Častým problémem v malých firmách také bývá souběh pracovních rolí. IT administrátor bývá běžně např. obchodníkem. To má samozřejmě vliv na klasické IT činnosti a na profesní kvalitu zaměstnance. Hlavní problém spočívá v tom, že IT pracovník/pracovníci a obecně ICT jsou zpravidla vnímáni pouze jako nákladové položky. To samé platí pro případné řešení kybernetické bezpečnosti. Od toho odvisí nevole vedení schvalovat jakékoli další náklady a od toho také odvisí minimalizace počtu IT pracovníků a absence bezpečnostních pracovníků. Všechny náklady související s ICT jsou evidovány na IT oddělení/středisko bez ohledu na to, že ICT využívá celá firma, IT oddělení je pouze spravuje a udržuje v provozu. IT pracovníci bývají přetíženi běžnými administrátorskými činnostmi a jsou zvyklí chovat se převážně reaktivně. Tzn. udržují svěřené systémy v provozu, případně napravují různé chybové a havarijní stavy. Ruku na srdce: Kolik administrátorů na začátku pracovního dne zkontroluje log záznamy klíčových systémů? A jak je to s dokumentací jejich činnosti? Otestují před instalací či upgradem v testovacím prostředí celý proces? Jak spravují a evidují přístupová práva? Jak spravují a evidují zařízení připojená ve vnitřní síti společnosti?

Tak jako se každá společnost musí zabývat např. ochranou zdraví při práci, měla by se rovněž zabývat tzv. kontinuitou byznysu. K čemu vám je, že máte skvěle propočítané jednotlivé operace na výrobní lince, k čemu vám je, že víte, kolik uzavřete za měsíc obchodních případů, když nemáte ponětí o tom, jaké kroky podniknete v případě byť sebemenší havárie ICT? Víte, za jak dlouho po odstávce ICT jste schopni zajistit minimální úroveň vámi poskytovaných služeb? Víte, za jak dlouho jste schopni obnovit data a systémy ze záloh? Zálohujete? Máte vypracovány havarijní plány? Testujete plány obnovy? Víte, kolik vás stojí hodina výpadku vašich ICT?

Pokud se chceme bavit o tom, jak chránit ICT, v prvé řadě je důležité budovat povědomí o kybernetické bezpečnosti. A to jak u řadových zaměstnanců, tak i u vedení společnosti. Jedině souhlas a aktivní podpora vedení mohou zajistit aplikaci potřebných technických a organizačních opatření. Je nutné vytvořit vnitřní legislativu společnosti, mít vypracován organizační řád, provozní řád, pracovní řád, pravidla pro fyzickou bezpečnost a bezpečnostní politiku organizace. U malé společnosti nepodléhající zákonu o kybernetické bezpečnosti (ZoKB) nemusíte automaticky aplikovat všechna opatření čerpající z vyhlášky č. 316/2014 Sb., o kybernetické bezpečnosti, nebo z ISMS, ale měli byste vědět, jaká aktiva spravujete. Měli byste se zabývat jejich důležitostí a na základě toho tato aktiva chránit. Úmyslně nezmiňuji analýzu rizik, plán zvládání rizik atd. Ale vlastně v malém by měly i menší společnosti něco podobného realizovat. Měly by mít zřízenu pracovní pozici bezpečnostního pracovníka (podřízeného přímo vedení firmy), který by měl mít na starosti vše, co s touto oblastí ve společnosti souvisí. Není to sice pozice v souladu se ZoKB (koneckonců tomuto zákonu nepodléháte), ale jste součástí kybernetického prostoru, a proto byste se měli zcela zodpovědně zabývat i touto oblastí.

Mimo vnitřní legislativu je nezbytné řešit i zabezpečení ICT. Je nutné nasadit antivirové prostředky, mít nastaveny politiky pro přístup do informačních systémů, systém záplatování operačních systémů a aktivních prvků, zabývat se provozním dohledem ICT, řídit přístup do vnitřní sítě, spravovat IP adresní prostor organizace, analyzovat datové toky v síti, zabývat se provozními podmínkami v technologické místnosti, vyhodnocováním logů a jejich ukládáním na jedno místo, evidovat konfigurace klíčových prvků a systémů a kontrolovat činnosti IT pracovníků (včetně evidence v provozních denících). Velice důležité je mít nastaveny politiky zálohování jak dat, tak i operačních systémů, zálohy ukládat mimo budovu s technologiemi a testovat obnovu dat a systémů z těchto záloh. V podstatě je nutné se zabývat jak prevencí, detekcí, reakcí, tak i nápravou. Pokud chcete mít přehled o stavu kybernetické bezpečnosti vaší firmy v reálném čase, je vhodné ji pořídit formou služby SOC (Security Operations Center). Díky SOC formou služby se nemusíte zabývat nákupem drahého SIEMu a vyhnete se i vysokým mzdovým nákladům na vysoce kvalifikovanou obsluhu.

Jestli právě vaše firma patří mezi ty, které se kybernetickou bezpečností a kontinuitou byznysu nezabývají, máte nejvyšší čas začít. Pokud byste se chtěli kybernetickou bezpečností opravdu zodpovědně zabývat, inspirativním a velice cenným zdrojem informací je již zmíněná vyhláška č. 316/2014 Sb., o kybernetické bezpečnosti.

Jiří Sedláček Autor článku je ředitelem centra NSMC (Network Security Monitoring Cluster), které je odvětvovým seskupením firem a organizací zabývající se kybernetickou bezpečností.