Práce Dana Rosendofa, Security Division Directora v ICZ, se i díky hardwarovým šifrátorům místy blíží bondovce. Sice se zabývá ochranou utajovaných informací, ale některé zajímavé detaily ze své práce nám přesto prozradit může.

Skupina ICZ má široký záběr působnosti – od zdravotnických IT řešení, přes bezpečné videokonference až k systému velení a řízení ozbrojených a vzdušných sil. Jaké je vaše portfolio, pokud se jedná o kyberbezpečnost?

CS se věnujeme na mnoha úrovních, a to od té nejstarší – tedy bezpečnosti sítí a infrastruktury a síťového provozu, kde se zabýváme kompletním zabezpečením perimetru. Zároveň se ale zabýváme CS až na úrovni operačních systémů a vlastních aplikací. Nabízíme tedy opravdu komplexní řešení od koncových stanic přes perimetr a zabezpečení serverů, sítí, privilegovaných i normálních účtů. Je třeba nezapomenout na cloudové služby, infrastrukturní monitoring, logování a analýzy logů. To je takový řekněme spodek a k tomu děláme návrhy bezpečných systémů, což považuji za to opravdu zajímavé. Často po nás zákazníci chtějí zabezpečit už existující systém, což bývá dražší a složitější. Ideální situace pro nás je, když přijdou ve fázi chci systém, mám na něj takovéto požadavky, jak to postavit, aby to bylo bezpečné? Většinou takovou možnost nemáme, ale třeba u utajovaných skutečností to tak často bývá.

Mezi vaše služby patří mj. certifikované informační systémy určené pro zpracování utajovaných informací, držíte osvědčení NBÚ na stupeň utajení Přísně tajné. Co vše to s sebou pro vás nese – pozitiva i negativa?

Začnu negativy, a to nutností personálních prověrek. V dceřiné společnosti SICZ mají všichni nějakou bezpečnostní prověrku, od přísně tajné po důvěrné. Znamená to zásahy do soukromí, množství práce kolem, ztěžuje to i hledání lidí. Ne každý je k tomu ochotný, a hlavně to trvá, než je prověrka vydaná a člověk může začít pracovat. Druhé negativum je velikost naší republiky a tím pádem omezený trh. Přičemž zahraniční obchod v utajovaných skutečnostech je poměrně hodně složitý z byrokratického hlediska. Velké pozitivum z mého pohledu je zákonná definice toho, jak taková bezpečnost má vypadat a velký tlak na to ji zajistit. Máme zákon o kybernetické bezpečnosti, který platí pro všechny, ale je to nesrovnatelné s tlakem, jaký vyvíjí zákon č. 412/2005 o ochraně utajovaných informací. Lidé to berou vážně, protože za únik utajované skutečnosti je horní sazba tuším pět let, to už si každý rozmyslí. Přičemž riziko dopadá přímo na konkrétní osoby, kterým taková informace unikne. Zatímco v běžném světě se jedná o rizika především pro organizaci, což se nebere tak vážně. Můžeme díky tomu stavět systémy opravdu kvalitně, bezpečně a množství bezpečnostních kompromisů je výrazně nižší. V normálním světě jsou na prvním místě funkčnost a tržby, tady je to opravdu bezpečnost. Koneckonců může na tom záviset něčí život. Dalším pozitivem je stabilita trhu, ačkoliv se většinou jedná o státní správu, kde je to zase v některých ohledech složitější.

Nabízíte také hardwarové šifrátory, které si sami vyvíjíte. V čem vidíte přednosti takového řešení?

Hardware začíná být čím dál větší bezpečnostní hrozba. Dnes má každá síťová karta spoustu akcelerátorů, je to další počítač v počítači, u kterého často nevíte, co vlastně dělá. Běžné tržní produkty se vyrábějí v Asii, kde se nahrává i firmware, neprovádí se certifikace a záruky jsou minimální, nebo žádné. Jelikož my máme produkt v ruce od úplného počátku, od hardwaru přes veškerý firmware a software, víme, co jsme tam dali a máme to celé pod kontrolou. Jak se zhoršují bezpečnostní rizika, lidé si to začínají více uvědomovat. I komerční firmy by docela rády měla záruky, že pokud něco vyvíjejí, že ty informace neputují ke konkurenci a pomalu začínají mít požadavky dříve běžné jen v utajovaném světě. Zároveň funguje národní hrdost, že máme něco vlastního, s vlastními algoritmy.

