Masivní růst využívání cloudových služeb a rozvoj hybridního modelu práce vyžaduje zcela nový pohled na bezpečnost firemního IT. Je o tom přesvědčen Michal Stachník, generální ředitel české pobočky technologické společnosti Cisco, který bezpečnostní problematiku sleduje velmi zblízka. Firmy si podle něj musí uvědomit, že už nestačí chránit firemní centrálu jako hrad, ale je třeba zabezpečit všechny zaměstnance, kteří se pohybují za hradbami. Mnoho společností na to přitom není připravených.

Cisco je obřím globálním hráčem, přes jehož zařízení či technologie běží velká část internetového provozu. Mezi nejdynamičtější obory ve světě IT každopádně dnes podle Michala Stachníka patří právě bezpečnostní řešení. „Může přijít malá garážová firma s převratnou technologií, která celý tento segment ze dne na den změní,“ říká v rozhovoru šéf české pobočky Cisco, který tak musí být s kolegy neustále na pozoru. Stejně jako všechny firmy, které operují v online světě a potřebují chránit svá data.

Jak často máte v Ciscu home office?
Důležité je říct, že pro nás příchod hybridní práce během covidu nebylo žádné novum. Cisco dlouhé roky vyvíjí technologie pro teleprezenční nebo videokonferenční hovory. Máme tedy takové fungování zakořeněné hluboko v našem DNA. Důkazem je například naše manažerská organizace. V korporacích, když povýšíte, tak se často musíte přestěhovat do nové země. U nás díky hybridnímu fungování lidé mohou zůstávat ve svých lokalitách. Když přišel covid, jen jsme přešli na práci z domova ze sta procent. Teď se vracíme z našeho pohledu do normálu, kdy u nás zhruba polovina lidí pracuje z domova a polovina z kanceláří.

Kolik v české pobočce Cisca pracuje lidí?
Aktuálně je to přes 300 zaměstnanců.

Je teď z pohledu vašeho byznysu hybridní práce téma číslo jedna?
Ano, ale ten rozsah našich aktivit sahá daleko za teleprezenční jednotky nebo Cisco Webex, které mnozí znají. Změna práce měla dopad i do dalších aspektů našeho byznysu, zejména z pohledu síťového pokrytí a hlavně bezpečnosti. Práce na dálku nebyla nová, firmy už ji často nabízely jako jeden z benefitů dříve, ale celý trend se urychlil. Z pohledu bezpečnosti definitivně padl pomyslný perimetr, kdy firma věděla, že všechny své lidi bude mít v jedné budově, kterou obežene firewally, a tím si ochrání svá data. Tento koncept už je přežitý. Hybridní práce pro nás jako firmu proto neznamená jen videokonferenční hovory, ale významná část našeho byznysu tradičně leží také v síťařině a bezpečnosti.

V roce 2017 jste říkal, že se právě váš tradiční síťový byznys mění a jste ve fázi transformace. Kam jste se za těch šest let dostali?
Dnes mohu říct, že se nám transformace podařila. Byli jsme první, kdo šel v našem oboru formou předplatného. Spolu s našimi síťovými krabičkami dodáváme i software, který si zákazníci předplácí podle potřeby. To vede větší k flexibilitě a zároveň to má dopad do bezpečnosti. Mění se historická paradigmata, svět je daleko více propojený, což souvisí také s enormním nástupem cloudu. A na to firmy musí reagovat.

Jak se to bezpečnostní paradigma mění?
Nový vývojový stupeň bezpečnosti, který reaguje na současné potřeby, jako je rozvoj hybridní práce nebo aplikací v cloudu, se jmenuje Secure Access Service Edge (SASE). Vyžaduje mnohem větší využití cloudových bezpečnostních nástrojů a také stavění bezpečnosti propojené se samotnou sítí. Za posledních osmnáct měsíců vidím enormní zájem zejména ze strany větších zákazníků, kteří se musí vypořádat s nárůstem hybridní práce a najednou musí řešit bezpečnost až na úrovni jednotlivce, protože všichni pracujeme i z mobilu a odkudkoliv.

Už zkrátka nestačí jen opevnit svůj pomyslný hrad, tedy hlavní sídlo, kam lidé chodí denně do práce. Dříve stačilo si pořídit více okovanou bránu, postavit více věží a na ně umístit více lučištníků. Ale ve chvíli, kdy vaši lidé vyjdou před bránu, jsou naprosto nechránění. Zároveň nelze postavit takto opevněný hrad kolem každého jednotlivce – tedy ne že by to nešlo technologicky, ale nikdo by to nezaplatil. Je tedy třeba k zabezpečení přistupovat jiným způsobem.

