Manažéri Železničnej spoločnosti Slovensko, Matador Automotive Group a Renault Slovensko hovoria o politike dátovej bezpečnosti a prístupe ich firiem ku kybernetickým hrozbám.
Železnice: staromódnosť môže byť aj cnosť
Tisícpäťsto vlakov denne, takmer šesťtisíc zamestnancov, infraštruktúra a technika stará desiatky rokov. Akú pozornosť venuje manažment národného železničného dopravcu dátovej bezpečnosti?
„Ako top manažment máme bezpečnosť v centre stratégie,“ hovorí podpredseda predstavenstva Železničnej spoločnosti Slovensko Patrik Horný. „Ale to je aj vďaka tomu, že sme predstaviteľmi nového manažmentu. S implementáciou, snahou dostať všetko potrebné až „ku koľajniciam“, to už ľahké nie je. Snažíme sa bezpečnosť používať aj ako transformačnú tému, spôsob, ako firmu trochu rozhýbať.“
Železnice sú na Slovensku takmer 150 rokov príkladom byrokraticky organizovaného molocha. „Naša firma je veľmi analógovo organizovaná, veľmi reštriktívne riadená, k dátam nemá prístup mnoho ľudí,“ hovorí Horný. „To však môže byť v niektorých prípadoch aj dobré. Naši ľudia sú perfektne zvyknutí čeliť klasickým rizikám. Ak sa vykoľají vlak, vieme, komu volať, ako postupovať.“
V ére nastupujúceho internetu vecí je však potrebný iný prístup. „V prvom rade musíme lepšie vnímať nové riziká. Vďaka veľkosti firmy je možné – ak máte v oddelení kontroly 40 ľudí – že napríklad šéf kontroly sa stane aj šéfom bezpečnosti. Získa novú zodpovednosť. Ľudia sa musia vedieť preorientovať, vytvoriť menšie špecializované tímy.“
Aká by mohla byť vzdialenejšia technologická budúcnosť vlakov na Slovensku? Kedy by raz mohli fungovať napríklad aj samostatne jazdiace plne automatizované vlaky? „Pre nás je zatiaľ prioritou, aby u nás premávali vlaky, ktoré chodia načas,“ reaguje Horný. „Potom, aby sa tie vlaky nekazili. A potom niekedy môžu chodiť aj samé. Treba si však uvedomiť, že vlaky sú súčasťou infraštruktúry, tratí, okolia krajiny. Samostatne jazdiace vlaky možno prídu do prevádzky skôr, ako to stihnú autá – aj keď asi to tak nebude na Slovensku.“
Matador: Zlý muž vo firme nesmie chýbať
Dodávateľ pre viaceré svetové automobilky potrebuje okrem vysokej úrovne dátovej bezpečnosti zabezpečiť aj diskrétnosť voči obchodným partnerom. Igor Šuba, CIO Matador Automotive Group, zdôrazňuje, že hoci bezpečnosť je v princípe vždy len reštrikciou – „voči ľuďom, voči rýchlosti systému, voči zákazníkom,“ vždy je nutné nastaviť ju na čo najvyššiu možnú úroveň – „až potiaľ, kým nezačne zasahovať do správnej prevádzky firmy.“
Dôsledkom môže byť napríklad aj menej pohodlná komunikácia s klientami. „Nie sme až takí rýchli, posielame dokumenty vždy zašifrované, zaheslované. Niekedy ich klienti nevedia rýchlo otvoriť. Ale to je daň za zodpovedný prístup k bezpečnosti,“ hovorí CIO. „Pokojne si nechám umyť hlavu, že spôsobujem takýto menší problém.
Medzi oddelenia vo firme, ktoré musia brať veľký ohľad na vysoké štandardy bezpečnosti, patrí v Matadore napríklad marketing. „Musíme mať riadne nastavené, ktoré údaje vieme do kampaní poskytnúť, a ktoré nie. A ak sa to nedá, musím byť pripravený kolegom aj v niečom zabrániť. Sú veci, o ktorých sa u nás nediskutuje, a sú aj také, ktoré sú predmetom úplne pragmatických debát. Diskutujem s personálnym oddelením, s CRM… Vieme: toto si žiada bezpečnosť, toto ochrana, a ja musím byť občas aj za zlého.“
Patrí CIO Matadoru s takýmto prístupom vo firme medzi obľúbených manažérov? „Ak by som chcel byť obľúbený, založím si konto na Facebooku,“ odpovedá. „Ale nemám ho – kvôli bezpečnosti.“
Matador sa skrátka v ochrane dát snaží nastaviť „často nad rámec platnej legislatívy, aj Slovenska aj Európskej únie. Pár mesiacov sa už venujeme príprave na (novú úpravu ochrany údajov, tzv. GDPR), už pred rokmi sme si však nemohli dovoliť odignorovať vtedy nový zákon o ochrane osobných údajov. Teraz musíme teda iba zanalyzovať, čo ešte treba pozmeniť, aby sme naplnili všetky podmienky GDPR.“
Renault: Krízový plán pod paľbou reality
Technického manažéra Renaultu Slovensko Petra Gera v sobotu 13. mája nad ránom informovali o útoku ransomwaru WannaCry. Najvýraznejšie postihol automobilku vo Francúzsku. „Aj my na Slovensku sme súčasťou jednej veľkej siete Renaultu, akonáhle došlo k útoku, týkal sa všetkých. Preto aj boli napokon prijaté opatrenia, ktoré vyvrcholili v tom, že bola sčasti odstavená výroba v niektorých európskych závodoch,“ hovorí Gero. „Obmedzila sa komunikácia na rôznych vrstvách firemných sietí.“
V prípade Renaultu ukázal kybernetický útok, že aj veľká výrobná firma môže mať v prevádzke problémy spôsobené škodlivým softvérom. „Potvrdilo sa však, že vieme zareagovať, schopnosti firmy totiž vždy najlepšie preverí prax,“ hovorí. „Naďalej platí známe pravidlo, že na všetko, čo používate, na periférne zariadenia, trebárs bežné USB kľúče, si treba dávať pozor. A tiež platí, že samotní užívatelia sú dnes často najväčším zdrojom možného ohrozenia.“
Gero skonštatoval, že práve krízový moment bol najúčinnejším spôsobom, ako otestovať bezpečnostné manuály a prípadne ich prepracovať. „Noví zamestnanci podpisujú pri príchode do firmy okrem etického kódexu aj informatickú chartu a preberajú aj zodpovednosť za správne používanie všetkých zariadení.“
Napriek štandardizovanej úrovni ochrany sa však útok bez problémov odvrátiť nepodarilo, Renault musel istý čas fungovať v krízovom režime. „Je zrejmé, že zo situácie vyvodí manažment poučenia a zmeny v bezpečnostnej praxi. Krízový plán sa rieši na úrovni vedenia spoločnosti.“
Článok vychádza z diskusie na konferencii Forbes Technology: Inovácie v biznise, ktorá sa konala 18. mája v Design Factory.
Foto: Marek Mucha
