facebook LinkedIN LinkedIN - follow
IT SYSTEMS 9/2017 , IT Security

Řízení kybernetických rizik

Zbyněk Malý


AnectVětšina společností o sobě tvrdí, že řídí rizika. Je tomu skutečně tak? Neprovádí se většinou pouze část procesu řízení rizik? Abychom na tuto otázku dokázali odpovědět, je nutné si nejprve definovat, co je riziko a co se skrývá pod pojmem systém řízení rizik.


Bezpečnostní strategie České republiky definuje riziko jako možnost, že s určitou pravděpodobností vznikne událost, kterou z bezpečnostního hlediska považujeme za nežádoucí. Riziko je přitom vždy odvoditelné a odvozené z konkrétní hrozby. Jeho míru, tedy pravděpodobnost škodlivých následků vyplývajících z hrozby a ze zranitelnosti zájmu, je možno posoudit na základě tzv. analýzy rizik, která vychází mimo jiné i z posouzení naší připravenosti čelit jednotlivým hrozbám. Rizika ohrožují dosažení cílů a mohou mít negativní dopad na naši činnost. S určitou pravděpodobností se vyskytnou u každé činnosti.

Řízení rizik se zabývá navzájem provázanými činnostmi, které se snaží zamezit nebo zmírnit výskyt rizik a dalších nemilých překvapení. Konkrétně se skládá ze čtyř po sobě jdoucích činností:

  • Identifikace aktiv a hrozeb
  • Hodnocení hrozeb (určení míry rizika)
  • Strategie zvládnutí rizik
  • Průběžný monitoring vývoje (nové hrozby, zranitelnosti)

Řízení rizik zahrnuje široké spektrum problémů. Jedním z nich jsou také rizika kybernetická.

Vzhledem k tomu, že je v současné době většina informací zpracovávána pomocí prostředků výpočetní techniky, je nezbytné prioritně řídit právě rizika v této oblasti. Řízení IT a jeho bezpečnost by přitom neměly podléhat jen osobním názorům, náladám a zkušenostem týmu administrátorů. Implementace jednotlivých bezpečnostních opatření (procesů a technologií) by měla vycházet z vyhodnocování rizik a postupného snižování míry jejich výskytu.

Pro ukázku si převedeme základní kroky řízení rizik do problematiky řízení rizik kybernetických:

Identifikace aktiv a hrozeb

V první řadě je potřeba definovat, co vlastně musíme chránit a proti jakým hrozbám. Pro kybernetická rizika jsou nejvýznamnější aktiva informace uchovávané a zpracovávané v těchto systémech. Tyto informace jsou pro daný případ řízení rizik charakterizovány jako primární aktiva. Další skupinou jsou aktiva podpůrná, což jsou prostředky nutné pro zpracování primárních aktiv. Z tohoto pohledu se může jednat například o informační systémy, HW, síťovou infrastrukturu a osoby, které tyto prvky obsluhují. K jednotlivým aktivům je nutné definovat tzv. garanta daného aktiva, tedy takového vedoucího zaměstnance, který daný systém či informace využívá převážně pro potřeby svého oddělení.

V první fázi této identifikace logicky není možné definovat 100 % podpůrných aktiv. Primární aktiva je však nutné definovat všechna. Následně musí proběhnout přesná specifikace a charakter hrozeb včetně definování zranitelnosti, která na aktiva působí.

V následujících krocích se postupně přidávají další podpůrná aktiva, která se musí provázat s aktivy primárními tak, aby bylo jasné, že poškození jednoho podpůrného aktiva může způsobit nedostatky na několika primárních aktivech. Typicky nedostupnost Active Directory může způsobit to, že všechny systémy mohou být nedostupné a informace z nich nebudou v danou chvíli k dispozici. V rámci podpůrných aktiv se provázání nemůže provádět metodou 1:1, ale pomocí určité váhy závislosti. Tedy poškození některého podpůrného aktiva nemá stejný vliv na všechna primární aktiva.

