Marek Šottl, ICT Pro: Data firem jsou ve stále větším ohrožení, taková je realita

Rozhovor s Markem Šottlem, lektorem ve společnosti ICT Pro, odborníkem na cyber security, Appsec, DevSecOps a Cloud

Bez připojení do internetu se dnes neobejde asi žádná společnost. Díky tomu jsou však firemní data ve větším ohrožení než dříve. Přestože je v ČR povědomí o kybernetické bezpečnosti na slušné úrovni, je stále co dohánět. Nejen z toho důvodu připravila společnost ICT Pro kurz Bezpečnost (nejen) webových aplikací a SSDLC, který vede lektor Marek Šottl.

Marek Šottl ICT Pro

Jaké jsou vaše lektorské a další pracovní zkušenosti?

Jsem trenér pro ICT Pro, zároveň pracuji v jedné americké firmě jako DevSecOps Architect. Mám zkušenosti ze cyber security už minimálně 10 let. Pracoval jsem na projektech spojených s vývojem a bezpečností. Nyní se věnuji primárně cloudovým technologiím, cyber security a DevSesCops. Mám také zkušenosti se školením v Německu, Polsku, Španělsku či Francii.

Jaký je váš pracovní model?

Mám hlavní pracovní poměr a mimo to ještě podnikám. Mám to takto rozložené proto, abych se udržoval fresh a zároveň mohl předávat maximum znalostí v trénincích. Založil jsem také

YouTube kanál pod názvem Hackitect’s playground , kde připravuji tutoriály a tréninky primárně o cloudových technologiích.

Co vše musí účastník před kurzem Bezpečnost nejen webových aplikací znát?

V první řadě asi záleží na skupině. Jsem schopen kurz přizpůsobit pro úplné začátečníky, naopak když vidím, že tam jsou lidé, kteří tomu více rozumí, tak jdeme do hloubky. Často se stává, že si účastníci myslí, že o dané problematice toho ví hodně, ale ukáže se, že mají jen základní znalosti. To samozřejmě platí i obráceně. Jsou lidé, kteří si myslí, že neví nic a přitom mají hlubší znalosti. Osnova je stále stejná, ale jsou témata, která účastníky v tu chvíli více zajímají, takže při vzájemné shodě je můžeme probrat intenzivněji.

Pro koho je kurz koncipován a co si účastníci odnesou?

Od projektových manažerů, které to prostě zajímá, až po hardcore vývojáře, je to široké spektrum. Každý si odnese něco jiného, záleží to na tom zážitku. Při hybridním školení to úplně dobře nejde, ale na onsite kurzech mám připravené i karetní hry, různé zážitky, kdy na sebe lidé útočí právě pomocí útočnických a obráncovských karet a různé další hry, které to zpříjemní. Z kurzu si odnesou zážitek a velké množství know how, které by jinde nezískali. Trénink je koncipovaný tak, aby byl v Čechách unikátní. Zatím je unikátní i v rámci Evropy.

Zabývám se tam DevSecOps – což znamená spojení Development Security Operations. Jde o spojení těch tří položek a ještě k tomu v cloudu, což moc lidí nedělá a není na to moc rolí. Tyto role vypisují primárně na západě v USA. Účastníci získají overview nových věcí a směr, kam se vydat.

Samozřejmě je spousta online zdrojů, které si lidé mohou dohledat, ale oni často ani neví, kde hledat a jaká klíčová slova zadávat, kam se podívat, prostě co vygooglit. Když jim pak během kurzu řeknu zkratku, že něco takového existuje, tak je to pro ně úplně nová věc. Po kurzu mají všichni nafouknuté hlavy, protože se snažím, aby byl tento kurz nejnašlapanější v ČR, co se týče daného tématu. Takže to do účastníků sypu s velkou kadencí.

Co se pro vás jako lektora změnilo s přechodem na hybridní formu školení? Jaké byly největší provozní změny v oblasti vedení kurzu?

