Někdy je to stejně psychologie jako IT, říká o vývoji DLP Zbyněk Sopuch, CTO brněnské Safetica
29. 1. 2021 | SafesticaÚnik citlivých dat vyjde firmy průměrně na téměř tři a půl milionu Eur.
Brněnská Safetica chrání firmy po celém světě proti ztrátě jejich citlivých dat díky programu Data Loss Prevention, který vyvíjí a integrují hluboko do systému.
Podle CTO Safetica Zbyňka Sopucha není ochrana dat jen o vývoji dokonalého řešení, ale také o komunikaci s uživatelem a jeho rozvoji. Říká: „Potřebuje zpětnou vazbu na to, co dělá a co zamýšlel a potřebuje se to dozvědět citlivě. My ho vlastně v bezpečnosti vzděláváme.“
Safetica vytváří Data Loss Prevention řešení. Co to znamená?
Safetica vyvíjí řešení chránící oprávněné uživatele před chybami při zacházení s daty. Řeší případný problém mezi židlí a klávesnicí. Proto potřebuje být na místě, kde se data a uživatel potkají – na koncové stanici, na mobilu, v cloudové službě a podobně. Ta technologická doména je tak široká, že je jednodušší definovat, co neděláme než naopak. Nejsme jenom mobilní aplikace nebo web a databáze jako u jiných služeb. Jsme na všech platformách. Jsme integrovaní hluboko v systému, řešíme ovladače, děláme interakci s uživatelem, analytiku dat. Z legrace říkám, že děláme vše až na výrobu hardwaru, a i o tom jsme například ve formě šifrovaných flash disků chvíli přemýšleli.
Jaký máte stack?
Technologický stack byl nejdříve hodně ovlivněný Microsoftem. Jsme jejich Gold partner a co dávalo smysl, jsme postavili s jejich technologiemi. Tedy celou Windows platformu (C++, C#) a cloud backend na Azure. Obecně však volíme nativní technologie, děláme web v Angularu, na macOS používáme Objective C, C++ a Swift. Na iOS aplikaci Swift a v případě Androidu Kotlin. A analytiku dat například v Pythonu.
Neděláme Javu a PHP, které by do zákaznického prostředí přinesli další platformní závislosti a bezpečnostní rizika.
Vy jste přímo na úrovni operačního systému. Co to znamená?
Firmy dělají například aplikace na macOS. My ale jdeme níž, a díváme se, jak ten systém funguje. Kde má slabá místa a jak se dají řešit. Většina vývojářů nepoznala, že když Apple vydal macOS Catalina, změnil se celý bezpečnostní systém kolem jádra a v podstatě zakázali vlastní drivery a podobně. My jsme to poznali.
Vidíme, jak se v systému pracuje se soubory, a co uživatel dělá na síti a snažíme se mu v případě potřeby dát pomocnou ruku. Musíme vědět, co dělá, když například posílá data do Apple ecosystému nebo Office 365, což jsou funkce stále více integrované s operačním systémem. Když se vrátím zpět k macOS, bavíme se tu prakticky o úrovni Unixu, proto také do týmu nabíráme „linuxáře“.
Jak řešíte různé verze operačních systémů?
Musíme podporovat všechny mainstreamové verze operačních systémů, ale také aplikace třetích stran. Nutí nás to psát defenzivně, ale hlavně to klade nároky na QA. Ručně bychom to nezvládli, je to celé pod robustní automatizací, která za nás většinu odmaká po nocích sama. Ale občas prostě i tak narazíme na problém v poli, který nás překvapí. Našli jsem například chybu v Adobe, který špatně pracoval se soubory, našli jsme chybu v tiskovém API od Microsoftu nebo i v ovladačích YSoftu.
Někdy stačí chyby nahlásit a oni je opraví, ale někdy se na to firmy vykašlou a my si s tím musíme poradit. Zákazník to od nás čeká.
Co dál vaše QA řeší a proč na jejich práci kladete takový důraz?
Jednak ovlivňujeme přímo práci každého zaměstnance u zákazníka a velmi jednoduše ho dokážeme zastavit. A pak je tady bezpečnostní aspekt. Nesmíme v tom udělat chybu. Pracujeme s nejcitlivějšími daty klienta. Pokud něco nedomyslíme, tak bychom mu mohli data vystavit ven. Děláme pro klienty s extrémními nároky na bezpečnost, jako jsou banky nebo bezpečnostní služby.
