O aktuální bezpečnostní situaci ve společnosti a ve firmách jsme diskutovali s odborníkem na slovo vzatým, prezidentem České asociace bezpečnostních manažerů Miroslavem Fryšarem. Naše bezpečnost není samozřejmost.
Asociace bezpečnostních manažerů sdružuje odborníkydůležité pro chod firmy. Jaká je role Vaší asociace?
Česká asociace bezpečnostních manažerů sdružuje bezpečnostní manažery, obdobné bezpečnostní specialisty a odborníky v oblasti security. Asociace byla založena před 20 lety v roce 2004. Aktuálně sdružujeme přes 120 fyzických osob, které zastávají bezpečnostní pozice ve státní správě, samosprávě i privátním sektoru. Naším cílem je zvýšení úrovně bezpečnosti a role bezpečnostních manažerů ve firmách a organizacích. Členy asociace jsou bezpečnostní manažeři, bezpečnostní ředitelé, bezpečnostní specialisté, manažeři kybernetické bezpečnosti, pověřenci pro ochranu osobních údajů i zástupci akademické sféry a vzdělávacích institucí. Tito lidé odpovídají ve svých organizacích za ochranu osob, majetku a informací.
Bezpečnost a ochrana jsou mnohdy firmami i institucemipodceňovány. Jak je možné tento stav podle Vašeho názoru změnit?
Podceňování bezpečnosti je dlouhodobým problémem v ČR. Společnost, podnikatelé i politici zpravidla reagují na konkrétní událost nebo výrazné zhoršení situace. Postupně však tento zájem opadne. Významným krokem je v tomto směru zřízení pozice národního poradce pro bezpečnost, který se věnuje bezpečnosti komplexně a dlouhodobě.
Oblast security nemá často také odpovídající finanční zabezpečení. Státní instituce v rámci úspor šetří i na bezpečnosti. Bezpečnostní útvary jsou poddimenzované. Bezpečnostní služby se soutěží jen podle ceny. Ve více než polovině podnikatelských subjektů nedosahuje podíl security na celkových nákladech společnosti ani 1 % celkových nákladů.
Každá organizace nebo firma by měla analyzovat svá bezpečnostní rizika a posoudit, zda zavedená bezpečnostní opatření odpovídají aktuální úrovni těchto rizik. Důležitou roli přitom musí sehrávat nejen top management, ale také bezpečnostní management. Problémem je například to, že celá řada významných firem nemá pozici bezpečnostního manažera. V dalších podnikatelských subjektech nemá bezpečnostní manažer odpovídající místo v organizační struktuře společnosti.
Aktuální bezpečnostní situace v Evropě by nás měla přimět k přehodnocení místa security v systému organizací a privátních společností. Každý by si měl položit otázku, zda je skutečně připraven na nové hrozby, a to bez čekání na nové právní předpisy. Překonat zažitou praxi výběru bezpečnostních služeb a technologií jen podle ceny. Je nutné pochopit, že bezpečnostní manažer a bezpečnost není jen náklad, ale důležitý prvek zachování kontinuity činnosti nebo podnikání.
Jaké jsou podle Vás aktuální trendy v oblasti security?
Jedním z problémů je skutečnost, že většina organizací a firem zaostává v oblasti technické bezpečnosti. To je způsobeno neochotou managementu do této oblasti investovat. Fyzická bezpečnost je proto nadále příliš závislá na fyzické ostraze, která je logicky nejslabším článkem celého systému. Dalším důvodem je absence zkušených specialistů na technickou ochranu na straně investorů a neochota si takové nezávislé specialisty zajistit dodavatelsky. Důsledkem je pak to, že je investor závislý na doporučeních dodavatelů bezpečnostních systémů. Takový přístup může nejen prodražit investice do zabezpečení, ale také jeho následný provoz. Dalším problémem je vytvoření značné závislosti na konkrétní technologii a jejím dodavateli. Vendor lock-in už není jen problémem IT, ale také bezpečnostních technologií.
V květnu jste organizovali každoroční Security konferenci určenou bezpečnostním manažerům firem. Jaké jsou její závěry?
Zaměření konference bylo průřezem celé oblasti Security. První den konference byl už tradičně zaměřen na fyzickou ochranu a krizové řízení. Přednášky byly zaměřeny na bezpečnostní situaci v ČR, ochranu měkkých cílů, implementaci směrnice CER, bezpečnost dodavatelského řetězce, aktuální stav ochrany proti bezpilotním prostředkům a trendy a novinky v technické ochraně. Přímo na konferenci byli její účastníci seznámeni s novou iniciativou Řízení letového provozu ČR, s.p. (dále jen ŘLP ČR), která nabízí pomoc všem subjektům kritické infrastruktury a dalším podnikům a organizacím v oblasti ochrany bezpilotních prostředků. ŘLP ČR bude provozovat dohledové středisko pro monitoring bezpilotních prostředků a nabízí návrh, projekci a dodávku prvků a zařízení pro ochranu proti těmto zařízením.
Druhý den konference byl zaměřen na ochranu informací. Zpestřením programu byla prezentace využití robotických systémů při ostraze objektu, které jsou řešeny v rámci jednoho z projektů bezpečnostního výzkumu a vývoje Ministerstva vnitra ČR. Jednotlivé přednášky jsou dostupné pro účastníky konference a všechny členy asociace.
Mezi závěry konference, na kterých se účastníci shodli, lze vyzdvihnout, že hlavní pozornost bezpečnostního managementu bude zaměřena na implementace evropských směrnic CER a NISII. Není třeba vyčkávat, až bude schválena naše národní úprava, a již nyní je důležité analyzovat, jaké změny v bezpečnostních opatření implementace obou směrnic vyvolá. Již nyní je nezbytné se zabývat implementací Business Continuity Managementu a bezpečností dodavatelského řetězce.
Bezpečnostní systémy je potřeba navrhovat na základě analýz rizik a nabídky instalačních firem konzultovat s nezávislými odborníky nebo znalci na systémy technické ochrany. Tyto je nutné využít i při projektování a instalaci systémů včetně odborných přejímek zhotovené díla. Pokud tyto specialisty nemáme mezi vlastními zaměstnanci, pak je možnost si je zajistit dodavatelsky. Popsaný přístup zamezí možným problémům při provozu systémů technické ochrany a je přínosem k optimalizaci nákladů na bezpečnostní investice i provoz systémů technické ochrany.
Konference ukázala také na některá nová bezpečnostní rizika, která se teprve učíme zvládat. Tyto mohou mít různé podoby. Jedním jsou například žhářské útoky na nejrůznější cíle v podobě, kterou sledujeme v sousedním Polsku. Nejzávažnějšími aktuálními bezpečnostními riziky z pohledu fyzické ochrany jsou útoky bezpilotními prostředky, ohrožení aktivním střelcem (útočníkem), umístění nástražného výbušného systému a útok vozidel. Pro bezpečnostní manažery jsou tato nová rizika námětem, jak aktualizovat analýzy bezpečnostních rizik a navrhnout doplňková bezpečnostní opatření.
Účinnou metodou ověření funkčnosti bezpečnostních opatření jsou penetrační testy a testy odolnosti bezpečnostních systémů. Ty jsou založeny na metodách sociálního inženýrství a znalosti slabých míst systémů technické ochrany. Penetrační testování je schopno najít slabá místa bezpečnostních systémů a opatření tím, že simulují skutečný bezpečnostní incident nebo mimořádnou událost. Většina provozovatelů kritické infrastruktury i měkkých cílů provádí penetrační testy již periodicky a hodnotí je jako přínos pro zdokonalování bezpečnostních opatření.
Pozornost je nutné věnovat také ochraně informací o bezpečnostních opatřeních. Tyto informace je nutné rozdělit na informace určené pro návštěvníky areálu, které jsou veřejně přístupné. Dále na informace pro zaměstnance a nájemníky areálů a budov, které musí znát, aby mohli bezpečnostní opatření dodržovat. Zvláštní kategorii těchto informací tvoří detailní informace o zabezpečení objektu a jejich přístupových oprávněních. Sem patří také pokyny a postupy pro bezpečnostní zaměstnance a další osoby, které se podílejí na realizaci bezpečnostních opatření. Tuto kategorii informací je nutné naopak chránit před potenciálními útočníky.
Více prostoru je nutné věnovat bezpečnostnímu vzdělávání včetně vzdělávání top managementu v oblasti security a ochrany citlivých informací. Vrcholoví manažeři často nerozumějí požadavkům bezpečnostního managementu, protože si neuvědomují bezpečnostní rizika. Je proto užitečné uspořádat kurzy bezpečnosti a ochrany informací pro vedení organizací i firem. Takové kurzy mohou také přispět ke zvýšení kybernetické bezpečnosti i boje proti dezinformacím.
Děkujeme za rozhovor.
Text: redakce
Foto: Mgr. Ladislav Václavík
