Data jsou zlatem dnešní doby. Pro společnosti představují klíčovou součást majetku a hodnoty firmy, i přesto však bývá stupeň jejich zabezpečení a ochrany často na tristní úrovni. Hlavním důvodem tohoto stavu je nejen neznalost základních bezpečnostních pravidel, ale často také obyčejná nedbalost a nedůslednost zaměstnanců při jejich dodržování. Jak tedy postupovat, aby se nám podařilo ztrátě tohoto firemního „pokladu“ včas předejít?
Kybernetická bezpečnost stojí na třech základních pilířích. Těmi jsou lidé, nástroje a procesy. Právě lidský faktor je přitom tím nejrizikovějším – ne nadarmo se říká, že „uživatelé nejsou hloupí, pouze neznalí.” A ani ten nejlepší a nejdražší nástroj nám příliš neposlouží, pokud k němu nemáme dostatečně kvalifikovanou obsluhu. Na druhou stranu ani ten nejkvalifikovanější uživatel s nejlepším nástrojem moc nezmůže, pokud neví, čeho má dosáhnout a proč.
Že je ďábel ukryt v detailu, nám naše praxe dokazuje téměř každý den. Vezměme si například nedávno odhalený průnik útočníků do e-mailového systému jedné z velkých konzultačních společností. Samotný přesun e-mailového systému do cloudu je věc v celku nevinná, ale v tomto případě sehrálo zásadní roli opomenutí základních bezpečnostních principů, které jsou s tímto krokem pevně spjaty.
Uvnitř organizace jsou systémy tohoto typu chráněny několika stupni ochrany, avšak jejich přesunem do cloudu byly vystaveny do nezabezpečeného prostředí internetu, včetně samotného administrátorského rozhraní. Útočníkům je společnost vlastně naservírovala přímo pod nos. Pokud se na tento případ podíváme zblízka, zjistíme, že zde došlo k porušení principů na úrovni všech tří pilířů bezpečnosti.
Pojďme se tedy na chvíli vcítit do role zloděje, který chce získat naše firemní data. Motivace jeho útoku je pro nás v tento okamžik vedlejší, raději se soustřeďme na to, jak a kudy by mohl útok provést. Z úvodu článku již víme, že má v podstatě čtyři možnosti, jak do našeho systému proniknout. Útočník může zneužít slabin lidského faktoru, nástrojů, interních procesů nebo kombinovat všechny zmíněné možnosti. Protože ale svět není černobílý, nejčastějším způsobem proniknutí do systému bývá právě jejich kombinace.
Každá hra má svůj cíl a pravidla, a to stejné platí i v oboru kybernetické bezpečnosti. V první řadě bychom tak měli vědět proč, a jak je kybernetická ochrana naší organizace zajištěná. Odpověď na první otázku je snadná. Cílem a důvodem nasazení kybernetické bezpečnosti bývá zpravidla ochrana firemních dat. Odpověď na otázku „jak" pak spočívá ve stanovení konkrétní strategie, architektury a postupů kybernetické bezpečnosti v dané organizaci.
Pro stanovení strategie kybernetické bezpečnosti dané organizace je naprosto klíčový „dirigent" kybernetické bezpečnosti. Pod ním si můžeme představit člověka, který:
Jen pod dobře vedenou taktovkou takového dirigenta, tedy manažera kybernetické bezpečnosti, lze nalézt vyvážený kompromis mezi efektivitou provozu ICT prostředí a akceptovatelnou eliminací rizik způsobených nejrůznějšími hrozbami. Součástí kvalitní strategie je zcela jistě také osvěta o zásadách bezpečného chování v kybernetickém prostoru a průběžné vzdělávání uživatelů napříč celou organizací.
Návrh architektury obrany organizace proti kybernetickým hrozbám a zajištění akceptovatelné úrovně kybernetické bezpečnosti může být jednou úkol komplexní, jindy naopak vcelku jednoduchý. Vždy přitom bude záležet na stanovených prioritách organizace, na její komplexnosti a dynamice v přístupu ke změnám.
Samotná rozmanitost a škála možných řešení a přístupů zdaleka přesahuje rámec a rozsah tohoto článku. V každém případě musíme mít na paměti cíl návrhu architektury, kterým je v první řadě ochrana firemních dat. Přitom bychom ale neměli zapomenout na zachování efektivního provozu ICT prostředí tak, aby bezpečnost nebyla na úkor provozu a obráceně. Výsledné řešení pak bude vždy kompromisem obou pohledů.
Návrh architektury by měl vyváženě řešit nástroje pro:
Investicemi do nástrojové podpory pro zajištění kybernetické bezpečnosti bychom měli zajistit zejména:
Nástroje pro zajištění kybernetické bezpečnosti jsou úzce provázané, často dokonce přímo závislé na nástrojích zajišťujících provoz ICT prostředí. Proto je jejich vzájemné vyladění pro úspěšné splnění stanového cíle tak klíčové.
Poslední z pilířů zajištění kybernetické bezpečnosti, ale v žádném případě nikoliv posledním z pohledu důležitosti, je nastavení funkčních postupů užívání nástrojů a principů chování uživatelů organizace. Začněme opět u předmětu našeho zájmu, tedy u našich firemních dat. Abychom je dokázali ochránit, musíme vědět, kde všude jsou umístěna, a současně znát jejich plný rozsah a strukturu. Tento postup lze souhrnně nazvat provedením klasifikace a lokalizace dat.
V této souvislosti je vhodné připomenout aktuálně žhavé téma dotýkající se podobné oblasti. Konkrétně direktivu EU nazvanou „General Data ProtectionRegulation" a obecně známou pod zkratkou GDPR, která vstoupí v platnost v květnu 2018. Jedním ze základních předpokladů splnění tohoto nařízení je mimo jiné také provedení lokalizace osobních dat fyzických osob v organizaci a ověření, jakým způsobem jsou tato data zpracovávaná, což spadá právě do oblasti klasifikace dat obecně. Analýza a znalost toho kde, jak a kolik dat se v organizaci zpracovává, je v oblasti prevence kybernetické bezpečnosti významným krokem.
Dobře nastavenými procesy můžeme velmi efektivně ovlivnit prevenci napadení a snížit míru rizika úspěšnosti průniku. Například vhodně zvolená délka periody pro obnovu uživatelských hesel sníží míru rizika jejich prozrazení, nastavení počtu pokusů neúspěšného přihlášení uživatelů zase výrazně sníží riziko odhalení hesla hrubou silou.
V oblasti detekce a reakce lze návrhem procesů kybernetické obrany výrazně ovlivnit rychlost a efektivitu zpracování kybernetických bezpečnostních událostí generovaných bezpečnostním monitoringem.
Zajištění kybernetické bezpečnosti organizace rozhodně není jednorázovou činností. Jedná se o dlouhodobou aktivitu, zejména protože vynalézavost potencionálních protivníků je velká a jejich útoky jsou čím dál sofistikovanější. Pro zajištění stanoveného cíle – ochrany firemních dat – tak musí být jejich obrana rozvíjena systematicky. Rozhodně se nevyplatí ji podcenit a vystavit nepřátelům všanc nejen svá data, ale také dobrou pověst podniku.
Aleš Mahdal, Expert Consultant pro oblast bezpečnosti společnosti Anect
Jak předejít krádeži firemních dat? Jak se bránit ransomwaru? Jak se připravit na GDPR? To je jen několik z řady...
