Řada firem samozřejmě ví, čeho se bojí a co pro ně představuje existenční hrozbu. Je ale mnoho firem, které to jenom tuší, nevědí, nebo mají rizika seřazená špatně. Důležité je, aby si vedení sedlo k jednomu stolu a zamyslelo se nad tím, jaké služby tvoří základ jejich podnikání, co jim generuje zisky. Na jakých procesech tyto služby stojí? Co je pro ně klíčové a bez čeho se zhroutí?

Zatímco pro jednu firmu může být likvidační zašifrování a nedostupnost dat, pro jiné je větší hrozbou jejich zveřejnění, zatímco pro třetí data samotná nemají velkou hodnotu. Třeba proto, že její podnikání je postavené na veřejně dostupných datech nebo datech snadno nahraditelných a jejich dalším zpracování. Naopak ale potřebuje maximální dostupnost služeb. Pro další společnosti je zase klíčová integrita dat, tedy 100% jistota, že nemohla být kýmkoli změněna.

„Ačkoli na toto jak my, tak řada dalších bezpečnostních firem upozorňujeme opakovaně, stále se setkáváme s tím, že některé společnosti tuto oblast podceňují. Přitom takové cvičení v zásadě nic nestojí a firmám umožní se posunout v jejich úvahách o bezpečnosti výrazně kupředu,“ říká Radim Kozák, SOC Security Architect z ANECTU s tím, že v praxi se stává i to, že firmy sice mají snahu řešit svoji kybernetickou bezpečnost, ale zaměřují se zbytečně na oblasti, které pro ně nejsou tak důležité. Jinými slovy, nevyužívají rozpočty na bezpečnost, které jsou vždy omezené, dostatečně efektivně.

 

Potom, co si firma uvědomí své kritické procesy, přichází na řadu klasická analýza rizik. Zde se klasifikují všechna firemní aktiva, (prvky, které mají pro firmu nějakou hodnotu) z pohledu jejich důležitosti. Ať už jde o informační systémy a služby nutné pro zajištění chodu organizace či jiná fyzická i logická aktiva. Zároveň se identifikují hrozby, které mohou tato aktiva ohrozit, míra rizika a náročnost nápravy. Výsledkem bývá tabulka nebo jiný přehled rizik. 

„Zde je potřeba opět upozornit na to, že jde o klíčovou věc, kterou je třeba brát vážně. Některé firmy mají tendenci analýzu rizik vnímat jako regulatorní obtíž a odbýt jen do té míry, do jaké obstojí před případným auditem. Jejím smyslem je ale vhled do toho, co se může stát, kolik času a peněz bude stát náprava, a následné rozhodnutí, jestli toto riziko akceptuji, nebo ne. A co začnu řešit nejdříve. Proto vždy doporučujeme, soustřeďte se na obsah, ne na formu,“ říká Petr Mojžíš. 

Dobré řízení rizik je přitom podle něj spjaté s plánováním rozpočtu. „Ve chvíli, kdy je řízení rizik ve stejné tabulce jako firemní rozpočet, mitigace jednotlivých rizik mají přidělené financování a časové rámce, tak je zřejmé, že se firma posouvá vpřed a že na to má vyčleněné prostředky,“ doplňuje. Naopak pokud je tabulka s riziky rok neotevřená v nějaké zapomenuté složce a nikdy se nedostala k finančnímu řediteli, je těžké udržovat kybernetickou bezpečnost na vysoké úrovni. 

A to včetně toho, že pokud se pořizuje nějaký nástroj, tak je vhodné, aby to byl ten, který přinese v dané situaci nejvíce užitku za nejméně peněz. A zároveň je třeba myslet na to, že tento nástroj musí někdo obsluhovat. „Součástí strategických plánů by vždy měly být i časové dotace a náklady na personál. Občas se stává, že firma investuje do nějakého bezpečnostního řešení, ale to potom nemá kdo obsluhovat. Pokud zde není nikdo, kdo vyhodnocuje bezpečnostní reporty a iniciuje nápravy u důležitých zranitelností, nemá sebelepší nástroj prakticky žádný smysl,“ upozorňuje Radim Kozák.

