Nový zákon o kybernetické bezpečnosti přinese firmám celou řadu nových povinností. Pro firmy tak může být těžké určit, kterými částmi se mají zabývat přednostně a čemu se můžou věnovat později. Odborníci z technologické společnosti ANECT proto vytipovali 9 nejdůležitějších oblastí, které jsou z pohledu praktické ochrany proti kybernetickým útokům klíčové a kterými se proto vyplatí začít.
„Společnosti budou muset samozřejmě splnit všechny požadavky nového zákona o kybernetické bezpečnosti. Cílem našeho doporučení je však ukázat, co konkrétně jednotlivé požadavky pro firmy znamenají, jak náročná může být jejich implementace, a především jak zásadní jsou z pohledu ochrany před sofistikovanými kybernetickými útoky. Proto jsme vybrali takové kroky, které by firmy měly začít podnikat už nyní a bez ohledu na to, jak bude nakonec vypadat konečná podoba zákona,“ vysvětluje Petr Mojžíš, security architect ve společnosti ANECT.
Prováděcí vyhlášky k novému zákonu stanovují, že za přijetí vhodných opatření k minimalizaci kybernetických hrozeb bude zodpovědné vedení firem. To zároveň musí zajistit pro sebe i zaměstnance školení v oblasti kybernetické bezpečnosti. Jelikož finální schvalování jednotlivých opatření a rozhodnutí o tom, do jakých opatření budou společnosti investovat, je zodpovědností vedení, je vhodné začít právě jeho školením. Vedoucí představitelé firem díky tomu budou lépe rozumět jednotlivým rizikům a budou mít také přehled o možnostech, kterými je lze snižovat.
Vytvoření bezpečnostních politik je z firemního pohledu nejen užitečné, ale také účinné a nízkonákladové řešení. Jde o soubor základních pravidel, která definují to, co chce firma chránit a jak se chce chránit. Už jen zjištění, zda na určitou oblast existují firemní pravidla, případně jestli jsou někde popsaná, posouvá úvahy o firemní bezpečnosti kupředu mílovými kroky. Ve chvíli, kdy si navíc společnost tyto zásady definuje, často si rovnou odpoví na otázku, jak je na tom aktuálně s ochranou proti kybernetickým útokům i dalším hrozbám. „Zvlášť u menších společností tak v řadě případů odpadá nutnost provádět takzvanou GAP analýzu, tedy analýzu toho, v jakých oblastech firmy plní nové normy, a v jakých nikoli. Ve chvíli, kdy definujeme bezpečnostní politiky, okamžitě zjistíme, jaké oblasti má daná společnost vyřešené dobře a jaké nikoli,“ vysvětluje Jan Goll, senior security consultant společnosti ANECT.
Takzvaná segmentace firemní sítě neboli její rozdělení do menších celků je jedním ze základních předpokladů ochrany proti jakémukoli sofistikovanějšímu kybernetickému útoku. Pokud totiž síť není rozdělená na menší části a zařízení spolu mohou komunikovat bez omezení, stačí útočníkovi pro napáchání nevratných škod získat kontrolu nad jakýmkoli zařízením. Jakmile se mu to povede, dokáže se z něj dostat v zásadě ke všem firemním datům.
Ve chvíli, kdy je firemní síť rozdělená na menší celky a do částí, ve kterých se nachází citlivá firemní data, je omezený přístup (například se k nim lze dostat jen z některých počítačů umístěných přímo ve firmě), mají útočníci svoji práci mnohem těžší. Zároveň se zvyšuje šance, že napadení firemní sítě bude odhaleno dříve, než budou moci napáchat větší škody.
Jedním z dalších bezpečnostních opatření, které nový zákon skrze prováděcí vyhlášky vyžadují, je detekce kybernetických a bezpečnostních událostí. Firmy by zjednodušeně řečeno měly využívat nástroje, které jim umožní zjistit, že se v jejich síti děje něco, co by se dít nemělo.
Tato část je z pohledu praktického dopadu pro firmy jednou z nejdůležitějších, zároveň jde o opatření, které není příliš drahé a které je možné aplikovat poměrně rychle. Řešením je v tomto případě nasazení speciálních aplikací (XDR, Extended Detection and Response), které monitorují chování koncových bodů (nejčastěji počítačů, ale i mobilních zařízení, serverů apod.) a v případě, že se chovají nestandardně, samy reagují nebo upozorní správce sítě nebo dohledové centrum. Ti mohou podezřelou aktivitu prozkoumat a případně proti ní zasáhnout. „Většina kybernetických útoků přirozeně začíná v samotných počítačích nebo v dalších komponentech připojených k firemní síti. Skutečně pokročilé nástroje typu XDR přitom podle našich zkušeností dokážou řešit až 80 % takových incidentů,“ říká Petr Mojžíš.
Tyto nástroje nabízí celá řada renomovaných výrobců. Podle Mojžíše, by si ale firmy měly dát pozor na to, jestli řešení, které si objednávají, skutečně tuto pokročilou ochranu poskytuje. „Většina dodavatelů tyto nástroje poskytuje jako licencovanou službu, což má pro firmy řadu výhod, ale může to skrývat i určitá rizika. Jedním z nich je forma licence a to, co je v jejím rámci skutečně dodávané. Ve své praxi jsme se setkali i s případy, kdy si firmy objednaly určité řešení v domnění, že jde o komplexní ochranu jejich firemní sítě, ale ve skutečnosti dostaly jen o něco pokročilejší antivir. Problém přitom nebyl v samotném řešení, ale právě v tom, o jaký typ licence šlo,“ říká.
