Životu nebezpečné útoky ve zdravotnickém sektoru i VR hry ve vzdělávání. To jsou jen některá ze cybersecurity témat, ke kterým má co říct Mical Wojnar –h zástupce ředitele oddělení Cyber & Privacy v PwC Česká republika. Všechna zbylá témata s ním můžete probrat osobně u stánku s virtuální únikovkou v KCP.

Vaše mateřská firma PricewaterhouseCoopers je známá spíš coby auditorská. Jaké máte porfolio, pokud jde o cybersecurity (dále SC)?

PwC Česká republika dnes nabízí kompletní end-to-end řešení, kdy dokážeme zákazníkovi pomoct bezpečnost navrhnout, naplánovat a provést implementaci na bázi procesů i konkrétních technologií, přičemž u některých technologií dokážeme i zajistit jejich provoz. A kolečko se vrací zpět na začátek, když takové prostředí auditujeme a navrhujeme další zlepšení. Není tomu tak ale u všech zákazníků, někteří volí raději z pohledu důsledného oddělování rolí různé bezpečnostní firmy coby implementátora a auditora.

Jakými technologiemi se konkrétně zabýváte?

Především souvisejícími se Security Operation Centry, tedy SIEMy, Vulnerability Managementy, nástroje pro detekci událostí na koncových stanicích EDR (Endpoint Detection Response). Mezi evropskou špičku patří naši odborníci na řízení privilegovaných účtů, administrátorských oprávnění na úrovni OS nebo vybraných aplikací. Zabýváme se také pokročilými metodami řízení rizik v IT, máme například moderní platformu pro artikulaci rizik pro top management, tak aby byly pro vedení firem srozumitelné.

Vcelku unikátní jsou vaše nástroje vzdělávání, které využívají gamifikaci. Můžete nám je přiblížit?

Máme dvě poměrně pokročilé simulace – jednak Cyberarénu, týmovou hru opět pro top managementy firem, kde simulujeme, jak vypadají jednotlivé útoky na společnost v souvislosti s reputací, s příjmy společnosti, s investicemi do technologií. A pak máme individuální únikovou hru ve virtuální realitě, kde se nasazením brýlí ocitnete ve světě útočníka, který se snaží získat informace ze společnosti Big Data Corp. a poškodit ji. Hráč buď uspěje, nebo skončí ve vězení. Zajímavé je to hlavně v tom, že vidíte situaci z jiné perspektivy, která vás upozorní na riziko ze strany běžného uživatele. Například pokud necháte puštěný nezabezpečený počítač, útočník do něj může vložit flashdisk a úspěšně provést útok. Hra vás přitom vždy upozorní, že se tak stalo například díky tomu, že heslo bylo schované na papírku pod klávesnicí. Účastníci si to koneckonců mohou vyzkoušet sami v průběhu finále ECSC.

Mimo jiné se zabýváte bezpečností společností ze zdravotnického sektoru. V čem je unikátní?

Je to oblast, kde se kybernetický svět blízce dotýká našeho reálného světa a může nám ublížit. Ve světě už takové pokusy o ublížení pomocí počítače na dálku proběhly. Např. v Německu znemožnil ransomware útok fungování jednoho z nemocničních oddělení, pacienta museli převézt a během toho zemřel. V USA proběhl pokus v čističce odpadních vod smíchat chemikálie tak, aby se z vody stala jedovatá kapalina. Loni jsme proto prováděli průzkum mezi odbornou IT veřejností, jak vnímají bezpečnost českého zdravotnictví. Jaké informační kanály považují za bezpečné a které zdravotnické informace považují za citlivé, například ohledně dárcovství krve nebo orgánů.

Čeho se podle vašeho průzkumu lidé nejvíc obávají?

Že by jim někdo vstoupil do kardiostimulátoru nebo diabetické pumpy, které je dnes běžně možné připojit k počítači a stahovat z nich data. Toho, že by tyto komunikační kanály mohl útočník použít destruktivně, aby někoho poškodil nebo dokonce zabil. Naopak jim nejméně vadí možný unik dat z chytré váhy.

Zdravotnictví vám zjevně není lhostejné, i proto jste se rozhodli pro bono podpořit budování obranyschopnosti pro Lékaře bez hranic?

Každý rok si v PwC volíme několik společensky prospěšných aktivit, ať už jde o formu mentoringu v rámci různých sociálních projektů, hackathonů, přednášek a seminářů pro studenty apod. Mimo to jsme se rozhodli každý rok vybrat jeden projekt, který cíleně pomáhá neziskovému sektoru. Loni to byli právě Lékaři bez hranic, kdy jsme jim pomohli se zhodnocením jejich bezpečnosti, s návrhem zlepšení adekvátním situaci, velikosti a dostupným zdrojům. Nejednalo se přitom jen o českou pobočku, ale o celý globální IT service, který operuje z Prahy. V případě takovéto neziskové organizace útočníkům asi nepůjde o peníze nebo ublížení na dálku, jejich motivace může být například politická nebo ideologická a ani přinejmenším ji nelze podceňovat.

Zmínil jste studenty. Spolupracujete s vysokými školami, podporujete nějak vzdělávání studentů?

Kolegové učí na ČVUT, VŠE, působí jako lektoři v Czechitas, přednáší na univerzitách třetího věku. Systémově takové aktivity podporujeme prostřednictvím tzv. Teachers Clubu. Studentům jsme také dávali možnost zahrát si v naší Cyberaréně. Prostřednictvím virtuální reality se snažíme podporovat i jiná oddělení, takže máme například v rámci Recruitment Programu aplikaci jménem Virtuální auditor, která pomáhá ukázat a zatraktivnit pracovní náplň auditora hravou formou.

Nabízíte mladým zájemcům o CS nějaké stáže nebo juniorské programy?

Nabízíme placené stáže pro studenty, kteří mají zájem se CS zabývat. Vždycky nás přitom zajímá jejich individuální motivace – co je k tomu oboru přivedlo, proč se chtějí CS věnovat a jakou cestou by se chtěli vydat. Těch už je dnes celá řada a pokud v tom mají jasno, můžeme jim pak poskytnout adekvátní projekt, kde si to mohou vyzkoušet. Někdy zjistí, že to pro ně není ta správná cesta. Typicky někoho zajímají standardy a normy, jde si vyzkoušet práci kolem ISO 27001 a implementací systémů řízení bezpečnosti informací, a potom zjistí, že ho víc zajímá technická práce. U nás si může vyzkoušet jedno i druhé a porovnat si to.  V tomto poskytujeme unikátní příležitost vyzkoušet si širší spektrum náplně práce. A také možnost nahlédnout zvenčí do fungování firem u vícero zákazníků.

Děkujeme za rozhovor