Jak náročný je jejich vývoj?

Vývoj je drahý a složitý, mnoho firem ho nedělá. Potřebujete velké množství velmi specializovaných expertů, hardwaráře, netypické softwaráře, kteří dokážou vyvíjet na úrovni firmwaru, tzn. pro hardware, pro jádra operačních systémů. Kromě bezpečnosti je důležitá také funkcionalita. Protože i v utajovaném světě, pokud něco navrhnete úplně bezpečné, ale nepoužitelné, tak i přes hrozící riziko si uživatelé najdou nějaké obezličky. Jsou ochotní více skousnout, ale má to svůj bod zlomu, kdy raději hodí notebook z okna a budou pracovat na papíře.

O jakém časovém horizontu se v případě vývoje šifrátorů bavíme?

Od plošného spoje k použitelnému produktu to trvá tak 2-3 roky. Další fází je certifikace pro utajované informace, a to může zabrat klidně i další rok. Je to náročné, ale v podstatě už vyrábíte věci pro Jamese Bonda. Možná to není tak krásné a nevybuchuje to, i když i takové testy jsme dělali, jestli jsme schopni nechat takovou kartu fyzicky nebo chemicky shořet. Ale lidé, kteří se nás snaží chránit na mezinárodním poli, tomu pak de facto svěřují svůj život.

A pokud jde o výrobu, probíhá u nás, nebo také v Asii?

Co je možné, je vyráběno u nás. Některé čipy nakupujeme ze zahraničí, z Evropy nebo ze Severní Ameriky. Některé neaktivní prvky, kondenzátory apod., tam je to různé, tam nelze všechno získat lokálně. Například jeden z našich projektů už nebylo možné v Česku osadit čipy. A i v továrně v Německu, což byla snad jediná, kterou jsme v Evropě sehnali, se jim to povedlo až napotřetí. Je poměrně děsivé, jak velký je problém vyrobit to v Evropě, přitom telefon, co máte v kapse, je o dva až tři řády menší a složitější. Vzhledem k tomu, jak dnes vypadá geopolitická situace, nás tohle může ještě hodně bolet. S dopadem pandemie si snad státy uvědomí, že je dobré umět si něco vyrobit sami.

Již od svého založení se intenzivně zabýváte budováním a správou síťové infrastruktury. Výpadky přenosové infrastruktury dnes mohou vyústit ve značné obchodní ztráty. Jaké bývají nejčastější příčiny výpadků a jak jim předcházíte?

Když pomineme živelní katastrofy, tak nejčastější příčiny jsou závady hardwaru a softwaru, chyby administrátorů a bezpečnostní incidenty. Riziko nikdy nejde snížit až na nulu, ale u našich zákazníků se snažíme ho mírnit mj. pomocí monitoringu, testování softwaru před nasazením a upgrady, centrálním řízením segmentů sítě apod. Pokud jde o cílené útoky, zde je třeba být připraven reagovat co nejrychleji a zapojit veškeré možnosti od nejzákladnějších jako next generation firewally, sandboxy, antiviry, EDR až po SOC, SIEM… A nesmí se zapomínat na vzdělávání uživatelů, kteří představují pořád nejslabší článek systému. Stále jeden z nejčastějších vektorů je email, kdy přijde třeba zpráva, že jsme měli někomu něco vyfakturovat, hrozí nějaká pokuta a vystresovaná fakturantka snaživě hned stáhne všechny přílohy a průšvih je na světě. Je třeba mít robustně nastavený systém, aby jedna chyba fakturantky neznamenala, že vám odejde půlka infrastruktury a zároveň průběžně vzdělávat. A jak jsem už říkal, stavět systémy od začátku s důrazem na bezpečnost.

Spolupracujete s vysokými školami? Nabízíte mladým zájemcům o kyberbezpečnost nějaké stáže nebo juniorské programy?

Spolupracujeme s Jihočeskou univerzitou, kde je CS program, a právě teď pro ně připravujeme stáže. Máme přednášky na Matfyzu, na FITu a doufám, že do budoucnosti toho bude ještě víc. Zároveň podporujeme různé vzdělávací aktivity pro mládež, mj. i Kybersoutěž a ECSC. Co se týče specifických stáží, které nabízíme, snažíme se je průběžně rozvíjet, aby to bylo pro mladé lidi zajímavé a zároveň čitelnější, co přesně se u nás mohou naučit.

Děkujeme za rozhovor