Kybernetická bezpečnosť neznamená len schopnosť reagovať na kybernetické incidenty, začína sa oveľa skôr budovaním odolnosti. Celý finančný sektor, ktorý denne ovplyvňuje život každého človeka, bytostne závisí od spoľahlivej kybernetickej bezpečnosti a účinného riadenia kybernetických rizík. V bratislavskej pobočke Swiss Re pracuje tím špecialistov, ktorí ako detektívi hľadajú v dodávateľských reťazcoch slabé miesta a navrhujú, ako ich posilniť a znížiť potenciálne riziká.
O tom, akým spôsobom pomáhajú odborníci z Bratislavy zlepšovať globálnu odolnosť, sme sa rozprávali s Oľgou Tymofeieva, Third Party Cyber Risk Specialist, Swiss Re.
Na úvod jednoduchá a zároveň aj ťažká otázka. Viete opísať, čo robíte jednou vetou?
Pomáhame Swiss Re bezpečne spolupracovať s externými technologickými dodávateľmi. Od výberu partnera až po monitoring počas celého „životného cyklu“ služby, aby boli firma aj dáta odolné voči kybernetickým incidentom.
Keď sa povie kyberbezpečnosť, väčšina ľudí si predstaví hackerov či antivírus. Aká je realita oproti tomuto zjednodušenému vnímaniu?
Kyberbezpečnosť je oveľa širšia disciplína, než si ľudia myslia. Áno, potrebujete rozumieť sieťam, cloudu a aplikáciám. Ale rovnako potrebujete poznať regulačné prostredie naprieč krajinami, rozumieť rôznym obchodným procesom a v neposlednom rade chápať ľudí. Ich návyky, kultúru, správanie. V konečnom dôsledku je to disciplína na pomedzí IT, riadenia rizík, regulácie a tiež aj psychológie.
S tým úzko súvisí aj otázka dodávateľského reťazca. Ak si firma dôkladne nepreverí svojich dodávateľov, môže tým ohroziť vlastnú bezpečnosť. Prečo sa téma tretích strán dostáva čoraz viac do centra pozornosti?
Dnes nevie fungovať takmer žiadna firma bez externého ekosystému – cloudových poskytovateľov, softvérových vendorov, dátových služieb, hardvéru či outsourcovaných procesov. Keďže spoločnosti spolupracujú s množstvom tretích strán, vrátane tých kritických, nadobúda kybernetická bezpečnosť čoraz väčší význam.
Čo presne robíte, keď si Swiss Re chce objednať novú digitálnu službu?
Začíname ešte pred podpisom zmluvy. Posudzujeme, aké dáta a procesy budú do služby vstupovať, v akých regiónoch sa budú spracúvať, aké regulácie sa uplatnia, aká je technologická vyspelosť dodávateľa, jeho bezpečnostné kontroly, incident manažment a schopnosť obnovy. Výsledkom je identifikovaná úroveň kybernetického rizika a odporúčanie, za akých podmienok do toho ísť alebo neísť.
Preverovanie dodávateľov znie skôr ako formálny audit. Ako sa z toho stáva reálna, každodenná kyberbezpečnosť?
Bezpečnosť nie je niečo, čo si skontrolujete raz do roka. Je to živý proces, ktorý nikdy nekončí. Dodávateľ upraví infraštruktúru, objaví sa nová zraniteľnosť, zmení sa legislatíva či v odvetví dôjde k nejakému incidentu – ktorákoľvek z týchto udalostí mení vaše rizikové prostredie zo dňa na deň. Preto priebežne monitorujeme, pravidelne prehodnocujeme a reagujeme v reálnom čase. Dokonca sa podieľame na vylepšovaní procesov dodávateľov a tým každý z nás môže ovplyvňovať vývoj pokročilých globálnych technológií.
Viete dať konkrétny príklad, ako to vyzerá v praxi?
Predstavte si, že firma chce globálne riešenie, ktoré bude pracovať s citlivými dátami a beží v cloude. My sa pozeráme na celý reťazec – kto je dodávateľ, kde sú dáta hosťované, ako sú riešené zálohy a obnova, kto a ako sa dostane k dátam, ako prebieha bezpečnostné testovanie, ako rýchlo dokáže dodávateľ zareagovať pri incidente. Niekedy si vyžiadame dôkazy, overíme ich, robíme spoločné testy alebo simulácie. A keď realita nezodpovedá tomu, čo je dohodnuté v zmluve, otvárame diskusiu.
