Ivane, kybernetické bezpečnosti se už nějakou dobu věnuješ. Ve finančním sektoru, IT firmách, výrobních podnicích. Kyberbezpečnost jsi řešil z pohledu manažera, auditora i z hlediska certifikačního orgánu. Jak jsi se vůbec k bezpečnosti dat a informačních systémů dostal?
Ivan Makatura: Začínal som ako informatik. V podstate to bola klasická „sieťarina“ a technická podpora. Pamätám si, keď som po prvý raz videl, ako ľahko sa dá prelomiť infraštruktúra banky – vtedy mi došlo, že technológia bez bezpečnosti je ako auto bez bŕzd.
Vyštudoval som aplikovanú informatiku a softvérové inžinierstvo a teda viem, že kybernetika nemá nič spoločného s bezpečnosťou – je to veda o riadení dynamických systémov. Keď som neskôr podrástol na manažérske pozície, informačná bezpečnosť už medzitým bola v bankách plnohodnotným a zákonom vyžadovaným procesom riadenia ochrany informačných aktív.
Nuž a audit a posudzovanie zhody sú na vrchole potravinového reťazca. Trúfnuť si analyzovať bezpečnosť možno až potom, keď človek nadobudne roky praxe v riadení bezpečnosti. Až keď podrobne chápe vzťahy, procesy, technológie, legislatívu a súvislosti medzi nimi.
Co tě na kybernetické bezpečnosti po těch letech pořád baví?
Ivan Makatura: Možno to znie naivne, ale stále ma baví stáť na tej „svetlej strane sily“. Nemám rád neprávosť a neznášam gaunerov. Internet je na jednej strane úžasný nástroj slobody, ale na strane druhej zločin a priestor zneužívania. Miesto plné podvodov, zlodejiny, bezprávia a nedôvery. Chcem chrániť tých, ktorí sa nevedia brániť.
A tak sa zo mňa stal súdny znalec v odbore bezpečnosť informačných systémov, o ktorom je známe, že mnohokrát poskytne svoje služby pro-bono, len pre dobro veci a zrýchlenie procesu. Riešenie ochrany informačných aktív pre veľké organizácie je pre mňa stále profesijnou vášňou – aj keď dobre ohodnotenou.
Kybernetická bezpečnost bývá někdy takovou popelkou, něčím „navíc“, co firmě obchodně nic nepřináší. Mění se toto vnímání na Slovensku, třeba i díky incidentům typu útoku na katastrální úřad?
Ivan Makatura: Mení. Avšak považujem za problém, že hlavným motivátorom pre výkon procesov ochrany informačných aktív je stále regulácia. Lebo „zákon káže“. Lebo organizácie sa boja pokút. To je však zle. Spokojný budem, až keď začnú kybernetickú bezpečnosť vlastníci podporovať preto, lebo si uvedomujú hrozby. Pretože vedome riadia riziká.
Verejne publikované incidenty žiaľ u štatutárov automaticky vyvolávajú najprv otázky „kto za to môže“ a „kto to spôsobil“. Čo na tom, že incident nepriamo typicky spôsobili oni sami, svojou nečinnosťou a nezodpovednosťou?
Pri mojom doktoráte som sa naučil, že citácie sú základ akademickej integrity – preto musím vždy spomenúť Aleša Špidlu, ktorý tvrdí, že: „Kybernetická a informační bezpečnost není otázkou zákonů, je otázkou pudu sebezáchovy.“ Podpisujem sa.
Vnímanie bezpečnosti sa nemení vďaka incidentom samotným, ale vďaka postupne intenzívnejšiemu vnímaniu a serióznejšiemu prístupu k ošetrovaniu rizík.
Jaká jsou obecně nejčastější či nejzávažnější chyby, které se podle tvých zkušeností v praxi dějí?
Ivan Makatura: Odpoveď súvisí s tou predchádzajúcou. Najzávažnejšia chyba je podľa mňa tá, že vlastníci (ergo: predstavenstvo, konatelia, akcionári, štatutári – nazývajme ich, ako chceme) si neuvedomujú vážnosť problému. Hoci sa to pomaly mení.
Aj stará dobrá norma ISO/IEC 27001, vrátane jej predchodcu BS 7799 už v deväťdesiatych rokoch obsahovala požiadavku na angažovanosť a podporu vrcholového vedenia pri implementácii systému riadenia bezpečnosti informácií.
Lenže svet sa zmenil. Ak na rozhraní milénia spracúvalo ľudstvo objem dát – povedzme – o veľkosti mraveniska v tatranskom lese, dnes spracúvame dáta v objeme niekoľkých násobkov himalájskeho pohoria. Ak na rozhraní milénia malo prístup k internetu 5 % ľudí, dnes svoje dáta na internete spracúva 70 % svetovej populácie. Neznamená to automaticky aj výrazné rozšírenie prostredia hrozieb (threat landscape)? Isteže áno.
