost Nemocnice Jihlava, hlavní důvody, proč to právě v tomto sektoru drhne. Právě „jeho“ nemocnice je ale příkladem toho, co všechno se dá udělat, když se okolnosti sejdou a restrukturalizaci táhne šikovný lídr. V Jihlavě se do ní pustili už někdy před deseti lety a teď se k nim jezdí učit kolegové z celé republiky.

Digitalizace Česka? Jsme opravdu blízko zásadnímu posunu

Je přesvědčený, že jeden člověk dokáže změnit stát. Pavel Kolář, ředitel ekonomického odboru Vojenské zdravotní pojišťovny (VoZP), věří, že se mu podaří v příštích měsících nastartovat revoluci ve sdílení agend mezi úřady. Poslední rok a čtvrt pracuje na přelomovém projektu datového propojení pojišťovny se „sociálkou“ – Českou správou sociálního zabezpečení (ČSSZ). Pokud se technologické řešení v praxi osvědčí, může významně posunout digitalizaci celé veřejné správy a ulehčit lidem od byrokracie. A pro příznivce štíhlého, digitálního a efektivního státu má vůbec dobré zprávy.