Fungující organizace je bezpečná organizace

Kybernetická bezpečnost rozhodně není pouhou legislativní povinností, jde o existenční nutnost pro chod organizací jakéhokoliv typu i velikosti. Odcizená, znehodnocená, změněná, zašifrovaná nebo znepřístupněná data – scénáře, které si chce málokdo připustit, ale dějí se dnes a denně. V řadě společností vedly například k paralýze výroby, logistiky nebo komunikace a obrovským finančním nákladům vynaloženým na obnovu, pokud vůbec byla možná. Konce však mohou být ještě děsivější. Takové ochromení činnosti nemocnice nebo úřadu (např. zastavení vydávání osobních dokladů, přerušení výkonu zdravotních služeb, poškození zdravotní dokumentace) nebo pozastavení dodávky energií, vody, telekomunikačních služeb či zneužití osobních údajů. To pak připadá v úvahu nejen finanční ztráta organizace, ale i dopad na obyvatelstvo.

Nemusí se však vždy jednat pouze o viry či cílené nebo plošné kybernetické útoky. Hrůzostrašné konce mohou nastat i při chybě způsobené nedostatečným proškolením personálu, při požáru nebo jiné živelné katastrofě, která IT infrastrukturu organizace zasáhne. A to už se dostáváme k dalšímu problému – velkému počtu organizací, ve kterých panuje přesvědčení o jejich naprostém kyberbezpečí stojícím na argumentu: „Platíme si drahý antivirový program, který je pravidelně aktualizovaný a má jej každý uživatel na svém počítači.“

Nastavení procesů místo řešení následků

Při pátrání po tom, co je důležité chránit a jakým způsobem, je klíčové mít na paměti, že velikost vynaloženého úsilí a investic do bezpečnosti musí odpovídat hodnotě aktiv organizace a míře možných rizik (dopadů a zranitelností, obr. 1).

Obr. 1: Investice do bezpečnosti by měly odpovídat hodnotě aktiv a míře možných rizik.

Je možné zkusit se zorientovat ve vodách definice a hodnocení aktiv, identifikace hrozeb, zranitelností a rizik, mechanismů auditu kybernetické bezpečnosti, souvisejících legislativních předpisů a norem, nebo plánů zvládání rizik. Mnohem snadnější je však využití již existujících nástrojů, které všechny zmíněné oblasti i řadu dalších pokryjí. Příkladem je aplikace CSA (www.gordiccybersec.cz), která k problematice přistupuje systémově a dlouhodobě (včetně metodické a legislativní podpory) – což je ostatně pro ochranu aktiv organizace jediná správná cesta (obr. 2).

Obr. 2: Ukázka z aplikace CSA zobrazující schéma závislostí
a výsledných hodnot rizik.

Deset „P“ kybernetické bezpečnosti

Jestli byla ve vaší organizaci kyberbezpečnost doteď na druhé nebo ještě vzdálenější koleji a nemáte tušení, kde nyní začít, možná vás nasměrují základní preventivní kroky pro rychlou pomoc v oblasti kybernetické bezpečnosti shrnuté do následujících deseti P:

1. Pravidelná školení, cvičení a systematické vzdělávání personálu a managementu
2. Přívětivá a dostupná osvěta pro personál a management
3. Proaktivní studium a využívání odborných i osvětových portálů, médií a konferencí
4. Profesionální ICT personál a management
5. Povinná nebo přiměřená realizace opatření vyplývajících ze zákona o kybernetické bezpečnosti
6. Praktikování zavedení a udržování systému bezpečnosti informací (ISMS)
7. Permanentní zlepšování kybernetické bezpečnosti a jeho systematické řízení
8. Používání a pravidelná údržba a aktualizace bezpečného systémového, bezpečnostního a aplikačního programového a technického vybavení
9. Pravidelné a bezpečné zálohy všech dat, ukládané odděleně od vlastní sítě
10. Preventivní a rychlá realizace ověřených a doporučených praktik

František Janů Autor článku je projektový manažer společnosti Gordic, sekce Kybernetická bezpečnost.

www.gordiccybersec.cz