Jindřichu, donedávna jsi působil jako interní pověřenec pro ochranu osobních údajů v investiční skupině KKCG. Její portfolio je široké, zahrnuje mnoho sektorů i mnoho zemí. Musela to být zajímavá práce. Na jaře jsi odešel a založil vlastní společnost cysensic, která vyvíjí stejnojmennou aplikaci pro řízení kybernetické bezpečnosti. Co bylo hlavním motivem pro takovou významnou změnu?
Jindřich Kalíšek, cysensic (JK): cysensic začal vznikat už v minulém roce a je pravda, že právě zkušenosti, které jsem získal jako pověřenec pro ochranu osobních údajů ve společnostech skupiny KKCG a člen jejího compliance týmu, pro mne byly velkým zdrojem inspirace.
Ale těch „hlavních motivů“ bylo několik. KKCG velmi cílevědomě pracuje na samostatnosti svých vertikál, což platí i pro právní podporu a compliance, včetně ochrany osobních údajů. V minulém roce začaly vznikat samostatné manažerské struktury pro oblast compliance jak v herní, tak IT a technologické vertikále, klesla proto potřeba držet obsahově shodné role na centrální úrovni. Navíc na mě po těch pěti letech už začala být znát jistá „únava materiálu“, takže jsme se dohodli na ukončení mého angažmá.
Z plánovaného relaxačního léta ale nakonec mnoho nebylo. V podstatě okamžitě jsem na 100 % naskočil do role CEO cysensicu a hlavního architekta našeho nástroje. Na podzim jsem navíc začal přednášet problematiku kybernetické bezpečnosti a ochrany osobních údajů na Právnické fakultě UK.
Proč se cysensic zaměřuje právě na řízení kybernetické bezpečnosti? S ohledem na tvoje zkušenosti by se nabízely i jiné, byť příbuzné oblasti, jako je zpracování osobních údajů a zajištění souladu s GDPR, nebo obecně compliance.
JK: Se svými kolegy v týmu cysensicu se profesně potkávám právě v této oblasti, takže když jsme přemýšleli, s čím v našem nástroji začít, kybernetická bezpečnost pro nás byla jasná volba :-)
Ale bez nadsázky, cysensic už od počátku budujeme jako nástroj pro compliance management kybernetické bezpečnosti s rozumným přesahem do jiných regulatorních oblastí jako je zpracování, ochrana a bezpečnost osobních údajů anebo nakládání s informacemi podle zvláštních předpisů.
K tomu, že nyní nástroj stavíme tak, aby byl využitelný i pro jiné obdobné oblasti právně-technické compliance, jsme dospěli přirozeně. Jde o reakci na požadavky zákazníků a vývoj našeho uvažování o funkcích našeho řešení. Stále se ale orientujeme především na informační a kybernetickou bezpečnost.
Důvody jsou, myslím, naprosto zřejmé. Nejen kvůli blížící se regulaci (už značně zprofanovaná směrnice NIS2, na ni navazující nový zákon o kybernetické bezpečnosti a související soubor vyhlášek, které připravuje NÚKIB, a další regulatorní akty evropské Digitální dekády) a dopadům konfliktů na Ukrajině a v Gaze je to oblast, která nabývá na významu. Současně v této oblasti není (a ještě několik let ani nemůže být) dostatek odborníků, takže řada organizací bude muset řešit palčivou otázku, jak s touto problematikou naložit a zajistit efektivní správu compliance. A to je aktuální misí cysensicu.
Jak vůbec vnímáš vztah či překryv mezi kybernetickou či informační bezpečností a ochranou osobních údajů? Já se stále setkávám s tím, že jsou tyto dvě oblasti často zaměňovány či směšovány, byť každá řeší něco trochu jiného a související regulace hájí jiné zájmy.
JK: Máš pravdu, ale já se tomu nedivím. Ochrana osobních údajů je významnou součástí kybernetické bezpečnosti a podle mého názoru i její ideální test-bed. Pokud zvolené metodiky, procesy a nástroje fungují s osobními údaji, je vysoká šance, že budou fungovat obecně, při jakémkoliv zpracování dat. I má vlastní zkušenost je taková, že kdo má dobře zvládnutou ochranu osobních údajů, má zpravidla schopnosti dobře zvládat compliance v oblasti kybernetické bezpečnosti.