Pro mě osobně je příjemnější být s lidmi, ale na druhou stranu je někdy fajn, že můžu pracovat z domova, protože to má své časové výhody. Co se týče lidského pohledu, je lepší, když se vidíme a hrajeme hry. I pro mě je obtížné některá cvičení, kdy něco designujeme nebo vymýšlíme, dělat online. V hybridu je to ještě náročnější, protože máte lidi onsite a online, u kterých vlastně nevím, jaký to pro ně je zážitek, zda se třeba nenudí.

Při online či hybridním školení může být někdy problém s připojením do labů, to zná jistě každý lektor, nebo se účastníkovi uspí počítač a ten se musí znovu aktivovat. Ale svůj

trénink mám pojištěný. Kdyby náhodou něco nefungovalo, tak mám své vlastní úložiště, kde si mohou studenti podklady stáhnout k sobě lokálně a hrát si s tím na svém počítači. Některá cvičení jsou závislá na konkrétních technologiích. I ty je možné stáhnout do svého osobního či firemního počítače, pokud to tedy zaměstnavatel nemá blokované.

Řešíte nějak vypnuté kamery účastníků?

Nemůžu nikoho nutit mít kameru zapnutou, ale snažím se občas pokládat otázky, jestli nespí nebo jestli jsem vysvětlil problematiku srozumitelně, popřípadě zda se chce někdo na něco zeptat. Ptám se přímo konkrétních lidí na jejich názory, aby je to nutilo ke komunikaci z jejich strany. Když děláme cvičení, tak se snažím ptát, zda to všem funguje a podobně.

Které části školení jsou nejpodstatnější?

Je to samotný bezpečný proces vývoje aplikací, Security Software Development Life Cycle SSDLC, top 10 zranitelností, proces automatizace DevOps a DevSecOps. Dokonce jsem přemýšlel, že bych to rozdělil na více kurzů, protože mám samozřejmě spoustu nápadů, co se tam dá přidat. Je to už dlouho má myšlenka a zabývali bychom se třeba jen webovou bezpečností, pak automatizací bezpečnosti a zvlášť těmi profesemi. Teď je to vmáčknuté do dvou dnů, aby to pro lidi bylo finančně přijatelné, a aby dostali maximum.

Jaký je podle vás hlavní přínos kurzu?

V první řadě je to opravdu zajímavé téma a já věřím, že mám účastníkům díky svým zkušenostem skutečně co nabídnout. Pracoval jsem v řadě firem. Mohu účastníkům předat znalosti, které nikde jinde nenajdou. Podílel jsem se na opravdu zajímavých projektech napříč různými zeměmi, dělal jsem architekta pro DevSecOps a cloud a to je jedna z přidaných hodnot kurzu. Naši studenti dostávají mnou připravený obsah, poté dostanou i odkazy na další materiály. Je tam spousta věcí navíc, ukážu jim cesty, které třeba ani netušili, že existují. Jsou tam i neveřejné části, kde ukazuji reálné útoky, aby účastníci věděli, co vše je možné. Snažím se dát vývojářům nový pohled na svět, co se může stát a jak to může ohrozit je samotné.

Zkoušíte při cvičeních také fingované útoky a obranu?

Na konci školení hrajeme hru Capture the Flag. Vytvoříme týmy, které hledají zranitelnosti v již děravém systému a za to získávají body ve virtuálníá hře. K tomu je velká mapa světa a oni dobývají jednotlivé země tím, že získávají zmíněné body.

Jaké jsou trendy v IT bezpečnosti z pohledu vývojáře a jak je na tom ČR?

Dnes nás nejvíce ohrožuje ransomware, což je malware, který zašifruje úložiště oběti, a pro jeho odblokování vyžaduje výkupné. V oblasti security je to velké téma, protože stále více zařízení je připojeno do internetu a je potřeba řešit úplně jinou bezpečnost. Povědomí se v čase mění. Ale myslím, že na tom nejsme až tak špatně, i když v porovnání s jinými zeměmi máme stále co dohánět.