Pandemie koronaviru a vypnutí ekonomiky zasáhly téměř všechny obory. O tom, jak moc se proměnily trendy v oblasti kyberbezpečnosti a ochrany informací, ale i o důležitosti kvalitního vzdělávání jsme si povídali s neúnavným propagátorem kyberbezpečnosti Alešem Špidlou a odbornicí na ochranu informací Evou Škorničkovou.
Po začátku globální pandemie se odborníci napříč profesemi shodovali v tom, že svět už nebude takový, jaký jsme jej znali. Oba se pohybujete v oblasti bezpečnosti, jeden na poli kyberbezpečnosti, druhý v oblasti ochrany informací. Projevila se tedy celosvětová krize způsobená koronavirem opravdu zásadním způsobem i ve vašem oboru?
Eva Škorničková: Vzhledem k tomu, že jsme svědky naprosto výjimečného období, ve kterém se fungování celého světa přesunulo do online prostředí, tak se téma ochrany našeho soukromí a bezpečnosti stalo ještě více aktuálním než kdykoliv předtím. Ve snaze zabránit šíření koronaviru byly za poslední měsíce vyvinuty po celém světě desítky tzv. trasovacích aplikací, které pochopitelně zpracovávají řadu osobních údajů včetně těch citlivých zdravotního charakteru, a tím došlo k výraznému prolomení ochrany našeho soukromí ve snaze ochránit zdraví osob. Je až neuvěřitelné, jak rychle a ochotně se řada lidí dokázala vzdát ochrany svého soukromí a svěřit svoje data aplikacím, o jejichž kvalitě technického zabezpečení, transparentního zpracování dat a řady dalších požadavků nejenom dle GDPR lze právem pochybovat. Z toho důvodu vnímám potřebu vzdělávání v této oblasti ještě za mnohem důležitější, neboť následky takového jednání mohou mít pro každého jedince nedozírné následky. Zvlášť za předpokladu, kdy se k těmto údajům mohou dostat subjekty či organizace, které je mohou využívat i pro jiné účely než byly původně určeny. Osvěta v oblasti ochrany informací v digitálním prostředí tak vstupuje do nové éry.
Aleš Špidla: Ano, projevila se naprosto zásadně a to v několika rovinách. První rovinou bylo zděšení v některých institucích a Brownův (chaotický) pohyb úředníků podle standardu, když nevím, co mám dělat, tak běhám v kruhu se zvoláním "co budeme dělat, co budeme dělat!". Druhá a možná horší varianta je, zakážeme home office, protože, co kdyby ti, co nemůžou, by záviděli těm, co můžou. Narazili jsme na technologické limity dlouhodobě zanedbané informační a komunikační infrastruktury. Ti, co se odvážně pustili do fungování v on-line světě, se museli vyrovnat s novými bezpečnostními výzvami: on-line mítinky vedení firem a institucí, kde byla v on-line světě často přijímána strategická rozhodnutí, jejichž vyzrazení mohlo mít často důsledky. Zvýšená intenzita e-mailové komunikace, výrazné zvýšení zájmu o cloudové služby, o telemedicínu apod. Kdo by na to pomyslel před koronou?! V Holandsku v jedné významné státní instituci si provedli analýzu, co je vlastně hlavní náplní činnosti úředníků. Zjistili, že čtou, stále čtou a pořád čtou a k přečtenému píšou komentáře nebo rozhodnutí. Tak zaměstnance "vyhnali" domů s notebooky, náhlavními soupravami a zajištěnou konektivitou. Zaměstnanci od té doby neztrácejí každý den čas v dopravních zácpách a rozvrhnou si pracovní dobu, jak chtějí. Je to o odvaze vedení udělat si analýzu, kdo v té kanceláři jen čte a připomínkuje a kdo ne. Ale to je o manažerské odvaze takovou analýzu spustit a řídit se jejími výstupy. Na to si u nás troufne málokdo.
Zaznamenali jste tedy v posledních týdnech výrazně větší poptávku po Vašich službách, či konzultacích, ať už jde o kyberbezpečnost, nebo ochranu informací? Nebo si to ještě manažeři zodpovědní za rozpočty neuvědomují, že svět se změnil a oni musí reagovat?
Eva Škorničková: Vzhledem k tomu, že se za poslední měsíce přesunul život řady firem a organizací do online prostředí, tak kvalita jejich IT zabezpečení a úroveň ochrany soukromí a dat, nejenom osobních, prošla velmi tvrdou zatěžkávací zkouškou. Ti, kdo do této oblasti již dávno před koronavirovou krizí investovali, tak de facto jen otestovali svoje prostředí a zaměstnance a o naše služby v podstatě nemuseli žádat. Bohužel realita byla zcela odlišná. Státní organizace dlouhodobě do digitalizace a IT bezpečnosti neinvestují dostatečné finanční a lidské zdroje, proto jsme byli svědky naprosté neakceschopnosti některých státních institucí komunikovat s veřejností prostřednictvím nejmodernějších online technologií. Tyto instituce musely velmi improvizovat a tudíž IT bezpečnost a ochranu dat určitě neřešily jako priority. Současná doba jasně odhalila rizika spojená s ochranou soukromí a informací a proto věřím, že se o tuto oblast budou společnosti v následujících letech mnohem intenzivněji zajímat. Svět už nikdy nebude stejný jako před několika měsíci a v rámci tvrdého konkurenčního boje, který se pomalu rozpoutává, bude „štěstí přát připraveným“. Velký zájem vidím ve službách orientovaných na implementaci principů „privacy and security by design“, což je ovšem dlouhodobý a nikdy nekončící proces, který by se měl stát neoddělitelnou součástí řízení firem.
