Není to tak dlouho, co bezpečnostní rizika představovala především technický problém, řešený oddělením IT. Dnes jde ovšem o strategickou záležitost nejvyššího vedení firem. I proto si možná kladete otázku: kde začít a jak poznat, zda jsme dostatečně chráněni?
Kybernetické hrozby jsou už několik let na vzestupu – ransomwarové útoky dokážou během pár hodin paralyzovat celé korporace, úniky osobních údajů znamenají nejen ztrátu důvěry a dobré pověsti, ale také milionové sankce a sofistikované APT (Advanced Persistent Threat) kampaně mohou i celé roky bez povšimnutí odčerpávat citlivé obchodní informace. Obrana proti těmto i mnoha dalším rizikům není snadná. Kybernetická bezpečnost představuje komplexní disciplínu vyžadující koordinaci technických opatření, procesů a lidských zdrojů.
Do hry navíc vstupuje stále přísnější legislativa, jako je aktuálně schvalovaný zákon o kybernetické bezpečnosti (vycházející z evropské regulace NIS2), která vyžaduje zavádění konkrétních opatření. Současně je ale důležité vědět, že mnoho velmi účinných bezpečnostních opatření nemusí být ani nákladné, ani složité zavést. Přesto jsou v mnoha firmách opomíjena. Jak tedy začít a na co se primárně zaměřit?
Strategické řízení kyberbezpečnosti
Zásadní chybou je delegování kybernetické bezpečnosti výhradně na oddělení IT. Bezpečnost informací představuje zásadní riziko pro celý podnik, a proto vyžaduje strategické řízení na úrovni nejvyššího vedení. Vytvoření efektivní bezpečnostní architektury začíná definicí jasné strategie, založené na obchodních cílech a rizikovém profilu společnosti.
Tato strategie musí odpovědět na základní otázky: jaká informační aktiva jsou pro podnik kritická, jaká úroveň rizika je akceptovatelná, jak budou rozděleny odpovědnosti za bezpečnost v rámci firmy a jaké regulatorní požadavky musí podnik splňovat. Na základě těchto informací lze definovat bezpečnostní politiku a související směrnice stanovující jasná pravidla a postupy pro zajištění kybernetické bezpečnosti a reakce na incidenty.
Prioritou je ochrana dat
Data a informace představují nejcennější aktivum firem. Paradoxně ale firmám často chybí přesný přehled o tom, kde se jejich kriticky významná data nacházejí a jak jsou chráněna. Proto první krok k jejich efektivní ochraně spočívá v mapování informačních aktiv a jejich klasifikaci podle důležitosti a citlivosti.
Speciální ochranu vyžadují především databáze zákazníků, smlouvy, finanční data, data z výzkumu i další citlivé informace. Základním opatřením je šifrování a zálohování těchto dat, stejně jako kontrola přístupu k nim. Nejlépe na základě principu nejnižších nutných oprávnění, který vyžaduje, aby měli zaměstnanci přístup pouze k informacím nezbytným pro výkon jejich práce. Řeší se to implementací systémů na řízení identit a přístupu, které automatizují přidělování a odebírání oprávnění na základě rolí v organizaci. V praxi ale zaměstnanci často získávají při přechodech mezi pozicemi stále další oprávnění a účty externích pracovníků nejsou zrušeny ani dlouho po ukončení projektů.
Nezbytnou součástí ochrany dat a zajištění kontinuity provozu jsou rovněž plány jejich zálohování a obnovy. Bez pravidelného testování skutečné možnosti obnovy dat ze záloh ale často v krizových situacích dochází k technickým problémům a zjištěním, že jsou zálohy rovněž infikované škodlivým softwarem, zašifrované ransomwarem nebo zkrátka jen nepřístupné nebo neúplné.
Ani cloud není automaticky bezpečný
Nezbytná technická bezpečnostní opatření nemusí nutně znamenat nákup nových zařízení – často stačí jen efektivněji využívat ta stávající. Navíc zahrnují i opatření, jako jsou pravidelné aktualizace operačních systémů a aplikací. Ty představují nejjednodušší a nejúčinnější způsob, jak omezit bezpečnostní rizika. Známé zranitelnosti softwaru totiž slouží útočníkům jako vstupní brána do podnikových sítí, přestože pro většinu z nich jsou již k dispozici příslušné opravy. Účinnost dalších bezpečnostních technologií, jako jsou firewally a antivirové programy, pak závisí na správné konfiguraci a rovněž na pravidelných aktualizacích.
