fb
IT Systems 1-2/2019 IT Security 1. 4. 2019 9:15

„Firmy investují do technologií, které pak nedokážou správně využít“

říká Tomáš Strýček, ředitel společnosti AEC

Tomáš Strýček, ředitel společnosti AECSpolečnost AEC působí na trhu kyberbezpečnosti již od roku 1991 a s odbornými články jejich specialistů se na stránkách časopisu IT Systems setkáváte již řadu let. AEC patří k předním dodavatelům služeb v oblasti bezpečnosti u nás, ale do povědomí odborné veřejnosti se dostala také jako organizátor jedné z nejvýznamnějších konferencí v oboru na našem území s názvem SECURITY. V posledních letech AEC zaznamenalo významný růst, nejen finanční a personální, ale také geografický. Společnost má za sebou úspěšné projekty téměř ve třech desítkách zemí na třech kontinentech. Nedávno v tisku proběhla informace o majetkovém vstupu investiční skupiny KKCG do AEC a její sesterské společnosti. Na detaily tohoto partnerství jsme se zeptali přímo ředitele společnosti AEC Ing. Tomáše Strýčka.

Než se dostaneme ke zmíněné investici, jak byste našim čtenářům popsal úlohu AEC na trhu?

AEC si dlouhodobě buduje pozici silného dodavatele bezpečnostních řešení. Zatímco u některých zákazníků se posouvá do role partnera nebo spíše poradce v bezpečnostních otázkách, pro jiné zákazníky je AEC integrátorem bezpečnostních technologií a procesů. Pomáháme jim zorientovat se na poli cybersecurity, identifikovat konkrétní problémy, navrhnout řešení, dodat technologii, zasadit ji do procesů organizace a zaškolit obsluhu, případně jí poskytnout potřebnou podporu.

S jakými problémy bezpečnosti vašim zákazníkům typicky pomáháte?

Oblast informační bezpečnosti je dnes hodně široká a každoročně se nadále rozrůstá. Přesto máme ambici pokrýt celou její šíři. Dbáme na to, aby naši lidé byli v jednotlivých kategoriích cybersecurity skutečnými experty. Samozřejmě si uvědomujeme, že takovou znalost není možné obsáhnout v pár lidech. Tento fakt determinuje i současnou velikost týmu, který sestává z téměř 80 zaměstnanců.

Kdo tedy tvoří AEC?

V první řadě jsme tým. Pracujeme týmově. Pomáháme si, kombinujeme své znalosti a zkušenosti, různě se doplňujeme tak, aby výsledek měl maximální užitnou hodnotu pro zákazníka. Toto dnes bohužel není všude samozřejmá vlastnost, proto si jí patřičně vážíme a nadále ji rozvíjíme. Všechny aktivity pak probíhají pod taktovkou týmu projektových manažerů.
Nejčastější zakázkou jsou pro nás penetrační testy, které realizuje našich 22 etických hackerů. Jen za loňský rok jsme provedli více než 400 testů. Vedle nich se rozvíjí samostatné analytické týmy pro ISMS, GDPR nebo například threat modeling. Jednou z nejrychleji rostoucích divizí v AEC jsou specialisté na security technologie zabývající se konkrétními oblastmi, jako jsou například síťová bezpečnost, monitoring, ochrana koncových stanic nebo prevence proti ztrátě dat. Náš technologický tým také nejednou pomáhal vybudovat Security Operation Center na půdě zákazníka. Pak již nechybělo mnoho, abychom zúročili získané zkušenosti a pustili se do výstavby vlastního Cyber Defense Centra.

Připravujete nějaké novinky v nabídce služeb?

Vedle zmíněného vybudování Cyber Defense Centra bych uvedl investici do kompetence GRC nebo do řízení bezpečnosti ve vývoji. Tým etických hackerů v těchto dnech otevírá AEC Hacking Lab. Jedná se o research and development oddělení. Jeho výstupem bude informační platforma se spoustou novinek, článků a témat z oblasti hackingu. Na tuto laboratoř bude později navazovat Hacking akademie, určená zejména pro mladé zájemce, kterým vytvoříme speciální vzdělávací plán. V některých případech je bude možné zapojit do reálných projektů nebo mohou v rámci laboratoře spolupracovat na našem výzkumu. V praxi to znamená, že si pod vedením zkušených penetračních testerů budou moct vyzkoušet například hacking IoT zařízení, dronů, chytrých automobilů, domácností i celých měst.

Jaká je dnes podle vás největší hrozba pro kybernetickou bezpečnost české firmy?

Statistiky nám ukazují, že kyberkriminalita využívá při útocích především již tolikrát vzpomínaný zranitelný lidský faktor. Technika sociálního inženýrství bývá velmi často základním stavebním kamenem moderního kybernetického útoku. Útočník pak k němu vhodně doplňuje a modifikuje další položky killchainu navazujícími technikami. Takové útoky jsou připravované dlouho dopředu. Jejich odhalení v praxi bývá velmi složité a napadená společnost obvykle nemá scénář, jak se efektivně bránit.

Jak se proti takovým útokům bránit a jak v tom může pomoci AEC?