Aleš Špidla: Zvýšený zájem o služby jsem nezaznamenal, protože zatím ještě tyto problémy překrývají starosti s následky pandemie a předpokládám, že z tohoto důvodu existuje i jakási finanční obezřetnost. V orgánech státní správy by se muselo jednat o navýšení rozpočtu a tam už si to vůbec nedovedu představit. Zvýšený zájem jsem zaznamenal v případě vzdělávání, protože se výrazně projevil nedostatek odborníků a to jak v privátní tak veřejné sféře. Je zřejmé, že manažeři se budou muset zamyslet nad dopady živelné digitalizace, a to jak nad těmi negativními, tak nad těmi positivními. Zcela určitě to sebou přinese potřebu investic jak do technologií, tzn. bezpečné nástroje pro on-line komunikaci. Zásadní bude investice do lidí, do jejich vzdělání, a to hlavně v kybernetické a informační bezpečnosti. V současné době se projevuje výrazný nedostatek těch, kteří dokážou kybernetickou bezpečnost zavést, řídit a rozvíjet. Ten nedostatek je výraznější než u správců bezpečnostních technologií.
Co by tedy měl udělat zodpovědný zaměstnavatel, který si je vědom rizik spojených s kyberbezpečností a ochranou informací?
Eva Škorničková: Řada firem zjistila, že vůbec nedisponuje krizovými plány a celkovým managementem krizových situací. Zde se nabízí přirovnání k uzavírání pojistek na různé reálné případy, kdy investujete do situací, které si přejete, aby nikdy nenastaly. A úplně stejný přístup se musí aplikovat i do analýz rizik, zkrátka do veškerých preventivních opatření. Opět se ukázalo, že svět je nastaven na reaktivní, nikoliv proaktivní chování. Pokud vedení společností a organizací nebude investovat do přípravy kvalitních krizových plánů, analýz rizik a možných řešení, které může reálně předvídat, že v jejich prostředí mohou vlivem různých faktorů nastat, tak ji další pandemie, krize či jakákoliv jiná neobvyklá událost opět rozhodí nebo úplně zastaví. Nemyslím si, že tzv. „social distance“ model ve fungování společností přetrvá, jen je třeba ho vnímat jako jedno z významných rizik, na která se musí každá organizace připravit. V následujících měsících budeme svědky mnohem drastičtějších změn, a to jak na ekonomické, sociální tak i politické úrovni a proto by se měly managementy firem a státních organizací zamýšlet nad zaváděním dlouhodobějších opatření a investovat do oblastí, které nemusí v danou chvíli představovat jasnou prioritu. Kyberbezpečnost a ochrana informací jimi bezesporu jsou a pod vlivem virové pandemie ještě více ukázaly svoje zuby.
Aleš Špidla: V tak dynamickém oboru jako je kybernetická a informační bezpečnost se bez odborníků žádná instituce neobejde. Jsou ale po absolvování byť i vysoké školy hotovými odborníky a napořád? Řada z nich si to myslí. Jenže kybernetická a informační bezpečnost je nekonečný příběh. Takový odborník se musí učit pořád. Jenže někdo to také musí řídit. Management institucí je často nejtvrdším oříškem pro průnik základních znalostí o bezpečnosti do jeho myšlení. Bezpečnost stojí peníze, zdržuje, je zbytečná, protože se zatím nic nestalo. Tak na co ji potřebujeme. Informace jsou drahé, a kolik teda váží, měří? Manažer zodpovědný za kybernetickou a informační bezpečnost musí mít základní přehled technologiích, o jejich zabezpečení, o řízení rizik, o ekonomice bezpečnosti, řízení a bezpečnosti lidských zdrojů, vzdělávání a osvětě. Ale také o současných trendech, hrozbách a zranitelnosti. A to všechno musí umět uřídit a ještě si musí u vedení instituce umět říct o peníze a lidi. A nikdy se ve svém snažení nesmí zastavit. Má to prostě těžké.
Rozhovor vedl Jiří Š. Cieslar
Aleš Špidla je prezidentem Českého institutu manažerů informační bezpečnosti, dlouhodobě se věnuje Kybernetické a informační bezpečnosti, je autorem první strategie kybernetické bezpečnosti ČR, garantem MBA programu Management a kybernetická bezpečnost na vysoké škole CEVRO Institut.
Eva Škorničková je specialistkou na právní ochranu osobních údajů, členka Pracovní skupiny Úřadu vlády ČR k legislativě v oblasti ochrany osobních údajů a garantkou LLM programu Ochrana informací na vysoké škole CEVRO Institut.
![CI_Postgradualy_1200x627_09_17-1[2].gif](https://static.wixstatic.com/media/1b7813_a5b1fd6bf3b24042a33910ba617fbb3f~mv2.gif)
