Hlavní navigace

Bezpečnost je klíčová

30. 6. 2020
Doba čtení: 14 minut

Sdílet

 Autor: Charlie Fotograf
Zajistit bezpečnost nemusí být drahé, pokud se s tím počítá hned od začátku vývoje, říká obchodní ředitel společnosti CCA Group Martin Špaňo.

Relativně čerstvý vtip kolující po internetu říká, že digitalizaci ve firmě nevedl ani CIO, ani CEO, ale COVID-19. Jak je to u vás?

Pravda je, že v souvislosti s COVID-19 jsme se naučili pojmout některá naše pracovní jednání jinak. Často hodně improvizovaně, ale přesto kvalitně. Tato nečekaná událost nás dovedla k většímu zapojení vnitřních rezerv, donutila nás více přemýšlet a více používat technologie, které jsme například doposud tolik nevyužívali. Řekl bych, že jsme se s touto výzvou vypořádali velmi rychle, a tím, že nejsme úplně velká korporace, jsme mohli reagovat pružně, flexibilně, ale také efektivně. Dokázali jsme si, že to jde i jinak a že tato krize nás neovlivní zdaleka natolik, abychom se museli potýkat s většími problémy.

Jak jinak se na vašem podnikání projevuje pandemie COVID-19?  A to jak na vaší straně, tak na straně zákazníků?

Videokonference sice umožňují interakci, nicméně nemohou nahradit ve všech aspektech osobní setkání. Máme výhodu, že naše zasedací místnosti jsou plně vybavené zařízeními pro pořádání schůzek on-line. Vlastně používáme stejné komunikační prostředky jako doposud, nyní jen ve větší míře.

V případě obchodníků, kteří potřebují mít s klienty kontakt face-to-face a věnují těmto jednáním hodně času, nyní vzniká zcela nová situace. Podmínky jsou ale pro všechny stejné, je pouze zapotřebí najít ten správný přístup k tomu, aby se kvůli pandemii nestala komunikace s obchodními partnery překážkou v uzavírání zakázek. Ovšem převážná část společnosti, kterou představují analytici, vývojáři, servis a podpora, plní své úkoly beze změn a stále na stejně vysoké úrovni. Jako spousta jiných organizací jsme i my zavedli home office režim pro zaměstnance, u kterých nebyla nutná přítomnost ve firmě, u ostatních dodržujeme na pracovišti bezpečnostní nařízení a interní pravidla. Situace ve společnosti CCA Group je tedy stále stejně dobrá a bez větších změn.

Vy se specializujete mimo jiné na vývoj firemních aplikací na míru. Co by se dalo v této oblasti označit jako trend posledního roku?

Martin Špaňo, CCA GroupTady je asi nutné rozlišovat a oddělit veřejný sektor od toho privátního. V obou případech se totiž vychází z jiných předpokladů, motivace pro vývoj aplikací jsou diametrálně odlišné. Zatímco ve veřejném sektoru jde například o přizpůsobení se novým legislativním směrnicím, u firemních zakázek je to permanentní tlak ze strany konkurence.

Pro oba segmenty samozřejmě hraje IT významnou roli, především se pak klade důraz na digitalizaci a elektronizaci proce­sů. Ve veřejné správě jde o tvorbu registrů, elektronizaci procesů, eliminaci papírů a formulářů nebo větší dostupnost a prostupnost dat napříč správními agendami. V privátním sektoru jde v případě digitalizace o nasazení konceptů, nyní je populární Industry 4.0, a to ať si pod tím představíme cokoliv. Tyto firmy a jejich potřeby v zavádění nových IT řešení jsou do značné míry ovlivněné ekonomickou situací a stabilitou daných subjektů, tlaku ze stran jejich konkurentů a příslušné technologické vyspělosti.

