Ing. David Doležal, po vystudování Vojenské Akademie v Brně, oboru Speciální komunikační systémy v roce 1999, vystřídal několik mimooborových zaměstnání, až v roce 2013 nastoupil jako technik na oddělení bezpečnosti PPF Banky. Po odchodu vedoucího oddělení další tři roky toto oddělení sám vedl. Vzhledem k nabídce vyzkoušet i ne-korporátní a ne až tak regulované prostředí nastoupil do společnosti GoodData, kde pomáhal se získáním SOC2 certifikace a se zavedením bezpečnostního teamu. Tento přechod korporát-startup provedl ještě několikrát (Novartis - Zonky - HCI) a nyní pomáhá jako Director of Security ve startupu Productboard. Hlavním úkolem je pomoci chránit data klientů v cloud based SaaS prostředí s kontinuálním vývojem platformy a současně získání potřebných certifikací (SOC2, ISO 27k) pro přesvědčení i enterprise zákazníků, že data nemusí být jen u nich v budově na jejich serveru a přesto budou v bezpečí.
Co pro Vás bylo největší osobní výzvou, když jstenastoupil na pozici Director of Security do Productboard?
Pro mě osobně největší výzvou bylo, že jsem přecházelz velké firmy opět do menší, která se snaží intenzivně rozrůstat. Ve větších firmách bývají věci kolem bezpečnostijiž dlouho zavedené včetně toho, že zaměstnanci mají zažité určité procesy, přístupy a chápání, které se s bezpečností váže. Aktuálně jsem ve firmě, kde je mnohem méně lidí, všichni dělali všechno, všichni mohli přistoupit kamkoli, jelikož se do té doby jednalo o proof-of-concept (PoC) a muselo se zjistit, jestli to funguje. Následně vyšlo najevo, že PoC fungovalo a přišlo větší množství zákazníků včetně těch větších.S příchodem nových zákazníků se ovšem začaly
množit dotazy na to, jaké má Productboard certifikacemnožit dotazy na to, jaké má Productboard certifikace(např. SOC2, ISO), bez kterých nemohlo dojít k nákupuslužby. Pro mě tedy bylo velkou výzvou předělatmalé PoC s 50 lidmi na certifikovanou firmus 550 zaměstnanci.
Se kterými bezpečnostními výzvami se aktuálně v Productboard potýkáte?
Bezpečnostních výzev, které řeším v Productboard,je samozřejmě více. Velkým tématem posledního obdobíbyla samozřejmě práce z domu, kterou se námpodařilo bez problému podchytit i díky tomu, že našeinfrastruktura běží v cloudu. S tím je spojená i skutečnost, že assessoři na straně klientů nejsou dostatečně připraveni na naše prostředí, jelikož jsou zvyklína tradiční on-premise řešení. Za jednu z největších výzev ovšem považuji efektivní skloubení produktivity a tradiční bezpečnosti, která hlásá, že se nikdo nikam nedostane, nic se nevydá, dokud to tým bezpečnostine zkontroluje a nepodepíše atd. Toto musíme řešiti z důvodu velice dynamického prostředí, jelikož v našichcloudových službách dochází k publikování kódu každých pár minut.
Jak se stavíte k inovacím a investicím v oblasti kybernetickébezpečnosti?
Investice do kybernetické bezpečnosti musí vždy poměrově odpovídat businessu, jelikož z pragmatického hlediska nelze věnovat velkou část rozpočtu právě na bezpečnost a mít ve firmě nepřiměřené množství odborníků na tuto oblast, přestože je to sen každého člověka, který má bezpečnost na starosti. Z hlediska konkrétních investic si myslím, že má určitě smysl certifikovat firmy na určitý standard, jelikož právě tyto certifikace, přestože jsou nákladné, jsou vyžadoványvelkými zákazníky. V neposlední řadě je důležité si uvědomovat, že i když firma nakoupí drahé bezpečnostní nástroje, neznamená to, že má vyřešené zabezpečení.
