"V našem oboru se špatně mluví o referencích, někdy nezbývá než jen naznačit mezi čtyřma očima,“ říkají Eva Neduchal a Tomáš Dedek, spoluzakladatelé společnosti ISECO.CZ. Mezi jejich klienty patří velké tuzemské bankovní domy i státní správa.
Svůj byznys v oblasti bezpečnosti informací za čtyři roky dostali i do Asie nebo Saúdské Arábie. V rozhovoru také vysvětlují, proč se rozhodli dlouhodobě podpořit část obsahu HlídacíPes.org.
ISECO podniká v oboru bezpečnosti informací. To je ale poměrně široký obor. Na co se specializujete?
Dedek: S tím, jak postupně rosteme, roste i náš záběr. Největší kompetenci máme v relativně úzkém segmentu IT bezpečnosti – v bezpečnostním monitoringu. Je to tak, že data tečou zleva zprava, vytváří se o tom záznamy, takzvané logy a ty lze vyhodnocovat, v podstatě hlídat, jestli se neděje nějaká nepravost. Takové projekty děláme pro relativně velké firmy jako jsou banky, pojišťovny. Ty na to, aby bezpečnost mohly řešit, mají prostředky a jsou na podobné projekty interně připraveny. Často jim také povinnosti vyplývají ze zákona nebo od mateřské firmy.
Neduchal: U finančních institucí třeba platí, že řadu povinností týkajících se bezpečnosti předepisuje Česká národní banka.
Dedek: K bezpečnostnímu monitoringu se pak postupně nabalují další věci. Teď relativně nově konzultace bezpečnosti informací, známé GDPR, elektronická identita a podobně.
Za loňský rok jste měli obrat 96 milionů korun. Působíte jenom na českém trhu, nebo i někde v zahraničí?
Neduchal: Primárně se stále soustředíme na český trh, nicméně už nás oslovují firmy, především dceřiné společnosti českých firem, třeba ze Slovenska. Teď jsme ale měli dva zajímavé projekty v Saúdské Arábii.
Dedek: Týkalo se to bezpečnostního monitoringu. Taky děláme pro klienta z Čech, který působí v dalších deseti zemích, do nichž dodáváme, nebo se kterými spolupracujeme. Takže Indie, Čína, Indonésie, Filipíny a podobné země.
Můžete nějakého klienta jmenovat?
Neduchal: S ohledem na bezpečnosti spíše ne, protože když bychom klienty jmenovali, tak se ostatní dozví, co mají za systém, což nikdo z nich nechce. „Narušitel“ pak bezpečnostní opatření může rychleji obejít, klient je zranitelnější.
Dedek: V naší branži se zkrátka špatně mluví o referencích.
A jak se dělá byznys v branži, kde nemůžete používat reference?
Dedek: Nemůže se používat veřejně. Mezi čtyřma očima se ale naznačit dá…
Ke zmíněným projektům v Saúdské Arábii jste se dostali jak? Saúdové od někoho tu referenci dostali?
Dedek: To je docela hezký příběh. Saúdský trh je úplně jiný svět. Tam do vládních entit mohou dodávat jenom saúdští Arabové. V podstatě tam nejde založit si firmu, to trvá asi pět let a je to hodně komplikované. Takže je to uzavřený trh a velmi jim tam chybí kvalifikovaní lidi. Celé se to propojilo, protože té saúdské firmě chyběly zdroje, kvalifikace, zkušenosti s tím, jak konkrétní systém od IBM implementovat. A v Praze na školení se potkal náš dlouhodobý obchodní partner s manažerem právě saúdského distributora a slovo dalo slovo.
Spolupracujete tedy především právě s IBM?
Dedek: Především s IBM, ale nejen. Máme i vlastní vývoj. Pak je to i americká firma Rapid 7, která dodává poměrně zajímavé portfolio bezpečnostních produktů nejenom na ten bezpečnostní monitoring, ale i třeba na odhalování zranitelností v infrastruktuře. Spolupracujeme i s českou firmou Flowmon Networks. Teď společně vyvíjíme aplikaci, která propojuje jejich nástroje s tím od IBM.
Dodáváte v Česku i pro státní zprávu?