Máme důkladně zpracovaný release proces s důrazem na eliminaci lidského rizika. To nám i při těchto podmínkách umožňuje rychle reagovat. Dále máme povinné code review pro všechno, co jde ven a snažíme se maximálně sdílet informace a zkušenosti. V podstatě se dá říct, že se QA účastní každý z nás, od produkťáka až po vývojáře. Ti si píší unit testy a dělají zmíněné code reviews. QA inženýři jsou zodpovědní za to, jak je funkce nadesignovaná z pohledu konceptu, ale také za celou automatizační architekturu a týmovou správu DevOps. Nejsou to klikači ale plnohodnotní inženýři, kteří u nás vyvinuli celý vlastní produkt řešící automatizaci.
Jak se technologicky lišíte od klasických antivirových firem jako Avast nebo ESET?
Máme podobný stack, ale zjednodušeně řečeno oni sledují, co jde dovnitř. My řešíme primárně oprávněné uživatele, tedy cestu ven. To je o inspekci odchozích dat, detekování obsahu souborů, integrace do emailových klientů a webových prohlížečů. Řešíme, jaký vztah mají odchozí data k firmě či k legislativě, například k GDPR. Jsme hluboko v síti, rozšifrováváme SSL a díváme se, co tam teče, abychom ohlídali, že nejdou firemní data ven.
Další věc, co nás odlišuje, je důraz na chování uživatele. Nikoho nezajímá, že se na disku provedlo tisíc operací. Antiviru je to jedno. To podstatné zkontroluje, zbytek vynechá. Od nás se čeká, že rozeznáme chování systému od záměru uživatele a kontextově to zkontrolujeme. Případně uživateli vysvětlíme, co je špatně. Dovedete si představit, že konfrontujete uživatele s tím, co dělá firemní zálohovací software, nebo že jste našli citlivá data v dočasných aplikačních souborech? To uživatel nepochopí, a hlavně to nezpůsobil. V našich firemních prioritách proto máme na vysokém místě koncového uživatele a komunikaci s ním a z toho vycházíme. Někdy je to pak stejně o psychologii jako o IT.
Kontrolujete provoz na koncových stanicích nebo i v cloudových službách?
V cloudu řešíme to samé, ale je to daleko náročnější, protože tam nemůžete dělat devadesát procent toho, co na koncové stanici. Navíc škálování je řádově skokovější. Pokud instalujeme naše řešení na koncové stanice, lze je instalovat postupně a výkon si berou přímo ze stanice. Představte si Office 365, v cloudu mohou zapnutím funkce naskočit tisíce uživatelů naráz.
Hodně sledujeme dopad na uživatele. Když kopíruje data z jednoho serveru na druhý, je to rychlé. Pokud to máme zkontrolovat, a kontrola probíhá na cloudové službě, tak to trvá desetkrát déle. Kontrola je rychlá, ale data jdou jinou cestou. Je to pak otázka, jak to řešit a musíme pak být kreativní.
Jak jsou organizované týmy?
Máme je organizované v business agile týmech a spojujeme příbuzné oblasti. Jeden tým například dělá datovou bezpečnost pro Windows, a proto dělá i integraci do Office 365 a zodpovídá za celý bezpečnostní model s koncovým uživatelem. Jiný tým řeší cloudový backend, komunikaci na endpointy a zpracování dat a zodpovídá tak za reporting a interakci s adminem. Mac tým si například vzal na starosti i detekci a analýzu dat, což je samostatná business oblast.
Snažíme se, ať lidé rostou nejen technicky, ale i lidsky a po stránce kompetencí. Naši kluci mají široký přehled. Dělají věci napříč business vertikálou: síť, low level, cloud, frontend. Ve svých oblíbených expertizách jdou ale hodně hluboko. Potřebujeme mít balanc mezi zastupitelností a kvalitními experty.
Jaké technologické výzvy jsou teď před vámi?
Začnu odspodu, kde jsou pro nás specifické výzvy. Z pohledu technologií na koncové stanici už máme potřebnou integraci se všemi OS kromě Linuxu. Ten přijde časem. Velkou výzvou je nyní cloud. Existuje tam několik přístupů, ale je to živelná oblast. No a pak jsou to oblasti více očekávané – budujeme robustní cloudový SaaS systém a postupně chceme automatizovat pomocí machine learning a datové analýzy. Jediný trend, pro který zatím nemáme využití, je snad blockchain. Ale pokud má někdo dobrý nápad, sem s ním!
Chcete se být součástí brněnské Safetica? Mrkněte na pozice.