Hodnocení hrozeb

Hodnocení hrozeb je metoda, která na základě vlastností aktiva, zejména jeho zranitelnosti vůči dané hrozbě, a dopadu v případě, že dojde k nežádoucímu jevu způsobenému danou hrozbou, definuje míru rizika, tedy pravděpodobnost vzniku nežádoucího jevu. Osvědčená metoda hodnocení hrozeb je určení dopadu hrozby na dané aktivum, pravděpodobnosti jejího výskytu a v neposlední řadě i zranitelnosti daného aktiva vůči dané hrozbě. Tedy existence nějakých protiopatření vůči této hrozbě, která snižují zranitelnost daného aktiva, popřípadě skupiny aktiv. Na základě těchto hodnot je pak určena míra rizika pro dané aktivum. Za účelem vyhodnocování dalších, nově identifikovaných hrozeb je nezbytné k této metodě zpracovat odbornou metodiku. Popsaná metoda hodnocení hrozeb není jediná možná, v praxi se s ní, potažmo s nástroji využívajícími její princip, ale setkáme nejčastěji.

Strategie zvládnutí rizik

Na základě hodnocení hrozeb získáme seznam relevantních hrozeb pro každé aktivum. Po jejich sjednocení vznikne globální seznam rizik. Díky němu následně můžeme definovat jednotlivá bezpečnostní opatření snižující míru rizika. Přehled konkrétních bezpečnostních opatření nazvaný Plán zvládání rizik pak bude definovat jak jednotlivá bezpečnostní opatření, tak i osoby, které budou odpovědné za jejich implementaci, a dále finanční náročnost dané implementace a prioritu, s jakou bude opatření implementováno. Tato priorita by měla zvážit také to, zda implementace daného opatření zvýší zabezpečení více aktiv, či pouze jednoho.

Tímto krokem končí většina společností, které o sobě tvrdí, že se zabývají řízením rizik. U řady skupin řízení rizik je takový stav postačující, ne však u rizik kybernetických, která jsou do značné míry odlišná.

Průběžný monitoring vývoje

Problematika řízení kybernetických rizik je specifická tím, že se nové hrozby a zranitelnosti objevují denně. Na to pak musí společnosti okamžitě reagovat. Vzpomeňme si třeba na nedávné mohutné útoky WannaCry nebo Petya a jejich dopad. Kolik firem hrozby tohoto typu zhodnotilo a přijalo patřičná opatření alespoň ve formě školení uživatelů v otázce reakce na tyto hrozby (například jak zacházet s přílohami v e-mailové komunikaci)? Bezpečnostní opatření přitom byla jednoznačně na místě. Útoky tohoto typu bývají zaměřeny především na ta oddělení společnosti, která mohou dostávat e-mailové zprávy i od neověřených kontaktů – tedy hlavně účtárny, mzdová oddělení nebo HR. Značná část takových e-mailů obsahuje třeba profesní životopis, popřípadě fakturu ve formátu Word, či Excel s makrem, které po spuštění stáhne z internetu škodlivý kód, jenž se nainstaluje na PC.

Z těchto důvodů je nezbytné určit roli tzv. risk manažera, který bude neustále sledovat informace o nových hrozbách a zranitelnostech a ve spolupráci s odborníky (typicky IT) posoudí, zda je daná hrozba pro společnost relevantní. Případně osloví garanty aktiv a s nimi posoudí aktuálnost dané hrozby. Následně provede opětovnou analýzu rizik, do které budou zahrnuty i nově identifikované hrozby a zranitelnosti.

Pro identifikaci nových zranitelností se doporučuje provádět pravidelný scan zranitelností vhodným nástrojem, který porovná současný stav např. serverů nebo webových aplikací s globální databází zranitelností. V případě využití kvalitních a efektivních nástrojů na testování zranitelností se ve výstupní zprávě může objevit také doporučení, jakým způsobem na danou zranitelnost správně reagovat.

Další pokračování řízení rizik

Řízení kybernetických rizik je, jak je vidět z výše popsaných kroků, nikdy nekončícím procesem. Po prvním provedení zmíněných postupů je nutné se vrátit znovu na začátek celého procesu a upřesnit analýzu aktiv – doplnit další podpůrná aktiva a určit jejich vazby na ostatní aktiva včetně definování váhy.

Samotná aktualizace procesu řízení kybernetických rizik je tedy dvojstupňová. Pravidelná (jako další cyklus řízení rizik) a nepravidelná (při identifikaci nových hrozeb).

Z toho vyplývá, že Plán zvládání rizik není dokument, který se po zpracování a naplnění všech definovaných bezpečnostních opatření uzavře. Jde naopak o trvale živý dokument, který se bude v čase neustále měnit.

Zbyněk Malý Zbyněk Malý
Autor článku je Senior Security Consultant ve společnosti ANECT.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.