Naprostá většina organizací se bez digitálních technologií v mnoha směrech rozhodně neobejde – tvrzení, které by si dovolil rozporovat jen málokdo. Ostatně letošek nám uštědřil a možná ještě uštědří nezapomenutelnou lekci o důležitosti elektronické komunikace. Jako klíčové se tak stále více ukazuje i téma nastavení IT procesů. Jeho správnost a transparentnost se již stává standardem. I přes fakt, že principy zakořeněné v metodice ITIL a ISO 20000 nikdy nebyly legislativní povinností, zjistili jsme, že pokud se budeme řídit v nich uvedenými zásadami, zajistíme lepší fungování ICT, a tedy i plynulý chod organizace. Kromě přínosů s sebou digitalizace však nese i hrozby – na to už se nezřídka zapomíná.
Fungující organizace je bezpečná organizace
Kybernetická bezpečnost rozhodně není pouhou legislativní povinností, jde o existenční nutnost pro chod organizací jakéhokoliv typu i velikost. Odcizená, znehodnocená, změněná, zašifrovaná nebo znepřístupněná data – scénáře, které si chce málokdo připustit, ale dějí se dnes a denně. V řadě společností vedly například k úplné paralýze výroby, logistiky nebo komunikace a obrovským finančním nákladům vynaloženým na obnovu, pokud vůbec byla možná. Konce však mohou být ještě děsivější.
Takové ochromení činnosti nemocnice nebo úřadu (například zastavení vydávání osobních dokladů, přerušení výkonu zdravotních služeb, poškození zdravotní dokumentace) nebo pozastavení dodávky energií, vody, telekomunikačních služeb či zneužití osobních údajů. To pak připadá v úvahu nejen finanční ztráta organizace, ale i dopad na obyvatelstvo. Nemusí se však vždy jednat pouze o viry či cílené nebo plošné kybernetické útoky. Hrůzostrašné konce mohou nastat i při chybě způsobené nedostatečným proškolením personálu, při požáru nebo jiné živelné katastrofě, která IT infrastrukturu organizace zasáhne. A to už se dostáváme k dalšímu problému – velkému počtu organizací, ve kterých panuje přesvědčení o jejich naprostém kyberbezpečí stojícím na argumentu: „Platíme si drahý antivirový program, který je pravidelně aktualizovaný a má jej každý uživatel na svém počítači.“
Nastavení procesů místo řešení následků
Při pátrání po tom, co je důležité chránit a jakým způsobem, je klíčové mít na paměti, že velikost vynaloženého úsilí a investic do bezpečnosti musí odpovídat hodnotě aktiv organizace a míře možných rizik (dopadů a zranitelností).
Je možné zkusit se zorientovat ve vodách definice a hodnocení aktiv, identifikace hrozeb, zranitelností a rizik, mechanismů auditu kybernetické bezpečnosti, souvisejících legislativních předpisů a norem, nebo plánů zvládání rizik. Mnohem snadnější je však využití již existujících nástrojů, které všechny zmíněné oblasti i řadu dalších pokryjí. Příkladem je aplikace CSA (www.gordiccybersec.cz), která k problematice přistupuje systémově a dlouhodobě (včetně metodické a legislativní podpory) – což je ostatně pro ochranu aktiv organizace jediná správná cesta).
Schéma závislostí a rizik
Deset „P“ kybernetické bezpečnosti
Jestli byla ve vaší organizaci kyberbezpečnost doteď na druhé nebo ještě vzdálenější koleji a nemáte tušení, kde nyní začít, možná vás nasměrují základní preventivní kroky pro rychlou pomoc v oblasti kybernetické bezpečnosti shrnuté do následujících deseti „P“.
1. Pravidelná školení, cvičení a systematické vzdělávání personálu a managementu
Školení, cvičení i řízený proces systematického vzdělávání personálu a managementu (včetně prověřování úrovně odolnosti proti phishingu a využití dalších nástrojů) v oblasti kyberbezpečnosti je neodmyslitelná součást funkčního řízení organizace jakéhokoliv typu a rozměru. I nejlepší antivir a firewall v počítači postrádají smysl, když za klávesnicí sedí nezodpovědný či nevzdělaný pracovník. Smysluplné řízení vzdělávání je dlouhodobý a nikdy nekončící proces.
2. Přívětivá a dostupná osvěta pro personál a management
Na první krok navazuje i nutnost dostupnosti a srozumitelnosti vzdělávání. Kyberbezpečnost není pro každého snadno pochopitelné téma. Kromě závěrů z dřívějších krizových simulací a dalších forem ověření úrovně znalostí je nutné i tento aspekt při nastavování vzdělávacího procesu vždy reflektovat. Každý pracovník musí mít dostupné pro něj relevantní informace, které mu jsou předávány stylem, jakému rozumí. Pouhý přepis naučených odpovědí ze skript do testu ke zlepšení zabezpečení nevede.