V dnešní době je moderní v aplikacích využívat prvky umělé inteligence. Přesto nevěřím, že jde o masový koncept. Naproti tomu IT řešení, které vede k úsporám energie, optimalizaci výrobních procesů, predikci a plánování údržby a servisu nebo redukci lidské obsluhy a její přirozené dispozici dělat občasné chyby – to je podle mého nastávající trend, který bude trvat ještě několik let.

Považujete agilní technologie za progresivní metodu vytváření aplikací, která je vhodná pro všechny?

Bohužel není. Používat agilní formy řízení nebo vývoje softwaru, to je otázka konkrétní situace a projektu, respektive daného produktu. U naší firmy tomu bylo tak, že jsme museli poměrně rychle přejít k agilní formě řízení a vývoje, a to především abychom vyšli vstříc požadavkům některých našich klientů. Občas si to prostě charakter projektu vyžaduje. Je to tedy tak, že se dnes již používají kromě klasických postupů i agilní formy, jde ale o selektivní proces.

Rozhodně ne každý projekt je vhodný na podobné zpracování. Navíc nelze opomenout i dostupnost lidských kapacit, které agilní postupy řízení ovládají a jsou schopné je aplikovat. Co se například státního sektoru týče, jsou zadání a realizace zakázek svázané legislativou, která použití agilních metod prakticky vylučuje.

Navíc při vývoji softwaru by se měl v mnohem větší míře zohlednit aspekt jejich bezpečnosti.

Zcela jistě ano. Dokladem toho je, že na bezpečnost se stále více klade důraz v jednotlivých výběrových řízeních. Aspekty bezpečnosti ovšem musíte brát v potaz už v počátečních fázích projektu. Později zjistíte, že zabezpečení aplikace nemusí být tak drahé. Jako dodavatel je potřeba být připraven umět aplikaci vytvořit zcela bezpečnou.

V dnešní době je to naprosto nezbytné. Je nutné mít znalosti a být schopní poskytnout zabezpečení jak na úrovni infrastruktury, tak na té aplikační. To zahrnuje celou řadu disciplín. Vybudovali jsme bezpečnostní tým, který participuje na nových projektech a mimo jiné dělá bezpečnostní audity starších systémů.

Pamatuji si na dobu, kdy otázka bezpečnosti jak informačních systémů, tak i infrastruktura v některých sektorech nebyla na pořadu dne. Prostě bylo manažerům někdy líto platit za zvýšená bezpečnostní opatření, jelikož hrozby nejsou na první pohled tolik viditelné. Ukrást citlivá data prostě není to samé jako vykrást banku, v konečném důsledku mohou být ale stejně likvidační. Ta doba je již naštěstí pryč, dnes si již každý rozmyslí, jestli se chce stavět do situace, ve které by neměl pod plnou kontrolou svoji infrastrukturu, své výrobní prostředky a procesy, nebo to vůbec nejcennější, svá data a informace.

Vzhledem k tomu, že dodáváme aplikace a řešení do velmi exponovaných oblastí, kterým je například resort spravedlnosti, musí naše bezpečnostní řešení odpovídat příslušné legislativě a splňovat ty nejpřísnější normy. Řešení máme a poskytujeme jej nejen veřejnému sektoru, ale i výrobním firmám, zdravotnickým zařízením a jim podobným.

Myslíte, že je to uskutečnitelné ve světě, který naopak sází vše na rychlost nasazení?

To je jako rovnice, která má dvě strany. Chcete-li ji vyřešit příliš rychle, nemusíte se dobrat správnému výsledku, nebo nějaký opomenete. Čím vyšší tlak na rychlost vývoje a následné implementace, tím je vyšší pravděpodobnost výskytu chyb a bezpečnostních děr. Je proto důležité najít tu správnou rovnováhu, tak aby rovnice na obou stranách vyšla. Naší filozofií je raději pracovat na zadání o měsíc déle, o to ale s lepším zabezpečením. Nedovolíme scénář, kdyby se na nás náš klient spolehl a posléze přišel o část výroby, důležité informace, nebo dokonce o celé know-how.