Vy jste šéfem Cisca osmým rokem. Znamená tak obří firma spíše klidnější vody, nebo se také u vás pořád něco děje? Minimálně zvenčí váš byznys může působit trochu nudně.
Obecně je IT stále jeden z nejdynamičtěji rozvíjejících se oborů a ani my nejsme výjimkou. Já vždy říkám, že jediná konstanta, která je, je změna. Cisco navíc v posledních letech prošlo zásadní transformací, kdy se z nás stala daleko více softwarová firma. Náš globální byznys dnes tvoří ze 40 procent software, z čehož je většina ten za předplatné. Z toho pohledu už máme blíže k firmám jako Microsoft než k tradičnímu byznysu s krabičkami a kabely. A ani z technologického pohledu se nenudíme. Vy jste řekl krásnou větu, se kterou na trhu občas trochu bojujeme – totiž že děláme nudné krabičky a infrastrukturu, která je mnohdy neviditelná, ale bez ní by vlastně nic nefungovalo.

Tady se hodí ten otřepaný vtip, kdy si povídá Google s Facebookem o tom, kdo koho najde nebo zná, načež jim internet říká, že kdyby nebylo jeho, tak tu nikdo z nich není, a pak přijde elektřina a říká: „Tak se všichni uklidníme.“ My jsme skutečně v roli elektřiny, bez které by se většina lidí ani nespojila. Stále platí, že 70 procent internetového provozu běží přes zařízení či technologie Cisco. Je to trochu nevděčná role, kdy jiné firmy jsou pro běžné uživatele daleko více vidět, ale bez nás by nefungovaly. A když nás někdo zná, obvykle je to díky telefonu, který má na stole, nebo Webexu, ale už nikdo neregistruje, že využívá také naše access pointy, routery, firewally.

Kdo je tedy dnes vaším přirozeným konkurentem na trhu?
Naší výhodou a zároveň nevýhodou je, že Cisco nemá jednoho přímého úhlavního konkurenta. Šíře našeho portfolia je obrovská. V každé kategorii samozřejmě najdeme někoho, s kým se potkáváme, nicméně Cisco drží dlouhodobě striktní byznysovou strategii, podle níž chceme být v dané technologické oblasti číslo jedna, nejhůř číslo dva. A pokud ne, tak raději odcházíme. V tradiční síťařině jsme de facto hegemonem, který usměrňuje celý trh. Nejzajímavější je teď ale bezesporu oblast bezpečnosti, která se rozvíjí nejdramatičtěji.

Jakou roli v ní má Cisco?
Platí, že zatímco většina ostatních segmentů, jako jsou servery, úložiště, síťařina, virtualizace a podobně, je relativně konsolidovaná a pár hráčů obvykle drží třeba 80 procent trhu, tak v bezpečnosti dnes není žádný hráč, který by měl více než desetinu trhu. Podle posledních čísel jsme jedničkou z pohledu objemu bezpečnostního byznysu právě my, ale ani my nemáme více než osmiprocentní podíl. To znamená, že bezpečnost je oblast, kde jsme nejzranitelnější, protože v danou chvíli nemáme jasně definovaného soupeře. Díky tomu, jaký je stav trhu, je velmi pravděpodobné, že se objeví malá garážová firma s převratnou technologií, která vám najednou celý segment za dne na den změní.

Před pár týdny to ostatně bylo deset let, kdy Cisco koupilo český startup Cognitive Security…
Cognitive Security byl přesně ten případ. Když jsme startup Martina Reháka a Michala Pěchoučka před deseti lety kupovali, umělá inteligence byla v bezpečnosti novum. Dnes kdo umělou inteligenci v bezpečnosti nemá, tak neexistuje. A takový příběh se klidně může zopakovat. V Česku jsme díky Cognitive Security vybudovali vývojové centrum, které neustále roste a je globálně odpovědné za některé naše bezpečnostní produkty. Druhá část našich místních operací je zaměřená na obchod v Česku a ve střední Evropě.

Akvizice patří dlouhodobě mezi jednu z růstových strategií Cisca, že?
Jako Cisco inovujeme v rámci čtyř pilířů. Jednak máme obrovské interní výzkumné a vývojové centrum, které tvoří naše produkty. Zároveň máme zainvestováno v řadě startupů, kde sledujeme zajímavé a nové technologie, a také rozvíjíme s vybranými partnery společné aktivity. Dobrým příkladem je spolupráce s Applem, se kterým ladíme, aby jejich operační systémy co nejlépe komunikovaly třeba s našimi Wi-Fi sítěmi, zejména v korporátním prostředí je to klíčové. A čtvrtým pilířem jsou právě akvizice.

Cisco ve své historii provedlo přes dvě stovky akvizic, ale přestože jsme velká firma s velkým objemem hotovosti, nikdy jsme nedělali tak obří akvizice jako někteří jiní hráči, například Dell a EMC s VMware nebo Microsoft a LinkedIn, to není náš styl. V drtivé většině případů jsou to akvizice zaměřené spíše na menší a zajímavé týmy a technologie. Naše největší nákupy se pohybují řádově v nízkých miliardách dolarů, to je ve světě technologických akvizic relativně málo.

