Přestal jsem strašit a jsem připraven jednat

Doba, kdy jsem na sílu tlačil nasazení ostřejších bezpečnostních IT zásad je pryč. Ono se to špatně prodává – minimálně mě. Přijde mi, že straším, vyprávím „IT war stories“ z praxe a poté v právě vzbudivší obavě se zeptám: Tak co, už jste dostatečně vystarašenej? Rozjedeme XYZ službu za tolik a tolik peněz? Brrr…

Člověka to musí potkat naživo, kybernetický útok. Ten moment, kdy vám někdo neznámý naruší soukromí a prošmejdí vám osobní i pracovní data. Kdy není jisté, jednalo-li se o nahodilý útok na jednotlivce, nebo na cílený útok na firmu.

Svou roli IT poradce nyní spatřuji v tom, že jsem na takovou událost co možná nejlépe připraven dopředu. Mám pečlivě zmapovaný aktuální stav bezpečnostního nastavení dané firmy a s posvěcením shora jsem připraven jednat a „říznout do živého“. Za cenu jednodenního výpadku provozu a přeškolení uživatelů na nový formát práce s výpočetní technikou. A ten moment nakonec vždy přijde, bohužel (a když se nejedná o velký útok, bohudík).

Poznámka pod čarou: někdy si říkám, nemám-li takový útok sám způsobit, v rámci etického hackingu, aby se ledy hnuly, ale k tomuto jsem se zatím neodvážil.

Co naplat, jsem ajťák, stejně se nakonec zeptám. Vy ještě ve firmě nemáte ani to triviální dvoufaktorové ověření? Přihlášení k emailu u vás probíhá pouze za pomoci uživatelského jména a hesla, které máte ke všemu napsané na papírku na obrazovce? A když ne vy, tak kolega či kolegyně vedle s přístupem na stejná sdílená data na lokálním serveru/na cloudu?

Počkám si a jak to bude možné, pomohu a zabezpečím vám firmu sakum prásk. Bude to pro uživatele otrava, ale bude to jistota.