Je ale jisté, že pouhá ochrana osobních údajů stačit nebude. Problematiku kybernetické bezpečnosti budou organizace muset pojmout hlouběji a s větším důrazem na praktické výsledky, objektivně prokazatelný stav vysoké kybernetické bezpečnosti. Také se do ní bude muset zapojit výrazně více lidí než do ochrany osobních údajů, bude muset být více propojena s realitou a možnostmi organizace. Tam, kde v oblasti ochrany osobních údajů řada organizací mohla spoléhat na nějaký předpřipravený obecný vzor, bude muset v případě kyberbezpečnostní compliance nastavit procesy podle skutečných schopností organizace.
Potřebuje pověřenec pro ochranu osobních údajů (DPO) znalosti z oboru kybernetické bezpečnosti? Přesněji řečeno, jaké znalosti a jak detailní orientaci v tomto oboru, pověřenec dnes potřebuje, aby mohl skutečně vykonávat svoje role podle GDPR?
JK: To je opravdu zajímavá otázka. Myslím, že odpověď velmi závisí na tom, v jak velké organizaci a jak komplexním bezpečnostním ekosystému se DPO pohybuje.
U velkých organizací podřízených různým regulacím bude nepochybně tlak na to, aby byly oblasti ochrany osobních údajů a kybernetické bezpečnosti oddělovány. U jiných ale pochopitelně bude DPO osobou první volby, když se bude na poslední chvíli hledat osoba odpovědná za oblast kyberbezpečnosti. A to přesto, že tyto oblasti se pojmově i v praxi zásadně rozcházejí v celé řadě otázek.
Praxe ale, myslím, ukáže, že u DPO je alespoň základní znalost problematiky kybernetické bezpečnosti a její realizace u konkrétního správce velmi výhodná a přínosná. Především z těch důvodů, které jsme diskutovali v předchozí otázce.
Váš produkt cysensic má pomoci zajistit, cituji, „racionální, smysluplnou, a nákladově příznivou úroveň kybernetické bezpečnosti“. Jak často se v praxi setkáváš s tím, že by kybernetické bezpečnosti bylo věnováno až příliš nákladů, prostředků, pozornosti, tzn. že není nákladově příznivou? Podle mých zkušeností hrozí spíš opačný problém, že je podfinancovaná.
JK: Tak s tímhle problémem jsem se prozatím nikdy nesetkal. Podfinancování kybernetické bezpečnosti (zvláště u organizací, které dosud stojí mimo regulaci kybernetické bezpečnosti) je nesporný fakt, který se opakuje snad v každém lokálním i globálním průzkumu.
Náš claim ale cílí na něco trochu jiného než na přefinancování. Máme totiž obavu, že organizace, na které nová regulace dopadne, nebudou prostředky, které začnou na tuto problematiku vynakládat, investovat efektivně. Na implementacích GDPR jsme si před několika lety ověřili, že pro řadu organizací je schůdnější vynaložit velké peníze za nepraktická a často nepotřebná řešení, která se ale tváří, že nepotřebují lidskou práci, čas a úsilí, anebo za služby, které slibují doručit „compliance na jedno kliknutí“. A jsme si téměř jistí, že k něčemu podobnému dojde i v případě kyberbezpečnosti.
Mise cysensicu mimo jiné spočívá v tom dát organizacím vhled do vlastního bezpečnostního ekosystému a včasné srozumitelné informace, aby se toto nestávalo. Chceme, aby byl celý bezpečnostní ekosystém organizace z pohledu compliance požadavků od počátku řízen cílevědomě a racionálně. Aby organizace věděla, do čeho a proč má smysl dávat své peníze, a současně, aby si uvědomila, že kyberbezpečnost není o jednorázovém výdaji za „geniální řešení“, ale o pravidelném investování a průběžném zlepšování.
Jak cysensic pomůže manažerovi kybernetické bezpečnosti v praxi? Co je jeho největším přínosem?
JK: Rád říkám, že cysensic by měl být jednou ze tří věcí, které manažer kybernetické bezpečnosti pustí každý den hned po příchodu do práce. Ty další dvě jsou kávovar a poštovní klient :-)
Chtěli bychom dosáhnout stavu, kdy cysensic bude pro manažera anebo specialistu kybernetické bezpečnosti pravou rukou a druhou hlavou. Proto náš nástroj pokrývá všechny relevantní disciplíny řízení kyberbezpečnostní compliance a správy bezpečnostního ekosystému organizace. Od analýzy požadavků regulace, jednotlivých rizik a jejich dopadů na organizaci přes plánování, vyhodnocování a zavádění opatření k jejich naplnění až po technickou analýzu expozice na deep webu a dark netu.