Zmínil jste už umělou inteligenci. Žádají firmy od vývojářů a integrátorů aplikace pro jejich řešení umělé inteligence, anebo tento typ řešení si vyvíjejí spíše samy?

Aby se mohly zapojit prvky nebo nástroje využívající umělou inteligenci, musí pro to být vhodné prostředí a adekvátní projekt. Umím si to představit v dopravní infrastruktuře, určitě je velký posun v technologickém zpracování ve farmacii a biotechnologiích nebo ve složitých logistických systémech. Firmy si obvykle definují své cíle, čeho chtějí v určitém čase dosáhnout, ještě jsem se ale nesetkal s takovým plánem, kde by hlavní roli hrálo AI řešení. Odborníků na vývoj a aplikaci podobných konceptů je spíše nedostatek, takové projekty jsou navíc náročné na financování. Praktické know-how v oblasti je hodně drahé.

Zákazníci dnes samozřejmě pracují s obrovským množstvím dat, uvědomují si, jak jsou pro ně důležitá a že z těchto získaných dat mohou vytěžit další užitečné informace. Logicky potom poptávají analytické nástroje pro zpracování těchto dat. Běžní zákazníci zpravidla chtějí s nástrojem vždy i služby pro analýzu dat, málokdy si data analyzují sami.

Trendem ale pravděpodobně bude pokračování ve vývoji AI, významně zesílí po rozšíření IoT technologií. Řádově vzroste počet senzorů a spolu s tím i dat, která pořizují. Zákazníci se na tak velký objem dat ale musejí nejdříve připravit.

Někteří experti předpokládají, že budoucností analytiky jsou tzv. edge systémy a cloudy. Nakolik je tento trend zřetelný v tuzemsku?

Zákazníci teprve pomalu začínají důvěřovat cloudu a začínají o něm uvažovat. Týká se to zejména komerčních klientů. Státní správě budou zatím v přechodu do cloudového prostředí bránit bezpečnostní požadavky zákona o kybernetické bezpečnosti.

Jakým největším potížím v současnosti čelí české firmy, pokud chtějí šířeji nasadit analytické systémy? A jak by tyto potíže měly řešit nebo se jim vyhnout?

Potíží při nasazení analytických systémů může být řada. Například může jít o přemrštěná očekávání. Analytické systémy mohou poskytnout spoustu užitečných informací, pracují ovšem pouze se známými daty. Umějí je vytěžit, lépe zobrazit, ale nová nevytvoří. Při nasazení je nutné věnovat čas analýze a umožnit zákazníkovi udělat si představu o výsledku.

Analytické systémy pracují s velkým množstvím dat z různých zdrojů. Jde hlavně o data informačních systémů zákazníka. Tyto systémy však mohou být zastaralé a špatně zdokumentované. Analýza dat se tím výrazně komplikuje a zdržuje. Tady je důležité pečlivé testování a kontrola dat, které analytický systém poskytuje.

Jak by měl vypadat optimální BI reporting pro běžné zaměstnance, zejména v souvislosti s nástupem mobilních technologií?

Pro běžné zaměstnance musejí být sestavy úzce specializované pro konkrétní účel, který daný zaměstnanec potřebuje. To platí ještě více v případě, kdy uživatel pracuje na mobilním zařízení s malým displejem.

Běžný zaměstnanec neanalyzuje data, takže nepotřebuje sofistikované sestavy a rozklikávací grafy. Naopak potřebuje rychle zjistit podklady pro svůj konkrétní úkol. Ideální je tak jednoduchá sestava, která se bude snadno ovládat.

Léta se mluví o bezpapírové kanceláři, zatím se však ani experti nedokážou shodnout, zda je to plně reálné. Jak se na vývoji podepíšou současné „koronavirové“ podmínky spojené s distanční prací?