3. Proaktivní studium a využívání odborných i osvětových portálů, médií a konferencí
Dynamika hackerského vývoje počítačových virů a škodlivých procesů či technologií je obrovská a to, jakým směrem se tyto hrozby v budoucnu posunou, lze jen stěží odhadovat. Tématiku kybernetické bezpečnosti je tak nutné neustále sledovat a proaktivně přistupovat k jejímu studiu. K tomu dokáže organizacím pomoci řada odborných i osvětových portálů, médií i konferencí. K systematické osvětě a vzdělávání ve sféře kyberbezpečnosti přispívá i platforma KYBEZ (www.kybez.cz).
4. Profesionální ICT personál a management
Jistě, určitou míru znalostí v oblasti kybernetické bezpečnosti by měli mít všichni zaměstnanci i manažeři. Nutné je však i disponovat (ať už interními nebo externími) pracovníky s vysokou ICT odborností, zastupitelností a podporou zapojeného vrcholového managementu. Pouze tak lze zajistit nepřetržitou možnost okamžitého řešení sporných či krizových situací. GORDIC poskytuje řadě organizací veřejné správy i soukromého sektoru odborné kapacity profesionálů v oblasti ICT.
5. Povinná nebo přiměřená realizace opatření vyplývajících ze Zákona o kybernetické bezpečnosti (ZoKB)
O tomto bodě snad ani nemůže být pochyb. Zároveň platí, že neznalost norem neomlouvá, proto je třeba vědět, jaká je pro konkrétní organizaci relevantní legislativa a do jaké míry pro ni platí povinnost souladu s jednotlivými články Zákona o kybernetické bezpečnosti, Vyhlášky o kybernetické bezpečnosti, legislativy řešící ochranu osobních údajů (GDPR, …) a dalších norem. I zde platí, že právo je minimem morálky – pro organizace, které v tématice kyberbezpečnosti tápou, však zároveň i dobrým odrazovým můstkem.
6. Praktikování zavedení a udržování systému bezpečnosti informací (ISMS)
Nejen zavést, ale i dlouhodobě udržovat Systém řízení bezpečnosti informací je opatřením, které organizacím dovede zajistit ochranu aktiv a důsledné řízení rizik z kategorie bezpečnosti informací. Zodpovědný přístup by měl organizaci dovést k eliminaci možných ztrát informací i jejich jakéhokoliv poškození. Metodicky správné systémové řízení bezpečnosti informací patří k základním stavebním kamenům kybernetického zabezpečení. Dosavadní bezproblémový chod není zárukou klidné budoucnosti.
7. Permanentní zlepšování kybernetické bezpečnosti a jeho systematické řízení (CSA)
Správné nastavení systému řízení kybernetické bezpečnosti je nekončící cyklický proces s řadou nutností – od ocenění bezpečnostních aktiv, identifikace, hodnocení a řízení rizik přes řešení aplikovatelnosti opatření a plán zvládání rizik až po audit kyberbezpečnosti. Vše samozřejmě musí reflektovat aktuální legislativu i specifika organizace. Naštěstí existuje částečně automatizované řešení – nástroj CSA platformy Gordic CyberSec (www.gordiccybersec.cz).
8. Používání a pravidelná údržba a aktualizace bezpečného systémového, bezpečnostního a aplikačního programového a technického vybavení
Kromě lidských a procesních cest musí vést klíčové kroky do kyberbezpečí i přes oblast technologií. Používání a pravidelná údržba a aktualizace bezpečného systémového, bezpečnostního a aplikačního programového a technického vybavení tvoří další klíčový díl do mozaiky zodpovědné prevence. Nutné je i zavádění technických opatření navazujících na směrnice a politiky vymezující správné chování. Jako příklady lze uvést segmentaci vnitřní sítě, pravidelné skeny zranitelností, monitoring nebo šifrování.
9. Pravidelné a bezpečné zálohy všech dat, ukládané odděleně od vlastní sítě
Prevence samozřejmě neznamená jenom předcházení možným hrozbám – ostatně ztráta dat může přijít i kvůli omylu pracovníka či selhání HW. A co si budeme nalhávat, hackeři bývají také čas od času o krok napřed a prolomí i důstojnou kybernetickou obranu (vinou člověka, procesu či technologie). Za nutnost tak lze považovat i opatření, která minimalizují dopady takových hrozeb. Konkrétně jde o důsledné, pravidelné a nejlépe automatické zálohování, ideálně včetně cvičného obnovení záloh.
10. Preventivní a rychlá realizace ověřených a doporučených praktik
Rychlá realizace ověřených a doporučených praktik není nikdy na škodu. Inspirovat se tím, co funguje jinde, je zcela logické a správné opatření – samozřejmě s ohledem na specifika konkrétní organizace. Pozitivním pro firmy i subjekty veřejné správy je fakt, že existují společnosti i orgány (NÚKIB, NCKB, CIIRC, KYBEZ, …), které vydávají a veřejně prezentují soubory doporučených opatření (ať už těch obecně preventivních, nebo reagujících na konkrétní stav).
Autor: František Janů – projektový manažer Gordic Kybernetická bezpečnost (www.gordiccybersec.cz)
Článek je prezentací partnera CEVROARENY.
Comments