Globální kompetenční centrum ITAM a VIG projekt Cyber Defense Center před dokončením
Autor
Lubomír Buben, vedoucí oddělení kompetenčního centra ITAM
Cyber Defense Center program
Program Cyber Defense Center (CDC) vznikl na úrovni skupiny VIG v reakci na evropské nařízení DORA. Cílem projektu je založení globálních kompetenčních center (GCC), posílení odolnosti a ochrana společností ve skupině VIG před kybernetickými útoky. Projekt zahrnuje celkem 105 společností ve 30 zemích Evropy, které čítají více než 35 tisíc zaměstnanců.
Nově vzniklá GCC jsou rozmístěna v České republice (IT Asset Management a IT Risk Management), Rakousku (Security Intelligence) a Polsku (Security Operations Center/Security Information and Event Management). Jedná se tak o mezinárodní projekt, který má za cíl mimo jiné i lepší spolupráci a sdílení informací mezi jednotlivými společnostmi v rámci skupiny VIG a využití možných synergií.
Co je to DORA
DORA (Digital Operational Resilience Act) je významná regulace EU zaměřená na posílení provozní odolnosti a kybernetické bezpečnosti v sektoru finančních služeb. Nařízení ukládá firmám povinnost zohlednit rizika spojená s IKT (informačními a komunikačními technologiemi), včetně hlášení incidentů, testování odolnosti a řízení rizik třetích stran. DORA zavádí také rámec umožňující dohled nad poskytovateli kritických IKT služeb, včetně cloudových služeb. Firmy musí tyto požadavky integrovat do svých strategií řízení rizik a zohlednit je ve smluvních vztazích.
Jaké jsou cíle IT Asset Management GCC?
V rámci programu CDC si náš tým IT Asset Managementu (ITAM) klade za cíle následující:
- Navrhnout, vybudovat a provozovat skupinové VIG CMDB na platformě ServiceNow, včetně kompletní dokumentace datového modelu, všech customizací či konfigurací. Rámec CMDB je definován na základě požadavků ostatních GCC, aby splňoval bezpečnostní požadavky DORA.
- Nasadit ServiceNow Discovery (horizontální i ACC) ve VIG společnostech a sbírat informace o IT infrastruktuře – hardwaru, instalovaném softwaru, logických prvcích, vzájemných vazbách a konfiguracích.
- Integrovat již existující CMDB řešení ve VIG společnostech a přenášet data do centrální instance VIG CMDB.
- Integrovat již existující nástroje Discovery, které splňují nároky na potřebné CI třídy a atributy, zajistit rekonciliaci dat vůči VIG CMDB.
- Ve spolupráci se zástupci VIG společností zajistit manuální vytvoření CI typů, které nevznikají na základě Discovery, např. Business aplikace, IT služby nebo Cloud služby.
- Sledovat a měřit kvalitu dat, řešit diskrepance ve spolupráci se zástupci VIG společností.
- Data zpřístupnit či pomocí integrací poskytovat do ostatních GCC.
- Poskytovat podporu a školení CMDB specialistům v lokálních společnostech VIG.
- Zajistit rozvoj CMDB a datového modelu dle nových požadavků od ostatních GCC či jiných budoucích klíčových uživatelů.
- V další fázi (2025) rozšířit řešení o plnohodnotný IT Asset Management a využít dostupná data pro license compliance a zlepšení efektivity IT nákladů.
Zahájení projektu a design řešení
Projekt CDC oficiálně odstartoval v červenci 2023 setkáním klíčových členů v Istanbulu – programový management v čele s Clemensem Peyerlem (Group CISO a Program Owner), zástupci všech kompetenčních center, vybraní implementační partneři (IBM a ConWare), podpůrné týmy projektového managementu, transformačního managementu, technického streamu a další.
Práce na návrhu řešení jsme spustili okamžitě, přestože většina našich budoucích kolegů teprve dostávala pozvánky na pohovory. Měli jsme totiž pouhé 4 měsíce na zjištění potřeb všech kompetenčních center, stanovení výsledného rámce včetně procesů a sepsání technického řešení, které za ITAM GCC nakonec přesáhlo 130 stran textu (ostatní GCC na tom byla podobně). Jedinou výhodou pro nás bylo, že technologie a nástroje už byly předem vybrané.
Build a Pilot? 2 v 1
Říká se, že papír snese vše. Fáze Buildu měla prokázat, zda je řešení životaschopné v praxi. Vzhledem k časovým limitacím jsme však museli paralelně odstartovat i fázi pilotu a budoucí řešení začít nasazovat i do vybraných společností VIG. Zdá se to nemožné? I toto nás CDC projekt naučil, najít kompromis pro zdánlivě neřešitelný problém.
Obavy se bohužel přetavily ve skutečnost a řešení se postupně ukazovalo jako příliš složité a náročné na to, abychom ho zvládli včas nasadit do všech společností VIG. Na řadu tedy přišlo nepopulární škrtání – v našem případě jsme snížili nároky na CMDB a některé části a funkcionality odsunuli na příští rok. Ve výsledku jsme zaměřili úsilí na 22 vybraných CI tříd, které byly identifikovány jako kritické pro ostatní GCC. Výsledkem tedy bylo MVP (Minimum Viable Product) – stabilní základy CMDB, které můžeme v budoucnu rozšiřovat. Fáze úspěšně skončila, leč s měsíčním zpožděním, v květnu 2024 a první pilotní společnosti ukázali, že výsledný produkt je funkční.
Roll-out a světlo na konci tunelu
Pro nasazení do zmíněných 105 společností zbývalo 7 měsíců. Velkou útěchou pro nás bylo, že „pouze“ 34 VIG společností provozuje IT služby a zbývající společnosti jsou jejich interní odběratelé. Po dokončení pilotu ve 4 společnostech nám tedy vycházelo v průměru (bez započítání svátků a dovolených) méně než 5 pracovních dní na nasazení v jedné společnosti.
Zjistit a analyzovat informace o infrastruktuře, sítích a technologiích. Nastavit porty a prostupy na firewallech. Nainstalovat MID servery a nastavit Discovery Schedules. Nainstalovat agenty a spustit Agent Client Collector (ACC) Discovery, nebo integrovat lokální discovery nástroj. Vysvětlit, naučit, proškolit a provést kolegy při vytváření CI záznamů manuálně. Zkontrolovat výslednou kvalitu dat a identifikovat problémy, nekritické přesunout do backlogu. A konečně, hurá do Operations!
Aktuálně máme plně dokončených 14 společností, 7 dokončíme v září, dalších 7 máme rozpracovaných a poslední várku 6 společností spustíme v následujících týdnech. Konec projektu CDC je tedy na dosah. Pro ITAM GCC je to spíše začátek cesty a před námi je mnoho práce a výzev. Přesto, na konci roku však budeme mít za čím se ohlédnout.