Společnost Accenture je jeden z největších poskytovatelů kybernetické bezpečnosti na světě. Konkrétně v České republice se řeší ty nejsložitější případy. Podle specialisty počítačové bezpečnosti Filipa Štěpánka je firma v tomto směru ideální startovací pozicí pro absolventy technických a IT oborů.
9:30
Flexibilní pracovní doba je jeden z benefitů firmy, který rád využívám. Po příchodu do našeho střeženého prostoru Cyber Fusion Center, kde pracuje více než stovka odborníků na kybernetickou bezpečnost, zjišťuji, zda nepřišel důležitý e-mail od klienta. Bavím se s lidmi z týmu, zda něco nepotřebují nebo řeším, co je potřeba komunikovat se zákazníkem. V rámci počítačové bezpečnosti jsou našimi klienty velké mezinárodní společnosti. Je však mylnou představou, že odborník na kybernetickou bezpečnost musí být geniální hacker jako z filmu. Já sám jsem už během studia věděl, že chci pracovat v bezpečnosti IT. Měl jsem motivaci, nadšení a bavilo mě řešit počítačové útoky. Nic víc. Během prvního roku jsem pronikl do technologií, se kterými firma pracuje, a to i za výborné podpory kolegů.
11:00
Náš zhruba čtyřicetičlenný tým se zabývá bezpečnostním/penetračním testováním. V podstatě se jedná o simulaci útoku v reálném čase. Cílem testování jsou většinou webové aplikace, síťová infrastruktura, informační systémy či mobilní aplikace. Já sám jsem členem pětičlenné skupiny, která se zabývá bezpečnostním testováním (chytrých) zařízení, IoT či vestavných systémů. V podstatě analyzujeme nějaké zařízení od zákazníka, hledáme jeho slabá místa a následně provádíme útoky. Pokud se nám útok vydaří, zjišťujeme, zda a jak se dá útoku zabránit. Právě teď připravuji prezentaci výsledků našeho projektu členům představenstva zahraničního zákazníka. Poslali nám svá zařízení, u kterých jsme objevili bezpečnostní nedostatky – jednalo se o router a zařízení pro příjem digitální televize. Věděli jsme, že zákazník si dal záležet na tom, aby zařízení byla bezpečná, ale i tak se nám je podařilo vzdáleně ovládat. Jinými slovy, pokud bych byl váš zlý soused, mohl bych vám přepínat televizi a nikdo by nevěděl, co se děje. Naším cílem je však zákazníkům pomáhat. Bylo tedy potřeba problém a jeho řešení nejdříve vysvětlit zákazníkově technickému týmu a nyní je mým úkolem prezentovat výsledky dvouměsíční práce manažerům z businessu, a to během deseti minut. Znalost angličtiny je tak nutná, ale díky každodenní komunikaci se v ní člověk rychle zlepšuje.
13:00
Na oběd chodím trochu dál od firmy. Při cestě na chvíli vypnu a nechám věci uležet. Po návratu z oběda pak spíše najdu lepší řešení. Ve volném čase mi pomáhají kreativní činnosti – například pečení, během kterém jsem už párkrát neplánovaně přišel na řešení pracovního problému.
14:00
Kybernetická bezpečnost je relativně nový obor, ale má svoji budoucnost. Systémy, které dnes denně používáme, nebyly původně navrhované tak, aby obstály útoku. Stačilo, že fungovaly. V 80. letech minulého století, kdy se začal internet vyvíjet, nikdo nepočítal s tím, že přijdou hackeři. Občas se proto dá naše práce přirovnat k detektivnímu pátrání. V Accenture v Praze navíc řešíme ty nejsložitější případy z celého světa. Někdy zaberou pár minut a jindy měsíce. V laboratoři zkoušíme i různé invazivní metody. Je potřeba být při práci kreativní, umět fungovat v týmu i samostatně, a hlavně hledat cesty, které nejsou na první pohled zřejmé. Nedávno jsme například pracovali s telemetrickou jednotkou používanou v autech, kde jsme byli schopni vyřadit z provozu kontrolu integrity dat operačního systému tím, že jsme odebrali jednu fyzickou komponentu.
17:00
Ke konci pracovní doby si rád přečtu své oblíbené bezpečnostní blogy nebo si vyzkouším útoky, které mě zajímají – samozřejmě v testovacím prostředí. Zaměstnavatel mi také umožňuje absolvovat bezpečnostní certifikace jako například OSCP, OSCE, CISSP, které jsou pro mou práci žádoucí. Někdy v tomto čase připravuji obsah workshopů pro studenty se zaměřením na kybernetickou bezpečnost. Jejich cílem je studentům ukázat, jak uvažuje běžný člověk, a jak útočník. I našim zákazníkům vysvětluji, že když někdo útočí na systém, buď chce získat informace (zvyky dané osoby, číslo platební karty) nebo se chce dostat k datům či vzdálenému přístupu. Accenture také pořádá soutěž Capture the Flag, ve které soutěžící mohou změřit své dovednosti v oblastí počítačové bezpečnosti a etického hackování a na jejíž organizaci se spolu se svými kolegy podílím.
18:30
Domů odcházím ve chvíli, kdy už nikdo nečeká na mou odpověď. Ne všechny projekty se však dají řešit jen pomocí vzdálených systémů, a proto občas cestuji za klienty. Na místě pak zůstáváme třeba týden, ale může jít i o půl roku. Já jsem byl třeba v Severní Americe nebo ve Finsku a v obou případech jsem si pobyt ještě prodloužil o pár dní dovolené.
FILIP ŠTĚPÁNEK (32) Vystudoval ČVUT v Praze – bakalářský obor Výpočetní technika na Fakultě elektrotechnické a magisterský obor Projektování číslicových systémů na Fakultě informačních technologií. Po škole začal pracovat ve společnosti Accenture jako penetrační tester/analytik senior kybernetické bezpečnosti. Nyní je na pozici specialisty kybernetické bezpečnosti. Soustředí se především na bezpečnostní/ penetrační testování v oblasti smart devices a IoT. Za Accenture také vede tematické workshopy pro studenty, například na využívání slabých stránek systému Android. Je i vedoucí řady závěrečných prací na FIT ČVUT. Ve volném čase rád vypne počítač a zajde na výstavu, přečte si o historii nebo se věnuje pečení. |
Zdroj: Magazín ABSOLVENT.cz