Na evolučné prispôsobenie sa hrozbám fyzického priestoru sme mali od Kromaňoncov čas 40 000 rokov. To je však už marginálne v porovnaní s hrozbami kybernetického priestoru, na ktorý sme mali posledných 30 rokov... Ja by som bol rád, keby si vlastníci začali uvedomovať tento fakt.
Samozrejme, výnimky existujú. Poznám firmy, kde predstavenstvo rieši bezpečnosť na úrovni strategického riadenia a koná proaktívne – taký prístup je stále vzácny, ale o to viac inšpirujúci.
Jsou v přístupu k zajištění kybernetické bezpečnosti nějaké systémové rozdíly mezi veřejnou sférou a soukromým sektorem? Třeba ve vnímání kybernetické bezpečnosti (zbytečnost vs. nutnost), alokaci zdrojů atd.?
Ivan Makatura: Vzhľadom na to, že som si za posledných 5 rokov vyskúšal aj prácu pre štát, som takpovediac znalý insider. J Odhliadnuc od faktu, že som audítorom kybernetickej bezpečnosti, ktorý sa mnoho rokov stretáva s oboma svetmi.
Začnem tým komerčným. Samozrejme, že komerčná sféra sa začala brániť skôr. Pretože si celkom prirodzene uvedomuje hodnotu svojich aktív. Zarába na nich. Na základe ich používania tvorí zisk, čo je základnou definíciou obchodnej spoločnosti. Pre tvorbu zisku môže podnikateľ vykonať čokoľvek, čo nie je v rozpore so zákonom. Aj chrániť svoje aktíva nad rámec zákonných povinností...
Oproti tomu vo verejnej správe platí, že úradník môže konať len v rozsahu, ktorý mu dovoľuje zákon – a preto často nespraví nič navyše, ani keď by išlo o ochranu verejných aktív. Nepovažuje ich za svoje, nemá motiváciu konať proaktívne, ak mu to zákon neprikazuje.
Tu niekde je tuším systémová chyba. Som veľkým obdivovateľom Churchilla, ktorý povedal, že „Demokracia je najhoršia forma vlády – okrem všetkých ostatných, ktoré boli doteraz vyskúšané“. Ale popri tom čoraz viac chápem mojich ancap kamarátov, ktorí nad štátnou mocou už dávno zlomili palicu.
Možno je čas zaviesť mechanizmy, ktoré by aj vo verejnej správe odmeňovali iniciatívu a proaktívne kroky v oblasti bezpečnosti – či už cez legislatívu, alebo hodnotenie výkonnosti úradov.
Kolik má na Slovensku takový větší ústřední úřad specialistů na kybernetickou bezpečnosti? A kolik z nich obvykle kybernetické bezpečnosti skutečně komplexně rozumí?
Ivan Makatura: Pri tejto otázke som sa musel zasmiať. Prečo hovoríme v množnom čísle? Mnohé ústredné orgány štátnej správy nemajú nikoho. Niektoré ústredné orgány majú iba formálne povereného zamestnanca. A ešte horšie je to s ich spôsobilosťou. Pokiaľ viem, ani jediný z nich nateraz nedisponuje certifikátom manažéra kybernetickej bezpečnosti – ani tým „štátnym“, od NBÚ, ani komerčnými certifikátmi.
Situácia s kapacitami a odbornou spôsobilosťou je vážna. Niektoré ústredné orgány nemajú ani jedného certifikovaného odborníka. To nám v čase NIS2 výrazne zväzuje ruky. A o príprave a vzdelávaní radšej pomlčím. MIRRI sa za posledné štyri roky počas dvoch vlád niekoľkokrát neúspešne pokúsilo obstarať školenie pre 600 manažérov kybernetickej bezpečnosti. Dodnes sa to neuskutočnilo...
Nedostatek expertů na kybernetickou bezpečnost se dostal na pořad dne zejména v souvislosti se směrnicí NIS2. Ta ukládá řadu požadavků v oblasti kybernetické bezpečnosti subjektům, které dosud takto regulovány nebyly. Jak tito „noví hráči“ na Slovensku nedostatek expertů řeší?
Ivan Makatura: Tu musím povedať, že Slovensko je v lepšej pozícii ako iné členské štáty. Na rozdiel od iných, my sme v roku 2017 na základe transpozície NIS(1) pripravili zákon, ktorý bol výrazne rigidnejší než všetky ostatné. Mali sme viac povinností, ale aj viac odvetví. A približne 1.500 prevádzkovateľov základných služieb. Ten počet narastie aj u nás, ale ten nárast už teraz nebude taký dramatický ako u iných štátov. Okrem iného aj preto sme výrazne poskočili v Estónskom indexe NSCI.