I díky Michalu Pěchoučkovi a Martinu Rehákovi, kteří zakládali Cognitive Security, a řadě dalších odborníků a firem v čele s Avastem máme v Česku úspěšnou historii v kyberbezpečnosti. Pořád platí, že jsme v tomto ohledu na špici?
Platí to stále. S Michalem Pěchoučkem jsem na toto téma vedl řadu filozofických debat, proč tomu tak je. Na počet obyvatel celosvětově v počtu kyberbezpečnostních firem jednoznačně vedeme. Myslím, že je to dané především tím, že příklady táhnou. Ve chvíli, kdy tu je expertiza, tak se pak vše nabaluje jako sněhová koule. Vidíme to také v Ciscu, i po odchodu otců zakladatelů Cognitive Security naše centrum dál roste, rozvíjí se, expanduje a firma do něj výrazně investuje.

Vy máte na webu napsáno, že nikdo nezajistí, aby hybridní práce fungovala lépe. Co to přesně znamená? Je to opět hlavně o bezpečnosti?
Bezpečnost je klíčová nejen pro nás, ale samozřejmě i pro zákazníky. Při práci na dálku si všichni vzali domů nějaký notebook či kamerku, aby mohli komunikovat, ale problém nastal ve chvíli, kdy se všichni potřebovali dostat k firemním datům. Firmy to nějak udělaly, některé lépe, některé hůře, ale obvykle v tomto ohledu zůstal technologický dluh. Dělali jsme si průzkum, z něhož nám vyšlo, že pro většinu firem jsou teď prioritou číslo jedna právě investice do bezpečnosti, protože si uvědomují, že musely v předchozích letech vše udělat narychlo a není to optimální. I velké firmy vědí, že s námi již hybridní práce v nějakém rozsahu zůstane, a tak potřebují systémy nastavit tak, aby byly dlouhodobě udržitelné.

Čím je hnaná ta poptávka po bezpečnosti? Počítám, že největší korporáty jsou pod tlakem různých nařízení a regulací, ale zejména menší firmy to zpočátku obvykle příliš neřeší, nebo je to jinak?
Bývá to tak, ale situace se rychle mění. Jedna věc je samozřejmě regulatorika, která zasahuje zejména státní instituce a velké korporace spadající do kritické infrastruktury. Zároveň je obrovský počet firem, které i díky covidu zjistily, že jsou nějakým způsobem velmi závislé na kyberprostředí, ať už je to přímo jejich byznys nebo jen obyčejná komunikace se zákazníky. Zjišťují, že když přijde výpadek nebo útok na jejich systémy, najednou nemohou se svými daty či zákazníky pracovat, zároveň je to reputační riziko.

Funguje osvěta, ale negativních příkladů vidíme v médiích jen málo, firmy se tím logicky nerady chlubí. Nebál bych se přitom říct, že většina firem si nějakým bezpečnostním incidentem prošla. Problém je, že o tom řada z nich vůbec neví. Kvůli chystané legislativě přitom bude muset řada z nich takové incidenty reportovat, a to je problém, pokud nám z loňského průzkumu vyplynulo, že pětina firem o bezpečnostních incidentech nemá ponětí.

Narážíte patrně na novou evropskou směrnici NIS2 o bezpečnosti sítí a informací. Je to v oblasti bezpečnosti, o které mluvíme, krok správným směrem?
Myslím, že ano. Můžeme to přirovnat třeba k začátkům automobilismu. Také v určitý moment musela vzniknout pravidla silničního provozu, aby všichni věděli, jak se na silnicích chovat. V bezpečnosti dospíváme do bodu, kdy pravidla také potřebujeme. Bude samozřejmě velmi záležet na tom, jak nakonec legislativa dopadne, protože si ji musí jednotlivé státy EU transponovat do vlastního práva.

Z našich prvních analýz vyplývá, že v Česku je zhruba šest tisíc firem, kterých by se měla tato legislativa dotknout. Pro řadu z nich bude výzva se s novými pravidly vypořádat, protože většina podle mého názoru ani nebude vědět, že pod takovou regulaci vůbec spadá. V návrhu totiž zatím je, že se budou musel hlásit a registrovat samy firmy. Zároveň platí, že je obecně nedostatek bezpečnostních odborníků, se kterými by to mohly řešit. Není to jen o nákupu nové technologie, ale také o procesním nastavení a pravidlech uvnitř firem.

To vypadá jako velká obchodní příležitost pro Cisco.
Nebudu zastírat, že je to obrovská příležitost. Jsem přesvědčen, že pro střední a malé firmy bude bez odborné asistence enormně těžké se ve všem zorientovat. V aktuálním návrhu je, že se bude směrnice týkat firem, které mají více než padesát zaměstnanců a obrat přes deset milionů eur (230 milionů korun). Dotknout se to může i třeba menšího pekárenského řetězce, jehož kompetence je pečení chleba, ne zabezpečování firmy. Bez odborné pomoci to bude mít těžké.

Proto tu vidím i mimořádnou příležitost pro lokální IT firmy a naše partnery. Ti znají nejlépe, jak jsou na tom z hlediska bezpečnostních technologií a procesů jejich zákazníci. I proto jsme ve spolupráci s našimi důležitými partnery přišli s nástrojem Cisco Security Check, s jehož pomocí si mohou firmy bezplatně otestovat bezpečnostní kondici své IT infrastruktury. Výsledek může poskytnout i rámcové vodítko pro přípravu na nové normy.