Neduchal: Minimálně, ale ano.
Dedek: Třeba pro ministerstvo zemědělství. Poskytujeme jim službu na monitoring infrastruktury s ohledem na zranitelnosti.
Jak dopadá srovnání velkých bankovních domů a státních institucí, co se týče kybernetické bezpečnosti?
Neduchal: Nevím, jestli to vůbec porovnávat lze. Jsou tam úplně rozdílní lidé, jiné světy. Svět bankovnictví a komerce obecně je flexibilnější. Můžou si vybírat, tvoří si větší rozpočty, pracuje tam víc kvalifikovaných lidí. Ve státní správě je to pomalejší, kvalifikovaných lidí je méně.
Dedek: Na trhu je celkově nedostatek technických lidí. Kdo si to může dovolit, tak lidi přetahuje a přeplácí. Stát na to aktuálně doplácí nejvíce. Všechny veřejné instituce také trpí tím, že jsou totálně závislé na svých dodavatelích, z nichž někteří si dělají takřka co chtějí. To je jedna rovina. Další je, že státní úředník má dělat jenom to, co mu zákon nakazuje. A donedávna legislativa v našem oboru nebyla. Naštěstí vznikl zákon o kybernetické bezpečnosti a pomalu se to někam posouvá a zavádí se pořádek. Půlka bezpečnosti spočívá právě v tom, že věci fungují jak mají, dělají se správně je v nich pořádek.
Navíc platí, že co státní organizace, to systém od jiné firmy. To taky asi dvakrát nepomáhá…
Dedek: To rozhodně nepřispívá ani k bezpečnosti, ani k hladkému provozu systémů jako takových. Nejvíce mě teď rozčiluje pracovat se systémem NEN, Národní elektronický nástroj zadávání veřejných zakázek. To je pekelná věc, nefunkční a pomalá.
Kyberbezpečnost je velké téma současnosti i budoucnosti. Jak se o něm podle vaší zkušenosti v Česku mluví a informuje?
Neduchal: Jde o to, aby i ke koncovým uživatelům pronikla nějaká osvěta. Aby si dávali pozor na to, co kde o sobě zveřejňují, co o sobě píší. Myslím si, že by se to mělo vyučovat už i na základních školách. Jeden jednoduchý příklad: hokejový klub má založenou skupinu na Facebooku a lidi tam píší data narození svých dětí, výšku, váhu, rodná čísla. Napsalo to tam dobrovolně celkem 42 lidí a nikomu z nich to nepřišlo divné. Přitom je to pro ty děti nebezpečné. Už když vyrůstají, tak je o nich vedený nějaký záznam a nikde není jasné, kdo ty data spravuje. Nikde nemám zodpovědnou osobu, pro případ, až se nějaká data ztratí. I když to udělala celé jedna maminka a v dobré víře.
Jak se tedy jako experti díváte na Facebook či Instagram?
Neduchal: Já sama používám Facebook i Instagram. Je to fajn nástroj, ale samozřejmě tam nezveřejňuji všechno. Nebo mám u některých příspěvků striktně nastaveno, kdo co uvidí. I když ani to mi nedává jistotu, že toho někdo nezneužije.
Osobně sociální sítě v podstatě používám pouze kvůli práci…
Neduchal: My také. Je důležité dělat PR, třeba při náborech nových zaměstnanců. Kouknou se spíše na Facebook než na naše webové stránky.
Dedek: Bez sociálních sítí se dneska fungovat nedá.
Vy jste se teď rozhodli spojit s HlídacíPes.org a podpořit rubriku, která se tímhle vším hodlá zabývat. Jednoduchá otázka – proč? Co si od toho slibujete?
Dedek: Chceme podpořit dobrou věc, nezávislou žurnalistiku a fandíme vám.
Neduchal: Myslíme si, že ty věci děláte dobře a správně. A tak by to mělo fungovat všude. Ne, že si někdo koupí noviny a bude si tam zveřejňovat, co je jen v jeho zájmu.
Tento text byl původně publikován na portále Hlídací pes.
Pro přidání příspěvku se musíte nejdříve přihlásit / registrovat / přihlásit přes Facebook.