Ako funguje spolupráca s ostatnými bezpečnostnými tímami?
Toto nie je „one-team show“. (Úsmev) Na základe našich hodnotení a histórie monitoringu vieme dodať kontext, iné tímy dodajú výsledky testov – penetračné testy, red teaming, scenáre operačnej odolnosti. Kombináciou dát vytvárame obraz rizika a odporúčania pre interných stakeholderov.
Zaisťovníctvo nie je sektor, ktorý si ľudia spájajú s kyberbezpečnosťou. Prečo práve zaisťovňa potrebuje kyberexpertov?
Finančný sektor je prísne regulovaný a zároveň technologicky náročný. Spracúvame obrovské objemy dát a transakcií naprieč krajinami, čo stojí na moderných platformách, cloude a špičkových dodávateľoch. V praxi to znamená kontakt s veľkými globálnymi hráčmi, avšak nie na úrovni „papierovania“, ale cez odborné diskusie o bezpečnosti, procesoch a technológiách.
Vybudovať kyberbezpečnostný tím interne namiesto spolupráce s externým dodávateľom je zásadný krok. Čo vás k tomu viedlo a ako ten prechod vyzeral?
Znamenalo to vybudovať službu od nuly. Najprv sme museli vybrať a zaviesť špecializovaný nástroj – to bola veľká implementácia, nastavovali sme workflow, evidenciu dôkazov a reporting úplne od základov. Potom sme vytvorili vlastnú metodiku, ktorá lepšie sedí na naše interné procesy a na to, ako funguje globálna firma, pretože „in-house“ tím pozná realitu prevádzky detailnejšie než externý dodávateľ. Prvé dva roky boli náročné. Ale práve vďaka tomu dnes máme metodiku, ktorú vieme priebežne zlepšovať, škálovať a prepájať s ďalšími security tímami – od penetračných testov a red teamingu až po testovanie obnovy a operačnej odolnosti. Dokonca sme získali aj ocenenie Supply Chain Cyber Security & Third-Party Risk Management Europe Award 2025 ako najlepší tím v oblasti riadenia rizík tretích strán.
Čím je práca v Bratislave výnimočná pre seniorných ľudí, ktorí sa špecializujú na kybernetickú bezpečnosť?
Robíme globálnu službu. Z Bratislavy máte vplyv naprieč krajinami a technológiami. Zároveň máme silnú kultúru spolupráce. Viete si nájsť expertov v iných tímoch, rozbehnúť iniciatívu, ísť na konferenciu, priniesť späť know-how a reálne ho pretaviť do praxe. Keď máte nápad a viete ho obhájiť, dostanete priestor ho zrealizovať.
A čo ľudia, ktorí majú silnú expertízu, ale nie dokonalú angličtinu?
Aj ja som začínala s týmto „hendikepom“. Prostredie v Swiss Re je však inkluzívne a veľmi podporné. Dôležité je chcieť rásť, priniesť hodnotu a spolupracovať. Postupne sa človek rozbehne rýchlejšie, než by čakal.
Keby ste mali zhrnúť, koho hľadáte do tímu. Aký typ človeka uspeje?
Zvedavý expert, ktorý sa nebojí komplexnosti. Človek, ktorý dokáže prepojiť technický detail s uvažovaním o rizikách, vie komunikovať s biznisom aj s veľkými dodávateľmi a na odolnosť sa pozerá ako na dlhodobú disciplínu, nie jednorazový projekt.
A čo AI? Očakávate, že vám radikálne zmení prácu v nasledujúcom období?
AI nie je mágia, je to nástroj. Pomáha so zrýchlením, s automatizáciou rutiny a prácou s veľkým množstvom dát, ale rozhodovanie ostáva na ľuďoch. Žiadne rozhodnutie u nás neprejde bez toho, aby ho posúdil človek. To je pre nás zásadné. AI nám hlavne šetrí čas, vďaka čomu sa môžeme viac venovať hĺbkovej analýze hrozieb a zlepšovaniu metodiky.