Technická a procesní opatření musí řešit také firmy využívající ke své činnosti především cloudové služby. Navzdory obecné (mylné) představě totiž data uložená v rámci cloudových služeb zpravidla nejsou automaticky chráněna před ztrátou nebo odcizením. Podle principu sdílené odpovědnosti zabezpečuje poskytovatel cloudu infrastrukturu služby, zatímco zákazník odpovídá za konfiguraci, přístupová práva a ochranu svých dat. Mnoho bezpečnostních incidentů ale vzniká právě nesprávnou konfigurací cloudových služeb, a nikoli technickými zranitelnostmi platformy.
Kritická role lidského faktoru
Účinnost sebedokonalejších technických a procesních opatření vždy závisí na lidech, kteří je používají nebo se jimi mají řídit. Současně ale zaměstnanci představují nejslabší článek a první linii obrany organizace proti kybernetickým hrozbám, zejména pokud jde o phishing a další útoky využívající techniky sociálního inženýrství.
Ukazuje se přitom, že právě investice do vzdělávání a zvyšování povědomí o kybernetické bezpečnosti přinášejí měřitelné výsledky v podobě významného snížení množství bezpečnostních incidentů. Zapojení zaměstnanců zvyšují především konkrétní příklady kybernetických útoků, stejně jako simulované phishingové kampaně nebo gamifikované vzdělávací programy. Zcela klíčová je přitom pravidelnost vzdělávacích aktivit, aktualizace jejich obsahu podle současných hrozeb a povinnost jejich absolvování skutečně všemi zaměstnanci, u kterých existuje riziko kyberútoku – tedy včetně nejvyššího managementu. Důležité je rovněž vytvoření prostředí „kultury bezpečnosti“, kde zaměstnanci cítí podporu při nahlašování bezpečnostních incidentů bez obav z postihů.
Specifickou kategorii rizik představují interní hrozby, které vyžadují vyvážený přístup mezi důvěrou a kontrolou. Nespokojení zaměstnanci nebo neúmyslné chyby mohou vést k úniku citlivých informací nebo narušení provozu firmy. Proto se stále častěji zavádějí systémy pro monitoring uživatelského chování, které pomáhají identifikovat a případně i zastavit nestandardní aktivity, které mohou indikovat bezpečnostní incident.
Stáhněte si přílohu v PDF
Rychlá reakce znamená méně škod
Žádná obrana nemůže být z principu věci stoprocentní – už proto, že útočníci neustále objevují nové techniky průniku do sítě, odcizení cenných dat, finančních podvodů nebo narušení provozu. Je tedy spíše otázkou, kdy k nějakému incidentu dojde. O rozsahu škod a rychlosti návratu k běžnému provozu rozhoduje rychlost reakce na takový incident. Proto musí plán reakce definovat jasné role a odpovědnosti, komunikační kanály i postupy pro zastavení hrozeb a následnou obnovu. Bez předem připraveného (a natrénovaného) plánu reagují podniky často chaoticky a neefektivně.
I z tohoto velmi stručného přehledu základních technik a postupů je asi dobře vidět, jak komplexní disciplínu kybernetická bezpečnost představuje. Především pro menší firmy proto může být zajištění všech potřebných znalostí a technického vybavení velmi náročné – a přitom může být celé jejich podnikání závislé právě na datech a jejich ochraně před ztrátou či odcizením. Jistě i proto si v poslední době získává na popularitě „kyberbezpečnost formou služby“ – tedy outsourcing zajištění kybernetického zabezpečení včetně detekce a reakce na incidenty na poskytovatele služeb centra bezpečnostních operací (Security Operations Center, SOC). Kyberbezpečnost formou služby může být zajímavou alternativou nejen pro menší a středně velké firmy.
Článek byl publikován ve speciální příloze HN Kybernetická bezpečnost.
Přidejte si Hospodářské noviny
mezi své oblíbené tituly
na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist
