S rostoucí úrovní bezpečnostních rizik roste i význam a potřeba řešit bezpečnost informačních technologií i v těch firmách (resp. u jejich vedoucích pracovníků), které tuto potřebu v minulosti necítily. Důvodů je celá řada – od celkových (odhadů) škod způsobených kybernetickými zločinci, přes medializované konkrétní případy incidentů spojených s průniky do informačních systémů a s úniky informací, až po vlastní trpké zkušenosti z každodenního provozu daného informačního systému.

Velké firmy a nadnárodní korporace nyní již často disponují zavedenými metodikami jak pro oblast řízení ICT, tak i zajištění bezpečnosti, které např. při implementaci nového systému do prostředí informačního systému podrobně definují všechny potřebné kroky. IT pracovníci menších firem jsou na tom ale často daleko hůře. I když objem požadavků, který na ně směřuje z výkonných útvarů firmy, si nezadá s velkými firmami, nemají se čeho chytit a celkový obraz zabezpečení tomu pak často odpovídá. Základním požadavkem jejich nadřízených a majitelů firem je často udržení co nejnižších nákladů.

Jak tedy přistupovat k nastavení ochrany informačního systému malé firmy a jak celkově zajistit potřebnou míru informační bezpečnosti?

Základní a nutnou podmínkou, která platí obecně, je uvědomění si, že bezpečnost musí být řešena. Tohoto uvědomění není často třeba dosahovat ani tak na příslušném IT oddělení (to si tuto potřebu často až bytostně uvědomuje, protože přesně zná stav věcí), jako především na úrovni vedení firmy a majitelů. Důvod je jednoduchý – tito lidé jsou ti, kteří budou všechno platit a kteří musí všechny nezbytné kroky účinně podporovat, protože řada z nich bude takříkajíc hodně bolet. Prosazování bezpečnosti v jakékoliv firmě, nejen malé, je ostatně často do značné míry složitá diplomacie, kde každý i nepatrný ústupek se nám může následně hodně vymstít. U většiny nasazovaných bezpečnostních technologií jen velice těžko reálně určíme takové parametry, jako třeba ROI (návratnost investic). Na vyčíslení potenciálních ztrát, např. při určitém incidentu, proti kterému nás daná technologie chrání, vedení firmy slyší málokdy. Někdy ale jen do okamžiku, kdy taková situace v praxi nastane. Tehdy ale často přichází druhý extrém, kdy je do bezpečnosti nasypán takový objem prostředků, a jsou pořízena taková řešení, která postrádají jakoukoliv efektivitu, a to všechno jen pod vlivem momentální paniky, aby se daný incident již nikdy neopakoval. V praxi se s těmito situacemi setkáváme např. při řešení kontinuity IT provozu.

Teprve když je zajištěna podpora vedení, které je navíc smířeno s tím, že na bezpečnost bude muset uvolnit nějakou tu korunu, můžeme se do jejího budování pustit. S čím ale začít?

Nejhorší, co můžeme v tomto okamžiku udělat, je začít nakupovat dílčí technická řešení a bez rozmyslu je implementovat do informačního systému firmy. Často jsou pod heslem „za informační systém bezpečnější“ takto nakoupeny i velmi drahé technologie, které jsou ve výsledku se zbytkem prostředí nekompatibilní a přinášejí nám jen velmi malý nebo žádný užitek. Daleko přínosnější je se v této chvíli zamyslet a zodpovědět si na několik důležitých otázek:

Jaká aktiva firmy (technologie, informace/know-how, procesy apod.) potřebujeme chránit?

I v malé firmě můžeme často najít řadu hodnotných aktiv. Typicky se většinou jedná o informace, např. ve formě unikátního know-how, a/nebo technologie, např. výrobní vybavení a procesy včetně zajištění jejich provozní kontinuity apod.

Jakou hodnotu a význam tato aktiva pro firmu mají?

Detailní znalost aktiv je důležitá mj. i s ohledem na pozdější návrh vhodných bezpečnostních opatření, u kterých by investice do nich neměly překročit hodnotu chráněných aktiv. Přitom stanovení hodnoty daného aktiva není jen o finančním vyjádření jeho ceny, ale je třeba brát v potaz i možné další dopady (škody, náklady,…) při jeho zničení a také při porušení základních bezpečnostních atributů (důvěrnost, dostupnost, integrita).

Jaká rizika jsou pro tato aktiva relevantní, tzn., jaké hrozby se vůči nim mohou projevit a jaké existující slabiny k tomu mohou využít?

Odpovědi na tyto otázky do značné míry determinují výběr vhodných opatření ke zvládání identifikovaných rizik. Typicky u rizika s malou pravděpodobností, ale s vysokým dopadem (typicky např. „stoletá voda“) se obecně nevyplatí investovat do náročných (např. stavebních) úprav, ale bude vhodnější např. pojištění majetku firmy. Je také důležité mít jasno v tom, před čím potřebujeme identifikovaná aktiva chránit – např. pokud si nejsme jisti loajalitou zaměstnanců, budeme muset vzít v úvahu rizika interních útoků, nebo např. pokud víme, že máme ambiciózní konkurenci, která se pravděpodobně nebude štítit ani průmyslové špionáže, budeme muset posílit ochranu před externími útoky apod.

Jaká bezpečnostní opatření můžeme k ochraně těchto aktiv použít?

A konečně musíme provést samotný výběr vhodných bezpečnostních opatření, která nás budou vůči identifikovaným hrozbám a z nich vyplývajících rizik chránit. Vybraná sada opatření by nás měla chránit komplexně před celým spektrem hrozeb/rizik, nicméně není v lidských silách a finančních možnostech je zavést všechny najednou a v celém rozsahu. Proto je vhodné vytvořit si určitý Plán bezpečnosti, který bude mj. určovat i prioritu jednotlivých opatření a bude brát v potaz jejich souvislosti a návaznost. V praxi většinou platí oblíbené Paretovo pravidlo, takže i zde lze říci, že implementací nejdůležitějších bezpečnostních opatření ochráníme firmu před většinou závažných hrozeb.

Obecně je třeba si uvědomit, že nemáme k dispozici pouze opatření technická ve formě různých bezpečnostních řešení a technologií, ale také opatření organizačně-procesní. Co se týká jejich ceny, lze s určitou nadsázkou říci, že organizačně-procesní opatření, např. zavedení bezpečnostní politiky ve formě konkrétních bezpečnostních pravidel pro zaměstnance apod., jsme schopni realizovat s nízkými náklady, zatímco pořízení bezpečnostních technologií bývá finančně náročnější. Na druhé straně si ale musíme uvědomit, že účinnost organizačně-procesních opatření významně klesá s nízkou mírou disciplinovanosti zaměstnanců. Bezpečností technologie jsou přitom při správném nastavení a zajištění jejich správy na tomto nezávislé a dokáží např. nevhodnému chování zaměstnanců účinně zabránit. Pokud se to ale přežene a vymkne kontrole, mohou tyto technologie svým způsobem i bránit ve fungování firmy (např. přílišným omezením přístupu apod.).

Proto je v praxi vždy třeba nalézt správnou míru a použít vyvážený mix jak technologických, tak i organizačně-procesních opatření, který bude vyhovovat konkrétním podmínkám dané firmy.

Na papíře jednoduché, v praxi obtížné

Troufám si říci, že popsané úvahy a činnosti vypadají na první pohled logicky a relativně jednoduše. V praxi ale často bývá opak pravdou – obzvláště v případech, kdy bývá řešení bezpečnosti, často z kapacitních a finančních důvodů, svěřeno např. někomu ze stávajícího IT oddělení. I když pomineme časté přetížení IT v malých firmách, kde tito pracovníci řeší vše od provozu informačního systému až po opravy HW, mobilní telefony, zabezpečovací systémy, výrobní technologie atd., je zde významným limitujícím faktorem budování kvalitního a komplexního zabezpečení jejich provozní slepota. I proto je vhodné řešit tyto otázky s vhodným externím partnerem, který bude oproštěn od omezeného vnímání místních podmínek a bude na druhé straně schopen navrhnout účinná opatření, jejichž fungování má zpravidla ověřeno z předchozí praxe a detailně zná i jejich úskalí a limity. Vhodným začátkem budování bezpečnosti může být např. provedení analýzy současného stavu ICT/informační bezpečnosti, kdy externí specialista posoudí jak aktuální stav v oblasti organizačně-procesní, tak i (např. formou penetračních testů) úroveň technického zabezpečení informačního systému, a navrhne vhodnou sadu bezpečnostních opatření včetně postupu jejich implementace v podmínkách firmy.

Nemusíte vše řešit sami

Zejména pro malé firmy je vhodné mít k dispozici zkušeného externího bezpečnostního dodavatele/konzultanta, na kterého se v případě potřeby může operativně obrátit a nechat si poradit s daným problémem, případně mu i svěřit některé činnosti v rámci budování a údržby své bezpečnosti. Firma tímto vztahem získává jakéhosi externího bezpečnostního správce, který je do určité míry zárukou, že nedojde k žádnému závažnému zanedbání v této oblasti.

Závěrem

Závěrem bych chtěl zdůraznit, že pokud budeme k bezpečnosti přistupovat s rozvahou a „zdravým selským rozumem“, budeme určitě schopni zvládnout i tak složitou oblast, jako jsou moderní informační systémy a technologie. Na druhé straně je ale třeba si uvědomit, že i zabezpečení něco stojí, ale pokud na něm budeme chtít přehnaně šetřit, může nás to ve výsledku stát mnohem více.

Ing. Petr Nádeníček