Jednou z věcí jsou technologické možnosti a dostupnost podobných řešení, druhá věc je možný vliv na psychologii lidí, kteří by distančně byli v delším časovém horizontu takto ochotní pracovat. Celkově si nedokážu představit, že by člověk takto vydržel fungovat. Koronavirová krize podle mého názoru naopak ukazuje, že lidem sociální izolace neprospívá, že je pro ně podstatné dostat se do kanceláře a potkávat se s kolegy. Nevidím úplně radost z toho, že lidé musejí pracovat z domova.

Jak hojně se nejen v této době využívá správa dokumentů či podnikových procesů?

Správa dokumentů přináší dokumenty blíže k lidem, kteří s nimi pracují. Můžete mít kancelář s sebou, když jste na služební cestě. Můžete dokumenty sdílet a nechat s nimi pracovat současně více lidí. A v neposlední řadě vám elektronická správa pomáhá udržet pořádek.

Správa podnikových procesů je další úrovní práce v organizaci. Umožňuje nastavit pravidla firmy a nechat systém, aby je podporoval a řídil. Uživatel tak například dostane dokument na svůj „stůl“ ve správnou chvíli, a pokud dodrží správný postup, dokument se v procesu automaticky posune dále.

Správa podnikových procesů má však svá úskalí, která mohou zkomplikovat nasazení a vzbudit averzi uživatelů. Není možné naráz implementovat všechny podnikové procesy najednou. Tyto procesy mají řadu výjimek, které komplikují a výrazně znesnadňují jejich nasazení. Je nutné začít jednoduššími procesy, identifikovat, do jaké míry implementovat která pravidla a postupně přidávat procesy další.

Využívají tuzemské firmy možnosti, které jim přináší internet věcí – ať už jde o komerční aplikace typu senzorů a analýzy jejich dat, nebo o osobní prostředky, jako jsou třeba náhlavní soupravy?

Postupné rozšiřování internetu věcí je poměrně dobře patrné. Ať jde například o řízení využití parkovišť nebo oblast zavlažování v zemědělství. S implementací IoT máme vlastní zkušenosti, a to díky shromažďování informací na podporu rozhodování při pěstování chřestu.

Firmy využívají techniku vždy podle svého podnikání, aniž ji nazývají IoT. V dnešní době lze totiž IoT chápat jako celou řadu zařízení. Mikroprocesorová technika a vývoj senzorů pokročily natolik, že prototyp nového zařízení lze vyrobit levně a rychle. Zavedení nového zařízení je tedy spíš otázkou nápadu nežli komplikací při výrobě.

S IoT jsou v současnosti nejdále logistické firmy a sklady. IoT se ale velmi rychle rozvíjí a použití se rozšiřuje i do dalších oborů podnikání. Přispívá tomu rozšiřování IoT sítí a infrastruktury.

A jak se potýkají s bezpečností IoT, která patří ke slabinám této technologie?

příloha_ovladnete_sva_data

IoT sítě se snaží řešit zabezpečení od začátku své existence. Například sítě LORA mají dvě úrovně šifrování, jednu v rovině protokolu, druhou na úrovni 
aplikace. Není ani tak problém s bezpečností dat čtených ze senzorů, jde především o dílčí data, která pro útočníka nemají valný význam. Problém může nastat na úrovni řízení IoT zařízení. Útočník může změnit nastavení a znehodnotit data, která poskytuje, nebo začít páchat jiné škody. V extrémním případě by se útočník mohl například na dálku zmocnit řízení vašeho automobilu nebo jiného zařízení. Důsledkem takového útoku mohou být značné materiálové ztráty, nebo dokonce ohrožené zdraví a život lidí.

Ale jak jsem již zmínil, výrobci IoT od začátku bezpečnost řeší a naplno se jí věnují. V tomto trendu se rozhodně nesmí polevit. 

Byl pro vás článek přínosný?