„Data jsou ropou jednadvacátého století,“ říká v našem rozhovoru Jan Hrubý, dřívější manažer White & Case, který se nově zabývá technologií Splunk ve společnosti ALEF NULA. „Velkou výzvou budoucnosti tak bude nástroj, jakým efektivně tato data těžit a dávat jim hodnotu, ať již v podobě zefektivnění výroby přes automatizaci procesů, nebo ve zvýšení odolnosti podniku vůči kybernetickým hrozbám.“
Dlouho jste působil v advokátní kanceláři White & Case, nedávno jste ale přestoupil do společnosti ALEF NULA. Čemu se nyní věnujete?
Je to tak, po téměř jedenácti letech jsem udělal tak trochu skok do neznáma a z poradenského sektoru zamířil do IT, byť ono to nebylo až tak úplně neznámé prostředí. Kyberbezpečností jsme se samozřejmě zabývali i ve White & Case, zejména s ohledem na novou směrnici NIS 2 a pověst, respektive příběh Alefu jsem znal a vždy mi přišel impresivní. Je to totiž stále i po téměř třiceti letech česká firma, která patří mezi nejvýznamnější dodavatele informačních technologií na regionálním trhu, dokázala se prosadit i v zahraničí a letos má ambici překonat 10 miliard korun na tržbách.
V Alefu zastřešuji technologii Splunk, což je světový leader v oblasti bezpečnostní analytiky. Splunk je univerzální datová platforma, která umí nasát data z různých zdrojů a dát jim hodnotu tím, že mezi nimi i pomocí umělé inteligence hledá kontext. Shodou okolností týden po mém nástupu společnost CISCO oznámila akvizici Splunku za částku rovnající se zhruba deseti procentům HDP České republiky. Tuto technologii kromě řady významných společností využívá i NATO, nebo náš Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a tak věřím, že jsem svůj karierní osud spojil se správným týmem.
Boj s kybernetickými útoky je v jistém ohledu také trhem budoucnosti. Různé statistiky upozorňují, o jak velké peníze na něm jde a ještě půjde. Můžete nám je přiblížit a okomentovat?
Osm bilionů amerických dolarů je celosvětový odhad výše škod, která bude v tomto roce napáchána kybernetickými útoky podle renomovaného Cybercrime magazine. Jen pro kontext v roce 2015 to byly „pouze“ 3 biliony amerických dolarů, dalo by se tedy říci, že je tato kyberkriminalita výnosnější než obchod se všemi drogami na světě. Pokud by tito hackeři zodpovědní za tyto útoky vytvořili stát, tak by se jednalo o třetí největší světovou ekonomiku po USA a Číně.
Pro české generální ředitele, kteří v tuto chvíli schvalují rozpočty na kyberbezpečnost pro následující rok, může být jistým vodítkem informace ze studie World Economic Fora z roku 2023. Ta uvádí, že hodnota kybernetického útoku je až 1,72 procenta obratu společnosti, nemluvě o dopadu na akcie, pokud je tato společnost veřejně obchodovaná. A případných pokut v momentě, kdy při útoku dojde k úniku dat, která spadají pod GDPR. Primární nedokonalost tohoto „trhu“ tkví v tom, že zatímco útočník pořídí jednodušší útok za pár dolarů, průměrnou společnost stojí obrana několikanásobně víc.
Z tohoto důvodu se některé firmy snaží dívat se na kyberbezpečnost nejen jako na nutný náklad, ale také jako na příležitost. Pokud se totiž rozhodnou pořídit univerzální datové platformy, které jsou založeny na velkých datech, umělé inteligenci či automatizaci, a nikoli jednoúčelovou blikající krabičku, mohou sbíraná data využívat i pro byznysové účely a zajistit tak návratnost investice. Ve výrobě lze například zvýšit dobu provozuschopnosti zařízení pomocí prediktivního strojového učení, případně optimalizovat dodavatelský řetězec a logistiku. Současně je možné měřit uhlíkovou stopu či další parametry související s ESG a v rámci jedné platformy a jedné obrazovky, tak můžete sledovat klíčové procesy ve vašem podniku.
Splunk uvádí, že každý den je odesláno přes 300 miliard e-mailů, a každý člověk vytváří každou vteřinu 1,7 MB dat. Co tato čísla ukazují?
