Hlavní strana -> Časopis IT Systems -> Rok 2025 -> IT Systems 5/2025 -> Table-top cvičení zaslouží stejnou pozornost jako penetrační testy
IT SYSTEMS 5/2025 , IT Security

Table-top cvičení zaslouží stejnou pozornost jako penetrační testy

-anect-

ManazerBezpečnostní experti z technologické společnosti ANECT letos ve své novoroční predikci vývoje bezpečnostních hrozeb upozorňovali mimo jiné na rostoucí význam zneužití přístupových oprávnění a zneužívání nástrojů umělé inteligence při phishingových kampaních i samotných útocích. V kombinaci s tím, že útočníci jsou schopni výrazně zkracovat dobu mezi průnikem do firemní sítě a exfiltrací či zašifrováním dat, roste podle nich důležitost netechnických table-top cvičení, která simulují úspěšný hackerský útok nebo jiné krizové situace. Management si na nich může v bezpečném prostředí vyzkoušet, jak bude firma schopná reagovat ve chvíli, kdy veškeré ochranné bariéry selžou. Jak takové cvičení vypadá a proč by mělo být v repertoáru každé firmy, vysvětlují Radim Kozák a Petr Mojžíš.


„Table-top cvičení si můžeme představit jako obdobu požárního cvičení pro kybernetickou bezpečnost. Přestože všichni pracujeme v budovách, které splňují normy požární ochrany, mají detektory kouře či sprinklery, tak všechny mají také evakuační plán a tento evakuační plán se jednou za čas nacvičuje. Protože požár může vypuknout i při sebelepších preventivních opatřeních a v takové chvíli chladná a koordinovaná reakce pomáhá zachraňovat lidské životy,“ přibližuje Petr Mojžíš, Security Architect ve společnosti ANECT. V případě hackerského útoku může jít například o to, jak vysoké budou finanční dopady incidentu, ale v extrémním případě také o přežití napadené společnosti.

„V rámci kybernetické bezpečnosti se všichni hodně zaměřujeme na začátek, tedy nepustit útočníky do organizace. Ale stejně důležitý je i opačný přístup, tedy vědět, co budu dělat, když vše selže,“ říká Radim Kozák, SOC Security Architect ve společnosti ANECT. Table-top cvičení si proto podle něj zaslouží stejnou pozornost jako penetrační testy: „Zatímco na digitálně vyspělejších trzích je poměrně běžné, že se tato cvičení pravidelně opakují, v Česku jsou spíše přehlížena a řada firem je nevyzkoušela ani jednou,“ upozorňuje. 
Ve chvíli ohrožení nemůže management sedět v koutě a schovávat se za technické pozice.

Table-top jako kybernetická úniková hra pro vedení společnosti

Netechnická table-top cvičení jsou určena primárně širšímu vedení společnosti. Ve chvíli ohrožení nemůže management sedět v koutě a schovávat se za technické pozice, ale musí převzít iniciativu a rychle rozhodovat o dalších krocích. Ostatně nový zákon o kybernetické bezpečnosti, který začne platit ve druhé polovině letošního roku, počítá s tím, že za kybernetickou odolnost je zodpovědné právě vedení. Vedení firmy je tak v přeneseném smyslu zodpovědné za přijetí vhodných protipožárních opatření, zajištění funkčních hasicích přístrojů či za to, že někdo zpracuje evakuační plán. A také za to, že všichni vědí, jak se podle něj chovat.
Dobře provedené cvičení může v důsledku znamenat rozdíl mezi dobře zvládnutým incidentem a poškozením firmy.
Pravidelná cvičení reakce na incidenty jsou navíc nákladově efektivním multiplikátorem investic do kybernetické odolnosti. Předně testují funkčnost existujících plánů reakce, kontinuity a obnovy a spolu s tím také to, jestli jsou nejen dobře sepsané, ale jestli budou v případě potřeby také dobře provedené. Ukážou, zda všichni včetně nejvyššího vedení vědí, co mají dělat a kdy to mají dělat. „Kdo s kým komunikuje, kdo o čem rozhoduje? Co a kdy řekneme zaměstnancům a co zákazníkům a veřejnosti? To všechno jsou věci, které často v krizových plánech nenajdeme a které ve chvíli útoku způsobují zmatky, chyby a prodlení. Dobře provedené cvičení proto ve výsledku může znamenat rozdíl mezi dobře zvládnutým incidentem a poškozením pověsti, stejně jako pomoci zachránit miliony korun,“ říká Petr Mojžíš.
Petr Mojžíš

