Společnost AEC, patřící do Cleverlance Group, má z celé skupiny nejdelší historii. V letošním roce slaví tito IT Security specialisté 25. výročí svého vzniku. Nejen o historii firmy jsme si povídali s jejím výkonným ředitelem Tomášem Strýčkem.

Když nastoupil do AEC v roce 2004 jako bezpečnostní konzultant, byl tam téměř sám. Dnes vede tým 45 bezpečnostních expertů, kteří u nás patří ke špičkám svého oboru.

Tomáše můžete znát také z celoplošných médií. Pro televize a deníky komentuje aktuální IT incidenty a hrozby. Stal se tváří kampaně pro bezpečnost internetového bankovnictví. AEC totiž aktuálně vystupuje pod heslem „Nejsme anonymní“. Chce tak ukázat, že firmu tvoří konkrétní lidé, tedy i Tomáš. 

Tomáši, prozradíš nám, jak vlastně vznikla firma AEC?

AEC se zpočátku zaměřovala na distribuci a aktualizaci antivirů a antivirových softwarů, tenkrát samozřejmě přes diskety. Můžete si to představit asi takto: přišla disketa pětačtvrtka třeba od McAfee. Ta se v AEC namnožila, kopie se zabalily do obálek a posílaly zákazníkům, psal se rok 1991.

A jak to chodí v AEC teď?

Poštou už aktualizace neposíláme :). Od kopírování antivirových systémů z disket a rozesílání poštou zákazníkům jsme se zásadně posunuli. Bezpečnost IT je také nyní něco podstatně jiného než v době, kdy AEC začínala. S tím, jak rostou bezpečnostní hrozby a útoky jsou stále sofistikovanější, jsme se i my dostali k pokročilým bezpečnostním metodám. Nyní tak nabízíme rozsáhlé portfolio IT Security služeb, které zahrnuje analýzy rizik, ethical hacking, bezpečnostní audity a implementace složitých bezpečnostních technologií, návrhy bezpečnostních systémů či forenzní analýzu po bezpečnostním incidentu. Na řídící úrovni například navrhujeme procesy a organizaci oddělení bezpečnosti nebo řízení informačních rizik.

Jaká byla Tvoje cesta v AEC? Jak si se dostal k řízení celé firmy?

Nastupoval jsem v roce 2004 jako IT Security Consultant, AEC měla tehdy asi 50 lidí. Náš business byl tenkrát postaven na prodeji antivirů a AEC měla poměrně slušný tým programátorů pro vývoj vlastních bezpečnostních produktů. Myslel jsem si, že budu bezpečnostním konzultantem. Začal jsem dělat posudky bezpečnosti IS, byl jsem na to v AEC téměř sám. Postupem času jsme se rozrostli, říkali jsme si oddělení služeb. A když nás bylo asi pět, musel to někdo začít řídit.
Když nás koupila Cleverlance, tak právě oddělení služeb bylo primárním zájmem této akvizice. V té době měl náš tým deset lidí. Dnes je nás pětačtyřicet.
Těchto 45 lidí nyní pracuje během roku v různých rolích a v různých formacích na přibližně 120 fixtimových IT Security projektech. Každý člen týmu má svou specializaci, každý přináší do projektu něco specifického. Dohromady to vytváří ucelený soubor bezpečnostního portfolia, který dokáže zajistit bezpečnost i těm nejrizikovějším zákazníkům, například v oblasti bankovních služeb nebo kritické infrastruktury státu. To, co se nám v AEC povedlo vytvořit, je zásluhou všech členů týmu. Já si jejich práce moc vážím, tito lidé jsou nosným pilířem firmy.

Zmínil jsi, že Cleverlance koupila AEC kvůli oddělení služeb. Můžeš to přiblížit?

V té době Cleverlance potřebovala vybudovat tým bezpečnostních expertů. Měli zejména podpořit projekty probíhající v bankách, kde je bezpečnost pro úspěch projektu klíčová. AEC již v té době měla s bezpečností rozsáhlé zkušenosti, a tak jsme mohli bezpečnost zavést i do projektů Cleverlance.
Vůbec prvním projektem, kde vznikla symbióza Cleverlance a AEC, byl Vodafone Park, projekt M2W (Mobile to Web, pozn. red.). Po průkopnických začátcích je dnes spolupráce v otázkách bezpečnosti na velkých projektech automatická. Projektoví manažeři a architekti v Cleverlance už vědí, na koho se s bezpečností v AEC obrátit.

Existuje v současnosti nějaký bezpečnostní standard při vývoji, který AEC doporučuje?

Používáme celou řadu standardů pro Secure Software Development Lifecycle, vždy podle aktuální problematiky. Právě v oblasti bezpečnosti vývoje IS využíváme unikátního spojení vývojářů Cleverlance a bezpečnostních expertů AEC.
U zákazníků zajišťujeme bezpečnost jejich vývojového projektu. Tedy dohlížíme na to, že to řešení bude bezpečné, a bude také řízena bezpečnost procesu vývoje IS.

O AEC se říká, že je to brněnská firma.

AEC má skutečně sídlo historicky v Brně. Vznikla spolupráce mezi AEC a univerzitou VUT, která se neustále rozvíjela ve vícero rovinách. Navíc Brno se nám jeví vhodné strategicky pro budoucí růst, v neposlední řadě je tato lokalita příznivá z pohledu dostupnosti do třech hlavních měst. Některé naše týmy musí operovat v Praze, či v Bratislavě, ale majoritní tým je rozvíjen právě v Brně.