Cílem nástroje je odstraňovat zbytečnou administrativu a automatizovat maximum opakovaných úkonů. Proto se soustředíme na to, aby nástroj uměl spravovat a udržovat centrální datový model, automatizoval sběr informací, provádění auditů a v případě potřeby i reakci na bezpečnostní incident. Konečně, cysensic umožňuje vidět do velkých bezpečnostních ekosystémů složených z řady podřízených organizací a dodavatelů s různými úrovněmi kybernetické bezpečnosti.
Poslední, a podle mého soudu extrémně důležitou oblastí, kterou pokrýváme, je vzdělávání a průběžný rozvoj schopností a kompetencí uživatelů. Z tohoto důvodu cysensic přizpůsobuje svoje funkce a celkový přístup k uživateli nastavené úrovni jeho znalostí a kompetencí.
Potkají se s tímto nástrojem, a mohou ho při své práci využít, i další zaměstnanci? Z IT, compliance, nebo třeba obchodních útvarů?
JK: Určitě ano. cysensic od začátku budujeme tak, aby umožňoval bezproblémové zapojení všech kompetentních rolí, a to dokonce bez toho, že by tyto role musely mít v nástroji vlastní uživatelské účty.
Manažer kybernetické bezpečnosti sám nikdy nemá všechny relevantní informace. cysensic proto umožnuje, aby každý uživatel mohl předat konkrétní požadavek, otázku anebo opatření k řešení odpovědné osobě a ta se mu mohla začít okamžitě věnovat bez toho, že uživatel nejprve bude řešit založení účtu do specifického nástroje.
Očekávám, že nakonec půjde o zapojení celé řady dalších rolí od zmíněného IT (správa sítí a end-pointů, správa zálohování a bezpečnostních politik atd.), přes podpůrná oddělení jako je HR, právní a compliance (např. už zmíněný DPO anebo jiní vlastníci a správci procesů apod.) a po provozní anebo obchodní management (kvůli řízení dodavatelských řetězců).
Používá cysensic, nebo plánuje zapojit, prvky umělé inteligence (AI)? V některých modulech, např. Inspector nebo Watchdog, se to přímo nabízí.
JK: Ano, nedílnou součástí našeho vývoje je i zapojení prvků AI.
Vývoj máme naplánovaný na tři roky dopředu a jeho nedílnou součástí je právě efektivní využívání umělé inteligence. V tuto chvíli se soustředíme na to, aby nástroj pomocí těchto technologií uměl připravovat opravdu kvalitní a použitelné přehledy, reporty, zprávy a doporučení v oblasti analýzy požadavků regulace a implementace opatření k jejich naplnění. V dalších iteracích náš nástroj obohatíme o modely specializované na pokročilou analýzu sebraných dat, chceme na jejich základě průběžně optimalizovat doporučení a management jednotlivých opatření, a o roboty, které budou podle předem definovaných pravidel automatizovaně vyřizovat konkrétní úkoly a reagovat na vzniklé situace.
To bude zvláště důležité právě při řízení dodavatelského řetězce. V této oblasti s ohledem na její náročnost a počet zapojených (sub)dodavatelů výhledově očekáváme systematickou výměnu informací mezi jednotlivými uživateli. Právě ta podle našeho názoru bude klíčem k efektivnímu řízení dodavatelského řetězce. Naším přístupem je, aby i kontrola dodavatelů probíhala co možná nejefektivněji a s minimální potřebou lidské práce, současně však se stoprocentní kontrolou na straně každé organizace, která se do ekosystému zapojí.
S jakým ohlasem se uvedení nového nástroje setkalo? Je obecně zájem o automatizaci řízení kybernetické bezpečnosti, které organizace si chtějí vaši nabídku vyslechnout? A co je největším tahákem, vědomí důležitosti ochrany informací a digitální odolnosti, snaha snižovat náklady pomocí automatizace, nebo NIS2?
JK: Upřímně řečeno, jsme sami velmi pozitivně překvapení, jak dobrý ohlas prozatím cysensic má. Já osobně jsem u potenciálních klientů očekával spíš opatrnější přístup. Řada organizací ale velmi rychle pochopila benefity, které náš přístup poskytuje, a chce je maximálně využít už při zavádění systému řízení kybernetické bezpečnosti.
