Kybernetická bezpečnost: Co s tím?

18. 11. 2016 | Zdroj: BusinessInfo.cz

Kybernetická bezpečnost – pro většinu lidí je to něco neuchopitelného, něco, pod čím si jen stěží něco představí. Pro manažery organizací je to jedna z nejtěžších úloh. Vědí, že jsou za ni odpovědní, ale nejsou si jisti, jak jí spolehlivě dosáhnout.

Kybernetická bezpečnost je doposud vnímána jako něco, co je ve výlučné kompetenci ICT oddělení. Vrcholový management se o tuto oblast často detailně nezajímá a iniciativu očekává od vedoucích ICT pracovníků. Tento přístup je ale v dnešní době naprosto nedostatečný a vede k situacím, kdy je oblast kybernetické bezpečnosti podceňována a systematicky neřešená.

Management organizací by měl pochopit a akceptovat, že řízení kybernetické bezpečnosti spadá mnohem více k dalším oblastem bezpečnosti a krizového managementu. Vždyť i dnešní sofistikované útoky jsou často multidisciplinární a kombinují v sobě oblasti ICT, sociálního inženýrství, personální a objektové bezpečnosti. Právě pro eliminaci takových hrozeb jsou kompetence ICT manažerů nedostatečné.

V praxi se také často setkáváme s tím, že vedení ICT, stejně jako celá společnost, je orientované a motivované na poskytování maximálního výkonu. Jejich úlohou je především zajištění fungování ICT infrastruktury a zvyšování efektivity procesů. Požadavky na kybernetickou ochranu organizace jsou přitom často v přímém rozporu s těmito požadavky, a navíc požadují zdroje a investice, jejichž uplatnění by vedení ICT radši vidělo v provozu.

Jak z toho ven?

Jednoznačně přejít na model nezávislého bezpečnostního manažera. To je osoba, která je etablovaná přímo v nejvyšším managementu a jejíž úlohou je „krýt záda" generálnímu řediteli v oblastech bezpečnosti a krizového řízení jako celku. Jednou z úloh bezpečnostního manažera je i stanovit požadavky na kybernetickou ochranu organizace a zajistit její návaznosti na další části zabezpečení organizace. Velkou úlohou bezpečnostního manažera je změnit celkové chování organizace v této oblasti. Od protlačení myšlenky v managementu po průběžnou osvětu bezpečného chování běžných uživatelů.

Samozřejmě najdou se i manažeři, kteří sebevědomě a bez potřebných nástrojů tvrdí, že u nich nikdo nic za posledních 30 let „nehacknul", a tak není třeba do této oblasti investovat. Kdo by si zrovna nás všímal... Pravda, tito manažeři nebudou asi zrovna vidět příležitost v nových trendech, jako jsou IoT (Internet of Things) nebo Industry 4.0. Nicméně je nezbytné dodat, že právě tyto nové trendy jsou velkou výzvou a šancí pro českou ekonomiku. Jejich včasné podchycení může významně posunout českou ekonomiku od masivní výroby, postavené na levné a dostatečně kvalifikované pracovní síle, na ekonomiku znalostního typu. Tedy ekonomiku, která vytváří výrazně vyšší přidanou hodnotu.

V oblasti IoT je hrozbou především podcenění ochrany jednoduchých síťových čidel a na nich postavených řídicích systémů. Snaha o co nejlevnější a nejrozmanitější síťová čidla a senzory vede k využití co nejjednodušší součástkové základny, která ale poskytuje pouze nízkou míru ochrany. Tato ochrana je prakticky vždy bez možnosti provádění bezpečnostních updatů – je tedy poplatná době vzniku. Možná i vás děsí představa, jak někdo „hackne" vaši chytrou lednici, kterou v lepším případě bez vašeho vědomí rozmrazí nebo v tom horším vám pošle domů automatickou objednávkou kamion mražených ryb.

V oblasti Industry 4.0 je pak nutné povýšit zabezpečení stávajících technologických sítí, které se prostě pod tíhou potřeb sofistikovaných zařízení budou muset otevřít komunikaci s okolním světem. A to je věc, které se doposud SCADA a další technologické systémy zarputile brání a nejsou na to připraveny. Každého manažera v této souvislosti asi děsí představa, kdy „hacknutý" robot začne sabotovat výrobu nebo ohrožovat spolupracující zaměstnance na výrobní lince. Zde je nutné tedy začít uvažovat o zabezpečení na nejvyšší možné míře už od prvotního návrhu robotů a chytrých výrobních linek.

Zavádění kybernetické bezpečnosti

Zavádění kybernetické bezpečnosti by mělo být v souladu s celkovou bezpečnostní politikou organizace. Jako klíčové se jeví zakotvení silného postavení nástrojů bezpečnosti v organizaci. Základním aktem je ustanovení bezpečnostního manažera do první linie řízení organice, kdy přímo podléhá generálnímu řediteli. Jeho cílem je stanovení bezpečnostní politiky organizace, ideálně v podobě systému řízení bezpečnosti (ISMS – ISO27000) a jeho následné zavedení v organizaci.