Mění se situace na trhu práce? Co by podle tebe bylo zapotřebí udělat, aby to na Slovensku, ale vlastně všude v EU, bylo třeba během 5 let v tomto směru lepší?
Ivan Makatura: V tejto veci sa musím pochváliť. Slovenská republika je prvým členským štátom EÚ, ktorý prevzal Európsky rámec zručností v kybernetickej bezpečnosti (ECSF) do svojho právneho systému. Máme vyhlášku Národného bezpečnostného úradu č. 492/2022 Z. z. , ktorou sa ustanovujú znalostné štandardy v oblasti kybernetickej bezpečnosti. Tá je de facto kópiou ECSF čo sa týka pracovných rolí. Bude to pre GDPR.CZ znieť veľmi neskromne, ak poviem, že som jej autorom?
Na základe tejto vyhlášky vznikli niektoré nové študijné odbory, programy a predmety, na vysokých aj stredných školách. A napriek tomu musím povedať, že vysokým školám bude trvať asi tak 15 rokov, kým naplnia potreby pracovného trhu v kybernetickej bezpečnosti. Riešením je vzdelávanie dospelých. A aj v tom mám tak trochu prsty. Pretože Kompetenčné a certifikačné centrum kybernetickej bezpečnosti ktoré som založil a 5 rokov viedol, je prvou akreditovanou inštitúciou vzdelávania dospelých v kybernetickej bezpečnosti. Za ten čas sme vyškolili poldruha tisíca ľudí a certifikovali sme mnoho desiatok manažérov kybernetickej bezpečnosti.
Tak v podstate stačí pokračovať v tom, čo som rozbehol... Ale vážne: potrebujeme systémové financovanie, akreditácie a prepojenie štátu s akademickým aj súkromným sektorom. Inak tú medzeru v odbornosti nezaplníme ani za 15 rokov. A potrebujeme veľa ctenej konkurencie. Nie šmejdov a nie kúpených certifikátov. Ale to by bolo na inú tému.
Nedostatek lidí se dá do jisté míry řešit technickými řešeními, automatizací, někdy i využitím AI. Jak vnímáš AI z pohledu kyberbezpečnostního profesionála, více jako hrozbu nebo jako příležitost?
Ivan Makatura: Automatizácia určitých činností je pre kyberbezpečnosť doslova vykúpením. Ak si spomeniem na staré časy, keď niekto musel nonstop sledovať obrazovky monitorovacieho systému, aby mu neušiel žiaden „peek“... dnes to veľmi dobre zvládajú automatizované systémy. Dnes už nie je riešením IDS, ale IPS. A tak podobne.
A čo sa týka aplikácie AI? Technológie sú neutrálne. Hoci by so mnou moja kamarátka Stephanie Hare nesúhlasila. Technológie boli doteraz vždy najprv vyvíjané na mierové účely a až následne boli zneužité. Od parného stroja, dynamitu, cez jadrovú štiepnu reakciu, raketový motor, elektrónku, tranzistor, internet, až po AI. To, čo sa zmenilo, je doba medzi mierovým a zlomyseľným využitím technológie. Teraz sa tá doba skrátila natoľko, že umelú inteligenciu dnes využíva paralelne tak „temná“, ako aj „svetlá“ strana sily.
Takže paradoxne - odpoviem ambivalentne: AI je aj hrozbou aj príležitosťou zároveň. A opäť si pomôžem niekým múdrejším, než som ja. Ako raz povedal Stephen Hawking na Web Summite v Lisabone v roku 2017: „The rise of powerful AI will be either the best or the worst thing ever to happen to humanity…“
A má pravdu. Záleží len na nás, ktorú cestu si zvolíme.
Co by bylo zapotřebí k tomu, aby soukromé firmy i státní úřady v oblasti kybernetické bezpečnosti využívaly technologie v kybernetické bezpečnosti lépe a efektivněji?
Ivan Makatura: Efektívne využívanie technológií v kybernetickej bezpečnosti si vyžaduje komplexný prístup – technológie nestačia, ak nie sú podopreté stratégiou, ľuďmi, procesmi a kultúrou bezpečnosti.
Mnohé väčšie organizácie pochopili, že vytvorili technologické silo. To je častým výsledkom ad hoc prístupov, keď sa bezpečnostné technológie zavádzajú reaktívne, izolovane, bez jednotnej architektúry alebo koordinácie. Výsledkom je duplicita riešení, nízka efektivita, problém so správou, slabá integrácia, a čo je najdôležitejšie – neprehľadnosť rizík.
Takže vyriešiť „technologické silo“ neznamená kúpiť ďalší nástroj, ale vytvoriť ucelenú bezpečnostnú architektúru, riadiť ju ako portfólio, integrovať nástroje a prepájať ich s ľuďmi a procesmi.