Společnosti budou muset také zaznamenávat relevantní bezpečnostní a provozní události. Společnostem tedy nebude stačit, že mají přehled o komunikaci v síti, ale klíčové části této komunikace si budou muset někam ukládat. Jaké události to jsou, si přitom společnost do určité míry může definovat sama. Správné nastavení rozsahu monitorovaných dat přitom nemusí být pro firmy jednoduché. Subjekty spadající pod režim vyšších povinností budou muset tyto záznamy ukládat 18 měsíců, subjekty v režimu nižších povinností potom 12 měsíců. Pokud bude společnost monitorovat a ukládat příliš mnoho informací, může se jí to kvůli vysokému objemu dat zbytečně prodražit. Na druhou stranu, pokud rozsah monitorovaných informací nebude dostatečný, ztrácí celá aktivita smysl a veškeré vynaložené náklady můžeme s trochou nadsázky označit za vyhozené peníze.
Firmy by zároveň měly dobře zvážit, jak s těmito logy budou nakládat. „Hovoříme zde často o extrémním objemu dat, která je potřeba nejen ukládat, ale také nepřetržitě vyhodnocovat. Společnosti by proto měly zvážit například to, zda tato data budou ukládat na veřejných cloudových úložištích, nebo zda část z nich uloží ve svých datových centrech,“ říká Jan Goll. Zároveň dodává, že každé řešení má řadu výhod i nevýhod a záleží proto na situaci každé firmy, jakou cestu si zvolí.
Zejména pro režim vyšších povinností prováděcí vyhláška stanovuje také povinnost nepřetržitě vyhodnocovat kybernetické bezpečnostní události a v případě potřeby na ně adekvátně reagovat. Zde už jde tedy o aktivní monitoring, který řada firem outsourcuje do externích dohledových center, které nepřetržitě monitorují sítě zákazníků a v případě potřeby jsou schopné reagovat a podezřelou aktivitu prošetřit nebo zastavit. „Z praktického pohledu je bezpečnostní monitoring základním kamenem firemní bezpečnosti. Samozřejmě mu ale musí předcházet celá řada již zmíněných aktivit. Musíme mít přehled o tom, jaká zařízení se nám ve firemní síti vyskytují, a musíme si také správně určit, co konkrétně v síti chceme monitorovat, aby to na jedné straně dávalo finančně smysl a na druhé straně, aby byl tento monitoring funkční,“ říká Jan Goll.
Zároveň doporučuje, aby se bezpečnostnímu monitoringu věnovaly všechny společnosti. Když už totiž firmy musejí investovat do sběru dat z provozu své sítě a jejich ukládání na nějaké centrální místo, nedává příliš smysl, aby toho nevyužily a nezajistily si aktivní ochranu před útoky: „Ukládat data jen proto, abychom měli splněné zákonné povinnosti, je z pohledu praxe vyhazování peněz oknem. Firmy se v tuto chvíli nachází ve fázi, kdy už musely investovat podstatné částky, a přitom ještě plně nesklízejí ovoce těchto investic. Pokud se totiž útočník dostane do jejich sítě, bez aktivního monitoringu o tom stále nemusí mít ponětí. Proto doporučujeme všem firmám zavést alespoň minimální úroveň bezpečnostního monitoringu, která nemusí být v některých případech ani příliš nákladná.“
Zákon firmám také přikazuje pravidelně testovat svoji kybernetickou bezpečnost. Zatímco v režimu nižších povinností postačí skenování zranitelností, tedy automatický test s upozorněním na to, že se ve firemní síti vyskytují už známé a popsané zranitelnosti, v režimu vyšších povinností bude potřeba využít penetračních testů, tedy aktivní snahy o napadení firemní sítě. „Tento požadavek dává smysl i z praktického pohledu. Společnosti mohou investovat do své bezpečnosti vysoké částky, ale dokud si neotestují, že vše funguje tak, jak má, nikdy nevědí, jestli jim tyto investice k něčemu byly,“ říká Jan Goll. Problémem podle něj bude kritický nedostatek odborníků, kteří jsou schopní penetrační testy provádět. Řešením proto může být jejich automatizace. „Na trhu už teď existují automatizované nástroje, které se chovají přesně jako etický hacker s tím rozdílem, že se neunaví a se svojí snahou neskončí, dokud nevyzkouší veškeré možnosti kompromitace sítě. Na druhou stranu tyto technologie jsou zatím poměrně nové, a tak i ony mají své mouchy. Ve střednědobém horizontu jde ale jednoznačně o budoucnost penetračního testování,“ říká odborník z ANECTu.
Zákon samozřejmě firmám ukládá i celou řadu dalších povinností, jak organizačních, tak technických. Z těch nejvýznamnějších lze zmínit například kvalitní zálohování, případně řízení rizik „Celý zákon a jeho prováděcí vyhlášky jsou vlastně o řízení rizik. Firmy by měly identifikovat svá hlavní aktiva, zjistit, co je může ohrozit a jakým způsobem, jak jsou proti těmto ohrožením chráněné, a následně přijmout příslušná opatření. Z naší zkušenosti však řízení rizik ve firmách často končí excelovou tabulkou, která neříká nic o tom, jaká je reálná úroveň zabezpečení firmy a nepomůže ani v prioritizaci investic do kybernetické bezpečnosti. Proto doporučujeme proaktivně v prvních fázích začít i s výše popsanými kroky, které by firmy měly tak jako tak podniknout. Pozornost by firmy měly věnovat zejména mandatorním požadavkům prováděcí vyhlášky, které jsou doporučeny i nejlepší praxí a jsou časově a finančně (zdrojově) náročnější,“ vysvětluje Mojžíš.