Ukazují nám to, na čem stojí svět kolem nás. Studie společnosti Splunk rovněž uvádí, že lidstvo bude do roku 2025 vytvářet 463 miliard gigabytů dat denně s tím, že pouze 15 procent z této sumy budou strukturovaná data, která využíváme. O dalších 25 procentech víme, ale nevyužíváme je a 60 procent nám stále zůstává víceméně skryto. Pokud přijmeme premisu, že data jsou ropou jednadvacátého století, tak velkou výzvou budoucnosti bude právě nástroj, jakým efektivně tato data těžit a dávat jim hodnotu, ať již v podobě zefektivnění výroby přes automatizaci procesů, nebo právě ve zvýšení odolnosti vašeho podniku vůči kybernetickým hrozbám.
Je v tomto z vašeho pohledu ideálně nastavena legislativa?
V současné době se nacházíme ve fázi, kdy se očekává přijetí nového zákona o kybernetické bezpečnosti, kterým se bude transponovat evropská směrnice NIS 2. Podle některých komentářů by mohlo jít o podobnou revoluci jako v případě GDPR, zejména pokud jde o šíři dopadů této nové úpravy a také o samotné sankce s tím, že jsou očekávány větší kompetence a pestřejší sada nástrojů ze strany regulátora při vymáhání tohoto zákona. Společnosti by totiž mohly čelit vysokým pokutám v případě nedodržení předepsaných organizačních a technických pravidel, či při nenahlášení bezpečnostního incidentu, nebo odmítnutí spolupráce s dozorovým orgánem. Tyto pokuty mohou dosahovat až 10 milionů euro nebo 2 procent celkového celosvětového ročního obratu, tedy jsou na úrovní jedné poloviny sankcí známých z GDPR. V lednu by měl být tento zákon předložen vládě a podle všeho vstoupí v platnost od října příštího roku. V současné době je tedy těžké přesně předvídat, jak bude legislativa nastavena, zejména pak co do pravidel v navrženém textu prováděcích vyhlášek. Funkčnost této nové legislativy se ovšem ukáže až v praxi.
Nicméně, pokud se podíváme na aktuální návrh, který je k dispozici, musíme konstatovat, že NÚKIB odvádí dle mého přesvědčení kvalitní práci. Zejména oceňuji to, že pouze doslovně nekopíruje evropskou směrnici NIS 2, jak to udělali v některých jiných zemích, ale snaží se respektovat i tuzemské specifické lokální podmínky a v mnohém nastavuje mírnější přísnost, než je tomu v jiných zemích. NÚKIB také aktivně komunikuje s českými firmami, aby dopad na jejich provoz, pokud možno nebyl drtivý, ale naopak, měl spíše podobu hladkého přistání.
Předpokládám, že boj s kybernetickými útoky bude patřit k úkolům šéfů společností, mají dohlédnout na to, aby se ve firmě, jíž vedou, takové riziko minimalizovalo. Jak tohle tedy udělat?
Nový zákon o kybernetické bezpečnosti bude zakládat konkrétní povinnosti, odpovědnosti i sankce, které směřují na vrcholový management. Patří mezi ně stanovení bezpečnostní politiky a cílů, zajištění dostatečných zdrojů, komunikaci významu bezpečnosti ve společnosti, participaci na řízení kybernetických rizik a další povinnosti. V první řadě je tedy třeba vzdělávat se na úrovni nejvyššího vedení společnosti. Z průzkumu mého kolegy mezi vrcholovými manažery napříč odvětvími vyplývá, že existuje vysoká míra korelace mezi úrovní ochoty top managementu vzdělávat se v oblasti kyberbezpečnosti a odolností této společnosti.
Naši debatu s generálními řediteli a majiteli firem tedy typicky začínáme tématem vzdělávání, poněvadž je zcela nezbytné, aby se v této technicky i právně složité materii zorientovali tak, aby mohli přijmout klíčová rozhodnutí, a s tím spojenou odpovědnost. Pak se bavíme o tom, co jsou ta jejich zlatá vejce, které je třeba ochránit, a jaké technické a organizační prostředky jsou k tomu nejvhodnější. Současně také řešíme, jakou přidanou hodnotu nad prosté splnění si zákonných povinností, jim nástroje založené na velkých datech, mohou přinést.
Jedno moudré manažerské přísloví říká, že co neměřím, to neřídím, a v oblasti kyberbezpečnosti to platí desetinásobně. Pokud totiž bezpečností incidenty ve vaší firmě nevidíte, tak to neznamená, že tam nejsou. Znamená to pouze, že o nich nevíte, a tím pádem nemůžete zavádět vhodná protiopatření.
(foto: ALEF NULA)