ICT oddělení tak pouze realizuje standardy a požadavky stanovené nezávislým bezpečnostním odborem. V opačném případě hrozí, že v organizaci převládne provozní aspekt (jenž je hlavní náplní IT oddělení) a bezpečnostní aspekty budou potlačeny.

Po etablování kompetentního a nezávislého bezpečnostního manažera je nezbytné vyhodnotit současný stav organizace a provést návrh vrcholových bezpečnostních směrnic, které stanoví základní zodpovědnosti v organizaci (Bezpečnostní výbor). Následovat by měla analýza rizik, která zhodnotí všechna aktiva a podpůrná aktiva z hlediska důvěrnosti, dostupnosti a integrity. Výsledkem je přehled o všech rizicích, jejich dopadech a jednoznačné stanovení kompetencí za jednotlivá aktiva.

Vhodným doplněním z hlediska kybernetické ochrany je rovněž provedení testů zranitelnosti stávající technické infrastruktury, které může být vhodně doplněno rovněž testem odolnosti organizace vůči sociálnímu inženýrství (způsob manipulace lidí za účelem provedení určité akce nebo získání určité informace). Následující analýza nápravných opatření stanoví přiměřená opatření pro eliminaci zjištěných rizik, dle jejich závažnosti a možných dopadů. Výsledkem je aktualizace bezpečnostní dokumentace a stanovení plánu realizace nápravných opatření, tedy realizace dílčích projektů, realizace nápravných opatření technické, personální nebo procesní povahy.

Ve fázi realizace nápravných opatření dojde k realizaci jednotlivých procesů a technologií, kdy bezpečnostní manažer je interním zadavatelem pro ICT oddělení, případně jiná oddělení, která se podílejí na realizaci těchto opatření. Po provedení realizace nápravných opatření je nutné provést audit stavu kybernetické bezpečnosti, který ověří jejich účinnost, provede aktualizaci rizikové analýzy. Vedle celkového auditu je vhodné periodicky provádět testy zranitelnosti infrastruktury, a to jak vnější (ochrana perimetru), tak i v interní síti.

Zavádění kybernetické bezpečnosti je nutné provádět v návaznosti na další oblasti bezpečnosti (zejména objektová bezpečnost a personální politika). V opačném případě je organizace velmi náchylná na rizika spojená např. se sociálním inženýrstvím. Velmi vhodné je rovněž zorganizovat školení kybernetické bezpečnosti, které přinese jednotlivým typům pracovních pozic pochopení problematiky kybernetické ochrany a návod bezpečného chování v prostředí internetu a informačních systémů.

Jak vám může pomoci Hospodářská komora?

Hospodářská komora ČR se snaží odkrýt svým členům závažnost této problematiky a poskytnout jim praktický návod, jak tuto oblast systematicky řešit. Dobrou příležitostí, jak se o kybernetické bezpečnosti dozvědět více, jsou pak připravované semináře, které budou probíhat v Krajských hospodářských komorách.

Partnerem Hospodářské komory pro tuto oblast je NSMC (Network Security Monitoring Cluster), tedy odvětvové sdružení výrobců a specialistů v oblasti kybernetické a síťové bezpečnosti, které mimo jiné prosazuje ucelený koncept Aktivní bezpečnost sítě, výrazným způsobem zvyšující úroveň zabezpečení vnitřních sítí.

Důvody zavádění kybernetické ochrany

Samozřejmě, trendy a vize jsou zatím pouze na dohled, ale kybernetické hrozby jsou již reálné. A tak je dobré si i popsat ty nejčastější důvody vedoucí management organizací k rozhodnutí  o zavádění či vylepšování kybernetické ochrany organizace.

  • Ekonomický – mezi nejvýznamnější rizika patří zastavení produkce a z toho přímo vzniklé ztráty z hlediska ušlé fakturace nebo odškodnění klientům.
  • Kybernetická kriminalita – organizace se může stát snadno obětí kriminálních činů, jako je vydírání či zcizení dat o klientech konkurencí nebo nespokojeným zaměstnancem.
  • Průmyslová špionáž – pro organizace je v dnešní době extrémně důležité dokázat si udržet svoje know-how, strategické záměry, obchodní nabídky, výsledky interního výzkumu a vývoje.
  • Ztráta kredibility – podvržení internetových stránek organizace, zastavení výroby nebo zneužití dat klientů mohou mít velmi negativní dopad na spokojenost stávajících zákazníků nebo odrazení nových.
  • Legislativní důvody – vedle stávající legislativy (ZoKB – Zákon o kybernetické bezpečnosti 181/2014 sb.), která vymezuje především prvky kritické infrastruktury, je to i postupné zavádění evropské legislativy, která stanovuje odpovědnosti i na další veřejné a soukromé subjekty.


Převzato z časopisu Komora. Autor článku: Jindřich Šavel, obchodní ředitel společnosti Novicom a člen vedení NSMC.

Tisknout Vaše hodnocení:

Související články

Diskuse k článku

+ Nový příspěvek