Museli jste něco změnit nebo urychlit v souvislosti s narůstajícím globálním tlakem na poli kybernetickébezpečnosti v souvislosti s událostmiposlední doby?
Nemyslím si, že bychom museli něco změnit v souvislostise světovými událostmi poslední doby. Nicménět lak na zabezpečení firem stále roste a vnímámeto samozřejmě i my. Velice skloňovanou oblastí je řízení zranitelností, kde aktuálně volíme spíše než eliminaci zranitelností eliminace možných vektorů hrozeb. Zastávám názor, že i systémy poskládané z „balastu“, jako např. bankomaty, jsou bezpečné, jelikož mají pouze jeden vstupní vektor, a to klávesnici, která je plně zabezpečena, takže nelze využít zranitelnosti na nižších vrstvách. S tím souvisí i přístupk bezpečnosti ve firmách – co nejméně štvát lidive firmě a co nejvíce bezpečnosti schovat a zakomponovatdo architektury. Díky tomu se i lidé začnouchovat bezpečněji, protože zjistí, že i pro ně je to bezpečnější.
Jak se daří skloubit bezpečnostní požadavky napříčcelým světem?
Hlavní věcí, kterou firmy typu Productboard cílící na globálnítrh musejí řešit, je skutečnost, že každá země másvé regulatorní požadavky a reálně není možné promítnoutpožadavky všech zemí do jednoho globálního řešení. Zároveň pokud se staráte o cloudovou službu, kterou využívá velké množství uživatelů z celého světa,není možné narvat bezpečnost pouze do uživatelůa koncových zařízení. Je nutné se soustředit na podmíněnoukontrolu přístupů, pravidelné a alespoň částečnězautomatizované revize přidělených oprávnění, zajištění least privilege principu, implementaci UEBA (User andEntity Behaviour Analytics) a dalších bezpečnostníchmechanismů.
Jak obecně vnímáte kladení důrazu na bezpečnostu českých startupů? Uvědomují si důležitost IT bezpečnosti již od samotných počátků?
Bezpečnost v počátcích startupů samozřejmě řešena do dostatečné míry není. Ono to vyplývá i z logiky věci, jelikož na začátku musejí startupy vyzkoušet, jestli jedaná myšlenka života schopná. V prvním kroku tedy PoC vytvoří „parta kluků v garáži“, kde většinou žádný odborník na bezpečnost není. V této fázi není potřeba zabezpečovat data, pouze zjistit, jestli daná myšlenka má šanci na úspěch. Problém nastává v následné fázi, má šanci na úspěch. Problém nastává v následné fázi, kdy se z PoC stává ucelený produkt, který chtějí prodávat do velkých firem. Jakmile mají startupy prvního zákazníka, začínají s rozsáhlejšími bezpečnostními opatřeními, protože zjišťují, že když jsou na internetu, tak se jim někdo každou chvíli pokouší nabouratdo infrastrukturních komponent. Zde musejí startupydostat bezpečnost do stavu, který je auditovatelný a certifikovatelný. Zavádění bezpečnosti má zároveň dvě fáze. V té první se zavádějí technická opatření, která zajistí dostatečnou ochranu dat. V následné fázipoté dochází k tvorbě politik a zavádění ustálenýc hprocesů. Přestože je mojí oblastí kybernetická bezpečnost, myslím si, že kladení důrazu na bezpečnostjiž v prvotní fázi je utápění peněz, jelikož, jak jsem říkal, startupy nejprve musejí vyzkoušet životaschopnost dané myšlenky.
Jaké jsou největší bezpečnostní překážky, kterýmmusejí startupy ve svých počátcích čelit?
Téma bezpečnostních překážek jsem načal již v předchoz íotázce – startupy bezpečnost reálně řeší až poté,co se produkt rozjede. Do této doby všichni mohlid ělat všechno, nicméně v této fázi najednou začínají vymáhat bezpečnostní principy jako eliminace „singlepoint of failure“, pravidlo čtyř očí, least privilege principle, řízený a bezpečný vývoj, automatické i manuální kontroly nově vyvinutého kódu atd. Celá firma se mus ípřeklopit do stavu, kdy začne brát bezpečnost vážně.Je potřeba ji komplexně uchopit včetně toho, že je nutnézačít kontrolovat práci po ostatních a nespoléhatse na to, že daný člověk chyby nikdy nedělá. Zároveň je žádoucí ve větší míře začít delegovat úkoly a zodpovědnosti.
Když odběhneme od bezpečnosti, jak byste zhodnotilčeské technologické startupy?
Za mě osobně jsou Češi kouzelní v tom, že si jsou schopni najít boční uličky a mezery, na které nikdo jiný nepřijde. Jak říká Jára Cimrman: „Čech se přizpůsobí.“ Myslím si, že vždycky najdeme cestu, jak v určitém systému něco udělat lépe a na kterou nikdo jiný nepřijde. I z tohoto důvodu jsou Češi jedni z nejlepších pentesterů na světě. Myslím si, že úspěšných českých startupů je poměrně dost, pokud vezmeme v úvahu velikost České republiky. Na druhou stranu zde ovšem vidím jeden zásadní problém – české startupy si většinou neřeknou, kam až chtějí vyrůst. V počátku je většinou myšlenka pro Čechy, následně ovšem startupy rostou a chtějí expandovat. V tento moment ale často zjišťují, že původní myšlenka byla prodávat danou službu nebo produkt v České republice s omezením na 10 mil. obyvatel, a najednou mají jít na trh, který je mnohonásobně větší. V tomto se zásadně liší americké startupy, které rovnou cílí na 170 mil. amerických obyvatel. Chápu nicméně, že Amerika to má v tomto ohledu jednodušší, jelikož v Evropě neexistuje jednotný jazyk a jednotné právní prostředí. Toto má za následek, že startup často přijde s dobrou myšlenkou, která ovšem není jednoduše přenositelná do jiné země. V této jiné zemi zároveň může vzniknout klon, který mnohdy přeroste původní startup z důvodu většího trhu.
Co je podle Vás klíčem k úspěchu, který rozhoduje o tom, jestli se danému startupu bude dařit nebo ne?
Jeden z klíčů byl již zmíněn, a to zacílení původní myšlenky na vhodný cílový segment. Nicméně startup můžemít nachystané vše perfektně, může mít úžasný produkt, vytříbený marketing, výborné reference prvních zákazníků, vytříbený marketing, výborné reference prvních zákazníků, sehnané investory, ale to všechno se nemusí potkat s dobou. Příkladem je startup Zonky, který chtěl expandovatdo Německa, poté se to změnilo na Španělsko, ale nakonec přišel COVID-19 a z důvodu omezení nákladů k žádné zamýšlené expanzi nedošlo. Myslím si, 90 % úspěchu jakékoli firmy stojí na štěstí a souhře okolností ,to znamená na vnějších podmínkách, které daná firma nemůže ovlivnit, jako jsou již zmiňovaný COVID-19 nebo válka na Ukrajině.
Jaké jsou největší výzvy, se kterými se musejístartupy potýkat? Soupeření o dotace/investory,shánění lidí atd.?
Největší výzvou je, že jakmile startup začne růst, potřebuje přesvědčit investory, aby do něj dali peníze. Vždycky to je ovšem něco za něco, a tak musí startu pinvestorovi nabídnout něco, aby měl pocit, že vyhrál, ale zároveň není žádoucí mu předat celou firmu. Další výzvou je samozřejmě, že investoři obecně nemají čas,tak je nutné zaujmout hned na „elevator pitch“. To znamená, že největší výzvy nepřicházejí v počáteční rozjezdové fázi, kdy většina lidí na to peníze sežene ze svého okolí, ale ve fázi, kdy je nutné, aby vstoupil investor.V této fázi potřebují akceptovat, že musejí sdílet svoji myšlenku s někým dalším, a předat mu jistou míru kontroly. Zde musí startup najít společnou řeč s investory.
Jaké jsou oblasti, které jsou z vašeho pohledupodceňovány při zakládání a rozbíhání startupů?