AEC tedy působí i na Slovensku?

Na Slovensku byla založena pobočka AEC již v roce 1993. I zde hraje významnou roli vzdálenost Brna. Slovensko je pro nás velmi významnou strategickou destinací s vysokým potenciálem rozvoje. Snažíme se dostat i na další zahraniční trhy. Dnes máme v referencích projekty v bezmála 25 státech světa.

Číslo 25 se pojí také s výročím firmy AEC. Jak letos slavíte? Jak vnímáš tento mezník?

V AEC se snažíme dělat svoji práci dobře, bez ohledu na to, jestli slavíme nebo ne. Naše výsledky jsou založeny na perfektní komunikaci a úzké spolupráci se zákazníky. Stejně tak je důležité, aby celý tým fungoval jako celek a lidé se v něm cítili dobře. To znamená, že dáváme prostor neformálním setkáváním a firemním akcím. To platí bez ohledu na to, zda právě slavíme 25 let nebo ne. Samozřejmě si vážím historie firmy a toho, že máme tak dlouhou tradici. Ale mezník v tom smyslu, že by se něco změnilo, to není. Vyvíjíme se postupně, spíš s ohledem na situaci na trhu, než letopočet, který se píše.

S AEC je spjatá největší bezpečnostní konference na českém trhu. Jak konferenci Security vnímáš ty a jak ji vnímá odborná veřejnost?

Já jsem rád za to, že konference získala své jméno již dávno před mým nástupem do firmy a může se tedy chlubit dlouholetou tradicí. Letos proběhl již 24. ročník. Samozřejmě, od svých počátků se konference značně proměnila. Je to pro mě i celou AEC velká událost a těší nás, že i odborná veřejnost ji považuje za jednu z nejpřínosnějších IT Security událostí u nás. V organizačním výboru konference se do jednoho dne snažíme koncentrovat ta nejaktuálnější témata, ukazujeme různé cesty řešení, více pohledů na stejný problém. Vytváříme prostor pro diskuzi a přitom omezujeme marketingové prezentace.
Konference je také platformou pro setkání IT Security profesionálů. Účast je rok od roku větší. Vypadá to, že za chvíli se do žádné konferenční haly nevejdeme a skončíme na Letné :).

Nyní k běžným uživatelům. Jaké jsou z tvého pohledu jejich největší bezpečnostní chyby, ať už doma nebo v zaměstnání?

Jedním z  fenoménů dnešní doby je sdílení soukromí na sociálních sítích. Uživatelé si ani neuvědomují ztrátu soukromí. To není ani tak bezpečnostní chyba jako jev, který poslouží k výběru oběti a zacílení útoku. Těch chyb, které někdo využije k útoku, bude vždycky velmi mnoho.

Myslíš, že je tedy lepší na sociální sítě vůbec nechodit?

Ne, to nejde. Je však potřeba být si vědomý možného nebezpečí, přemýšlet a chovat se na sociálních sítích s ohledem na tyto hrozby.

A jak je to dnes s útoky na uživatele internetového bankovnictví? Finanční malware. Co se děje aktuálně?

Útoky se vyvíjejí, jsou složitější, s více podprahovými projevy, aby nebyly jednoduše detekovatelné. V posledních dnech jsme zaznamenali několik útoků na banky v regionu Evropy, v ČR to byl například minulý týden phishingový útok na Komerční banku. Neustále se něco děje, české banky nejsou momentálně pod takovým tlakem jako před rokem. Pro útočníky nejsložitější fází útoku stále zůstává proměnit virtuální měnu na hotovost. V této pokročilé fázi má banka možnost útok ještě zastavit (zablokuje účet tzv. bílého koně) a zmařit celé úsilí organizovaného útoku. Proto útočníci hledají nové možnosti, jak překonat tuto poslední míli. S rozvojem finančních produktů a nových možností plateb se i pro tyto útočníky otevírají zcela nové možnosti, jak peníze získat bez zapojení bílých koní. Zároveň evidujeme několik nových rodin finančního malware, který čeká na distribuci.

Prozraď nám, stalo se ti někdy, že se ti zaviroval počítač?

Dříve mnohokrát. V AEC k tomu však přistupujeme jinak, nejsme úplně běžní uživatelé. V rámci etického hackingu nezřídka testujeme, někdy i sebe navzájem. Kdo s čím zachází, tím také schází. Na druhou stranu si však troufám říct, že jsme připraveni kdykoli přijít o data na svém PC.

Víme o tobě, že nejsi jen bezpečnostní expert, ale také vinař. Jak to jde dohromady?

Pocházím z vesnice na jižní Moravě, kde byl vinohrad dříve za každým domem. Jeden takový malý vinohrad jsem dostal od otce na starost. Zpočátku to byla jenom práce, pak ještě navíc zodpovědnost. Postupem času jsem si k vinohradu a vínu našel cestu. Tato práce je pro mě forma relaxace, někdy ale trochu bojuji s časem, abych zvládl zaměstnání. 

A co je pro tebe ideální odpočinek? V klidu rozjímat se sklenkou vína, nebo bujará oslava?

Volný čas trávím nejraději v přírodě, ideálně v horách. Sám jsem dříve prochodil hodně míst, nyní s dětmi začínáme pozvolna. Pěšky poznáváme české kopce a někdy snad dojde i na Alpy.

Děkujeme za rozhovor.

Rozhovor byl původně publikován v našem firemním občasníku Clevermag.