Řešení není vždy triviální. Problém se stává ještě složitějším v moderních IT se zastoupeným BYOD, mobilními platformami nebo s konzultanty dodavatelských firem ve vnitřní síti. Také používáním privátních cloudů, Dropboxů a mobilních úložišť ztrácí IT nad daty velkou část kontroly. Naší rolí v AEC je právě pomoci zákazníkům rozplést individuální hádanku, jak a kde efektivně chránit data. Řešení se může skládat z nasazení monitoringu, pokročilého řízení přístupů k datům, úpravy procesů, zavedení e-learningové platformy pro kontinuální vzdělávání zaměstnanců například i s možností testování odolnosti proti aktuálním phishingovým kampaním.

Myslíte si, že české firmy už dnes vědí, jak budovat a chránit svoji bezpečnost?

Bohužel ne. Málokterá firma ví, jak informační bezpečnost budovat a řídit. Hodně společností je v zajetí jednotlivých vendorů a moderních trendů. Setkáváme se se situací, kdy u zákazníka dojde k investici do určité sofistikované bezpečnostní technologie. Jenže tu v praxi nedokáže správně nastavit a propojit s ostatními systémy. Chybí také adekvátně proškolená obsluha. Výsledkem je, že z našeho pohledu firma není dostatečně chráněná. To je důvod, proč se snažíme trh edukovat. Zákazníkům nabízíme profesionální pomoc buď formou konzultací, supportu, nebo outsourcingu bezpečnostních procesů.

Nedávno v médiích proběhla zpráva o zapojení skupiny KKCG do vaší společnosti. Co to pro AEC znamená?

Vyzkoušeli jsme si celou řadu projektů v zahraničí, od roku 2017 sbíráme zkušenosti například i v Indonésii. Tyto zahraniční projekty nás posouvají výrazně dopředu. Pro skutečnou expanzi do zahraničí jsme však hledali strategického investora. Jsem rád, že nakonec ve výběru zvítězila skupina KKCG, dlouholetý zákazník AEC. Majetkový vstup KKCG pro AEC znamená, že se v další plánované epoše růstu AEC můžeme spolehnout na silného partnera. Investici vnímáme jako velký úspěch. Jsme hrdi na to, že jsme se stali součástí ambiciózního plánu KKCG vybudovat středoevropského lídra v oblasti ICT.

Co bude vstup KKCG do AEC znamenat pro vaše zákazníky?

Pro naše stávající zákazníky to neznamená vlastně vůbec nic. Značka AEC zůstává, všichni lidé zůstávají, nic se nemění. Český a slovenský trh opouštět nebudeme, máme zde řadu plánů, máme zde na čem pracovat. Našim zákazníkům chceme nadále nabízet služby v nejvyšší možné kvalitě a přinášet nejnovější témata v oboru.

Můžete k vašim plánům do budoucnosti prozradit víc?

Chceme profilovat AEC jako nadnárodního dodavatele bezpečnostních služeb. Rádi bychom navázali na roadmapu v České a Slovenské republice a pokračovali do dalších zemí. V našem portfoliu se budou nadále objevovat nejnovější technologie, ale vždy budeme klást důraz na maximální přidanou hodnotu pro zákazníka, nikoliv na samotnou technologii. Mohu prozradit, že významnou roli v expanzi sehraje Cyber Defense Center a přidružené služby Professional Services, jako jsou CSIRT či forenzní analýza.

Jak se vám daří nábor do takto rostoucích týmů?

Na trhu práce chybí dostatek expertů v oblasti cybersecurity. Proto počítáme s tím, že nováčky musíme důkladně zaškolit. Klademe důraz na rozvoj a školení lidí v týmech. Pořádáme pravidelná interní školení, podporujeme certifikace CEH, CISSP, CISA, stejně tak technologické certifikace nejrůznějších vendorů. Velmi pomáhá, že základní kostra týmu dlouhodobě zůstává. V AEC pracuje desítka zaměstnanců, kteří svůj profesní život spojili s naší značkou již před více než 10 lety. Tito matadoři jsou pro nás nejen nositeli know-how firmy, ale také jsou oporou v adaptaci nováčků. Díky tomu také firemní kultura a hodnoty AEC zůstávají kontinuálně neměnné.

Čím lákáte nové zaměstnance, když je na trhu nedostatek kvalifikovaných pracovníků?

Dlouhodobě spolupracujeme s univerzitami v Praze i Brně, dáváme šanci mladým talentům. Před třemi lety jsme se stali odborným garantem Středoškolské soutěže v kybernetické bezpečnosti. Výjimečně nadaným studentům tedy nabízíme rozvoj jejich dovedností a znalostí už v tomto věku. Některé uchazeče lákají nové výzvy, jakou je právě budované Cyber Defense Centrum, nebo chtějí patřit do elitního týmu našich ethical hackerů. Naší misí je být prémiovým zaměstnavatelem, podporujeme individuální profesní růst. Nesnažíme se lidi zaškatulkovat a držet v určitých mantinelech. Právě naopak, napomáháme přesahu v jejich odbornosti a není výjimkou, pokud se někdo rozhodne profilovat v oblasti bezpečnosti. Zaměstnanci si také mohou vybrat, zda chtějí pracovat na lokálních, či zahraničních projektech.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 3 IT Systems 1-2 IT Systems 12 IT Systems 11
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1