Plno oblastí jsme v předchozích otázkách nakousnuli. Nejvíce bych zde vyzdvihl to, aby startupy věděly, kam až chtějí dojít a ve které fázi už to není rodinný startup financovaný vlastními penězi, ale je již nutný vstup investorů. Pokud tyto dva kroky nejsou správně uchopeny, startup má malou šanci na úspěch.
Podobně jako u výdajů na obranu, kde jsou žádoucí 2 % z HDP, by měly dávat firmy nějaké % z příjmůna zajištění kybernetické bezpečnosti. Kolik by to podle Vás mělo být?
Zde je hlavní otázkou, kde přesně jsou hranice kybernetickébezpečnosti. Dám příklad: single-sign-on(SSO) a napojení logů do SIEMu je nákladem, který jdeza vlastníkem systémů nebo za bezpečnostním týmem? Pokud přejdeme ke zmíněnému číslu, za mě osobně obdobná jednoznačná metrika, jako jsou zmíněné 2 %z HDP, by měla být zavedena i pro zajištění kybernetickébezpečnosti. Záleží ovšem opět na fázi firmy – pokudje to startup, výdaje na bezpečnost budou na začátku téměř nulové. Pokud je to ve fázi, kdy daná firma potřebuje získat certifikaci nebo se přizpůsobit novým zákonům, míra investice do zajištění bezpečnosti může naskočit třeba až na 10 %. Myslím si, že žádoucí je zlatýstřed okolo 2–5 %, kde ale opět záleží na tom, jak bezpečnostní tým v dané firmě funguje, čímž se vracímk příkladům, které jsem uvedl na začátku této otázky.
Měl byste nějakou představu, jak ekonomicky (finančně) kvantifikovat náklady a přínosy na kybernetickoubezpečnost firmy?
Ultimátní metrikou pro mě je, že firma žije, nebyla vytunelovaná a má dobrou reputaci. Bohužel tato metrika má pouze dva stavy – 0 % a 100 %. I z tohoto důvodu jepotřeba zavést detailnější metriky, které jsou vyhodnocovány za určité období, jako např. počet nahlášenýchútoků, počet incidentů, počet bezpečnostních událostí.Dalším hezkým příkladem je, že by nemělo být měřenopouze to, co je uvnitř systému, např. za firewallem, alei to, co je před ním, aby bylo jasné, kolik toho daný nástroj ochrání a jaká je jeho přidaná hodnota vůči vynaloženým nákladům. Vždy je to o srovnání nákladů s tím,co by se stalo, kdyby to tam nebylo. Nicméně ve většině případů jde bohužel o věštění z křišťálové koule.
Co byste vzkázal čtenářům DSM?
Pokud se budete ohánět pouze certifikacemi, tím, co je vydané a schválené, tak jste o pět let pozadu za trhema za aktuálním řešením. Např. u ISO certifikace je nutné mít na paměti, že ta se určitou dobu zpracovávala, schvalovala a dělala se spousta věcí kolem za účelem její publikace. U nově vydaného ISO standardu z roku 2022 to znamená, že se na něm začalo pracovat již po vydání předchozí verze z roku 2013, tzn. aktuálně vydaná ISO certifikace je stejně několik let za dnešní mileading edge firmami, které jsou dále a dělají věci trochujinak. Doporučení je tedy neohánět se pouze certifikacemi a oficiálními rámci, ale podívat se na to, jak to dělají kamikadze firmy, startupy a jejich PoC, protože tise snaží najít nejnovější přístupy a způsoby, které certifikace a rámce ještě ani nestihly pokrýt. I z toho důvoduv průběhu své kariéry střídám malé a velké firmy, protože malé firmy mi vždycky ukážou, jak se to za párlet vyvinulo, jelikož to dělají tak, jak jim to vyhovuje. A paradoxně finální řešení může být bezpečnější než zavedený rámec. Hezkým příkladem je BYOD (Bring YourOwn Device).
Děkujeme za rozhovor.
Za DSM se ptal Martin Zbořil z PWC.