Myslím, že jsou zde tři faktory, které to podporují. Zaprvé, už se rozběhla informační masáž v médiích související zejména s NIS2. Řada výrobců technologií anebo poskytovatelů služeb se snaží tohoto tématu chytit a vytvářet si tržní pozici. I když sami tomu moc nepomáháme, nebudu zastírat, že nám tato vlna zájmu o kyberbezpečnost svědčí. Zadruhé, účelem cysensicu je systematicky řídit bezpečnost a eliminovat od počátku množství slepých cest a zbytečné administrativy, které kolem této problematiky vznikne. A na to adresáti nové regulace slyší možná ještě více než na nutnost reagovat na nové veřejnoprávní požadavky.
Zatřetí, my se od začátku snažíme o transparentní a férovou komunikaci. Neříkáme potenciálním klientům, že cysensic je zázračné řešení anebo "one-stop-shop", kde vyřeší všechny svoje problémy s kyberbezpečností na jedno kliknutí. Nezastíráme, že bezpečnost bude znamenat práci a bude vyžadovat soustředěné úsilí, čas, know-how, jistou kompetenci a samozřejmě investice. Ale říkáme, že umíme pomoci s tím, aby to vše dávalo smysl a vedlo v rozumném čase k měřitelným výsledkům, které budou mít objektivní a dlouhodobý efekt pro organizaci. Myslím si, že právě to naši klienti oceňují.
A jaké máte s cysensic plány do budoucna? Více se zaměřit na český trh, nabídnout produkt na jiných trzích, nebo ho upravovat a rozšířit, například o oblast řízení compliance rizik, třeba whistleblowingu, kontroly nad zpracováním osobních dat atd.?
JK: Per ardua ad astra... Všechny cesty, které zmiňuješ, jsou nyní na stole. Víme, že pro nás roky 2024 a 2025 budou náročné, ale těšíme se na to.
cysensic je v tuto chvíli orientovaný především na český trh a naši regulaci. Je to pro nás logické testovací prostředí, kterému rozumíme, známe ho a máme v něm kontakty. Už nyní ale úzce spolupracujeme s partnery v okolních státech, kteří mají zájem uvést náš nástroj na jejich trhy. Zejména na Slovensku jsme měli podobně dobré přijetí jako doma. Výhledově bychom samozřejmě rádi usilovali o rozšíření služby i na jiných evropských trzích.
Co se týče věcného rozšiřování produktu od další oblasti compliance, už na tom pracujeme. Jednak proto, že v podstatě všichni naši obchodní partneři od začátku říkají, že jim to dává smysl, jednak protože sami vnímáme, že právě kumulace a integrace metodologií a regulatorik může být významným benefitem, který klientům uspoří nejvíce práce a nákladů na compliance. Naším cílem je vybudovat natolik flexibilní nástroj a prostředí, aby to bylo možné.
Držím palce a děkuji Ti za rozhovor.
JK: Děkuji ti a přeji tobě i všem čtenářům GDPR.cz pěkné svátky a úspěšný a bezpečný rok 2024.
cysensic je expertním nástrojem pro řízení a auditování firemní kybernetické bezpečnosti. Skládá se celkem z 9 na sebe navazujících funkčních modulů a představuje způsob, jak efektivně a s rozumnými náklady čelit stále výraznějším hrozbám v kybernetickém světě. Pomáhá udržet kybernetickou bezpečnost v souladu s požadavky právních norem a bezpečnostních metodik.
Jindřich Kalíšek, CEO a spoluzakladatel společnosti cysensic, advokát, vysokoškolský učitel, pověřenec pro ochranu osobních údajů a mediátor. Člen Spolku pro ochranu osobních údajů a Českého institutu manažerů informační bezpečnosti (ČIMIB). Specializuje se na právo informačních a nových technologií, především na kybernetickou bezpečnost, ochranu osobních údajů, soukromí a dobré pověsti, poskytování on-line a cloudových služeb a vybrané otázky e-commerce. Pět let působil jako člen compliance týmu a pověřenec pro ochranu osobních údajů ve společnostech skupiny KKCG, podporoval společnosti působící v oblastech her a zábavy, obchodu s energiemi, IT služeb a vývoje software, logistiky, venture kapitálové fondy a PE investory. Pravidelně přednáší, na Právnické fakultě UK vyučuje kybernetickou bezpečnost a ochranu osobních údajů v pregraduálních i postgraduálních programech a pro Českou advokátní komoru vede semináře ochrany osobních údajů a informací pro advokátní koncipienty.