Cvičení musí být konkrétní a dobře naplánované

Z výše uvedeného také vyplývá, že table-top cvičení je určeno především pro firmy, které se skutečně starají o svoji kyberneetickou odolnost, mají zpracované krizové plány a tyto plány odpovídají situaci ve firmě a nejsou jen výsledkem formální přípravy na potenciální audit. „Simulace ověřuje, jestli klíčoví lidé ve firmě tyto plány znají, zda jsou funkční a kde mají slepá místa. Cvičení si samozřejmě může vyzkoušet jakákoli firma, ale pokud nemá tyto metodiky zpracované, výsledkem bude většinou pouze zjištění, že je skutečně potřebuje,“ upozorňuje Radim Kozák.
Kozak
Pravidelná cvičení reakce na incidenty předně testují funkčnost existujících plánů reakce, kontinuity a obnovy.
Samotné table-top cvičení začíná důkladnou přípravou. Nejprve je potřeba definovat, čeho by se mělo týkat, jakou situaci chceme vyzkoušet. Častým omylem firem je, že existuje jedno cvičení, které kompletně otestuje jejich připravenost na kybernetický útok. To ale není možné, protože v dnešní době existují desítky různých více či méně pravděpodobných scénářů a situací. 
„I zde tak přichází na řadu jedna ze základních rad, které by si vedení firem mělo vzít k srdci: popřemýšlejte, jaké nejhorší scénáře vám hrozí, jaké služby a procesy jsou ve firmě klíčové a jak je chráníte. A poté lze vyzkoušet reakci na situaci, že ochrana selže. U někoho to může být ransomware útok, u někoho jiného exfiltrace dat a hrozba jejich zveřejnění, někde to může být pouhá dlouhodobější nedostupnost služby nebo poškození pověsti skrze kompromitaci webu. Ale testovali jsme třeba také reakci na podezření z interní krádeže dat a další scénáře,“ říká Petr Mojžíš. 
 
Poté se připraví scénář, který obsahuje základní incident a následně strom možných reakcí všech zainteresovaných osob včetně útočníků a to, jak konkrétní reakce ovlivní celý proces vypořádávání se s incidentem. Co se stane, když okamžitě zaplatíme? Co se stane, když zkusíme vyjednávat? Nebo co se stane, pokud začneme bez uvážení obnovovat data, aniž bychom zkontrolovali, zda naše zálohy nejsou kompromitované? 

Typické chyby: chybí recovery plán, nejsou vyjasněné kompetence

Každé cvičení přitom podle Radima Kozáka odhalí řadu nedostatků, slepých míst a nedorozumění. „Ukáže se, kdo tápe, kdo přebírá odpovědnost a kde chybí návaznost. Také se ukáže, jaké aspekty nejsou vyjasněné a k čemu to může vést. Proto by simulace měla být vnímána jako bezpečný prostor pro selhání. Může se ukázat, že někdo zanedbal své povinnosti a že ne vše funguje, jak má. Cvičení je šancí, jak odhalit chyby bez následků a napravit je dříve, než bude pozdě. Jeho výsledkem by měla být sada konkrétních opatření, nikoli hledání viníků,“ upozorňuje.
Prakticky každé cvičení odhalí řadu nedostatků, slepých míst a nedorozumění.
Mezi typické nedostatky, které podobná cvičení odhalí, patří nedostatečně zpracovaný plán obnovy dat. IT sice zálohuje data, segmentuje sí a sleduje síový provoz, má seznam záloh a krizové kontakty. Chybí ale jasný proces a sekvence kroků, včetně doporučení, jak se v konkrétních situacích zachovat. To mimo jiné souvisí s tím, že firmy nemají jasně stanovené, co je pro ně z pohledu byznys kontinuity opravdu kritické, jak bylo zmíněno výše. 
Ve chvíli útoku tak vedení a často ani techničtí specialisté nevědí, co z pohledu byznysové kontinuity musí běžet za každou cenu a bude se obnovovat jako první. Dalším slabým místem bývá právě komunikace a koordinace uvnitř firmy i navenek. Simulace tyto nedostatky nejen odhalí, ale umožní je také sepsat a napravit dříve, než půjde o všechno.
Firmy často nemají jasně stanovené, co je pro ně z pohledu byznys kontinuity opravdu kritické.
Table-top cvičení je dnes z pohledu efektivity nejlevnější způsob, jak odhalit chyby, selhání a nejasnosti dřív, než na ně ukáže ostrý útok. Směrnice NIS2 výslovně ukládá odpovědnost za kybernetickou připravenost vedení firem. „Kybernetická odolnost ale není o regulaci, je o firmě jako takové. A zde platí jednoduché pravidlo: v krizi nevyhrává ten, kdo má napsaný plán, ale ten, kdo si ho vyzkoušel a ví, co má dělat,“ uzavírá Petr Mojžíš.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.