Kdybys to měl posoudit komplexně, jaké jsou teď největší hrozby a výzvy, kterým v oblasti kybernetické bezpečnosti v Evropské unii čelíme? Jsou to geopolitické hrozby, neochota některých firem a úřadů tuto otázku brát vážně, nedostatek lidí nebo právě ta umělá inteligence?
Ivan Makatura: Kybernetická bezpečnosť v Európskej únii čelí čoraz zložitejšiemu spektru hrozieb, ktoré súvisia najmä s geopolitickým napätím, rastúcim počtom štátom podporovaných útokov a zneužívaním technológií umelej inteligencie. Cielené kampane typu APT zo strany aktérov ako Rusko, Čína či Irán zasahujú verejnú správu, energetiku, obranu a kritickú infraštruktúru, pričom sa stávajú nástrojmi hybridného konfliktu a dezinformačných operácií.
Súčasne sa zvyšuje komplexnosť digitálneho prostredia – rýchly nástup cloudu, IoT, edge computingu a prepojených dodávateľských reťazcov vytvára nové riziká, ktoré nie sú vždy pod kontrolou organizácií. Hrozby dnes presahujú hranice jednotlivých krajín aj sektorov, čím rastie potreba spolupráce a výmeny hrozbových informácií na úrovni EÚ.
Závažným problémom ostáva aj podcenenie bezpečnosti vo firmách a verejných inštitúciách, ktoré často vnímajú kybernetickú ochranu len ako reakciu na legislatívne požiadavky, nie ako strategickú nevyhnutnosť. Chýba dôraz na kultúru bezpečnosti, kontinuálne vzdelávanie a reálne riadenie rizík. Zároveň Európa zápasí s kritickým nedostatkom kvalifikovaných odborníkov – nielen technických, ale aj právnych, riadiacich či audítorských, čo brzdí pokrok aj v tých krajinách, ktoré majú dostatočné technologické kapacity. V niektorých členských štátoch navyše pretrváva nedostatočná úroveň pripravenosti, slabá koordinácia medzi štátom a súkromným sektorom či pomalá implementácia smernice NIS2. (Nie na Slovensku – to už máme za sebou...)
V tomto kontexte je zrejmé, že riešenia nemôžu byť čiastkové. Európska únia potrebuje koordinovaný a systémový prístup, ktorý bude zahŕňať nielen technológie, ale najmä ľudí, procesy, vzdelávanie a medzištátne aj medzisektorové väzby. Úspešná obrana si vyžaduje prechod od formálneho plnenia noriem ku skutočnej odolnosti, založenej na dôvere, transparentnosti a schopnosti rýchlo reagovať na meniace sa hrozby. Kybernetická bezpečnosť už dnes nie je len otázkou IT, ale aj otázkou hospodárskej stability, demokracie a geopolitickej suverenity.
Mojím snom je, aby sme sa dostali do bodu, kde budú technológie v bezpečnosti nie len funkčné, ale aj dôveryhodné, automatizované a vnímané ako bežná súčasť kvalitného riadenia.
Ivan Makatura, Cybersecurity Director U.S. Steel Košice, Managing partner konzultačnej spoločnosti Makatura & Semančín. Manažér s dlhoročnou praxou v bankách, v nadnárodnej konzultačnej spoločnosti, aj v štátnom Kompetenčnom centre. Predseda správnej rady Asociácie kybernetickej bezpečnosti, člen rady ISACA Slovensko, člen rady riaditeľov Európskej organizácie kybernetickej bezpečnosti. Súdny znalec v odvetví Bezpečnosť a ochrana informačných systémov, certifikovaný audítor kybernetickej bezpečnosti, lead audítor ISO/IEC 27001. V profesionálnom živote verí, že najlepšou obranou je poznanie, nie len technológia.
Makatura & Semančín, s.r.o. je nový hráč na trhu slovenských konzultačných služieb v ochrane informačných aktív. Firma vznikla spojením dvoch silných osobných značiek: Advokátskej kancelárie Semančín & Partners a Ivana Makaturu, jedného z najskúsenejších ľudí v odbore kybernetickej bezpečnosti na Slovensku, aj v EÚ. Kým advokátka, a expert na ochranu osobných údajov Lucia Semančínová je predsedníčkou slovenského Spolku na ochranu osobných údajov, Ivan Makatura, súdny znalec a odborník na kybernetickú bezpečnosť je predsedom správnej rady Asociácie kybernetickej bezpečnosti a členom rady riaditeľov Európskej organizácie kybernetickej bezpečnosti. Marketingový claim „Stronger Cybersecurity, Better Business“ presne vystihuje stratégiu spoločnosti.