Na těchto základech, které mohou být pro řadu firem samozřejmostí, ale je vždy dobré na ně upozornit, je možné se pustit do dalšího kroku, a tím je příprava plánů reakce. Zde už je situace komplikovanější a vrstevnatější. Firmy by měly vypracovat Business Continuity plány, které kromě IT zahrnují i další rizika přerušení byznysu a reakce na tyto události. Stejně tak je vhodné zpracovat Disaster Recovery plán, který krok po kroku popisuje, jak probíhá obnova systémů po incidentu (ať už jde o kybernetický útok nebo jinou příčinu).

„Ve chvíli, kdy jsou tyto plány hotové, je možné je projít a otestovat jejich funkčnost. Zde ještě nejsme na úrovni klasického netechnického table-top cvičení, ale už jsme ve fázi testování a ověřování. Postupujeme zde krok po kroku tak, jak je uvedeno v plánech, a ptáme se, zda je každý krok popsaný dostatečně podrobně a jasně a jestli tyto kroky odpovídají produkční realitě, jsou realizovatelné a vedou k potřebnému cíli,“ popisuje Radim Kozák. Ve chvíli, kdy je ověřená jejich funkčnost, je možné začít testovat, jaká je jejich znalost a jak jsou využívané ve chvíli skutečné krize.

Zatímco oblast kontinuity firemního provozu nebo zálohování a obnovy dat lze naplánovat poměrně přesně a dobře, u reakce na kybernetické incidenty toto není efektivně možné. Existuje sice řada Incident Response frameworků, podle kterých lze připravit nějaký základní plán, což je něco, co ANECT obecně doporučuje. Ideální je věnovat se chvíli rešerším na webu a najít plány, které odpovídají hlavním vnímaným rizikům, a ty si následně upravit. Výsledný plán ale bude často spíše sadou obecných pravidel typu „co uděláme, když se něco stane“.

 „Hlavním důvodem je fakt, že množina možných incidentů je příliš široká na to, aby bylo možné se věnovat podrobně všem, a to i pokud bychom se ji snažili přizpůsobením pro konkrétní organizaci snižovat. Druhým důvodem je fakt, že si často nemůžeme být zcela jistí, co se aktuálně děje. Pokud jsme například zaznamenali neoprávněný přístup do sítě, může to znamenat, že jsme minuty od katastrofy, protože na nás útočí schopná hackerská skupina. Ale stejně tak se může stát, že tato událost nebude mít na provoz žádný vliv, protože jde o nějaké dílčí pochybení zaměstnance“ vysvětluje Petr Mojžíš. V takovém případě je podle něj potřeba situaci technicky vyhodnotit i na úrovni byznysu a rozhodnout, co udělat dále. Například to, zda odstavit provozní servery, dokud se celá záležitost neprošetří, není vůbec jednoduchá otázka. V těchto situacích tedy nelze pouze slepě následovat body v plánu, ale je třeba se rozhodovat na základě reálných dat a expertních odhadů situace.

Dalším důvodem je potom fakt, že čím více konkrétních plánů firma bude mít, tím menší bude jejich reálná znalost klíčovými lidmi a také využitelnost. Proto se firmám vyplatí mít vlastní Security Incident Response Managery. V Česku zatím nevidíme příliš mnoho firem, které by tuto pozici obsazovaly. Mezi hlavní důvody patří nedostatek lidí a také náklady spojené s obsazením takové pozice. Přesto by se o to firmy měly snažit, případně v oblasti reakce na incidenty spolupracovat s externími SOC týmy.

Ve chvíli, kdy má společnost jasno v tom, čeho se bojí, má to chráněné a má zpracované základní plány, může se rozhodnout otestovat nějakou konkrétní situaci pomocí netechnického table-top cvičení. Jak už bylo zmíněné v předešlém článku, tato cvičení může podstoupit i v případě, že tyto postupy definované nemá. Výsledkem však bude jenom uvědomění, že je potřebuje. „Zde je možná dobré zdůraznit, že začít od konce nakonec může být pro mnoho firem přínosné. Ne proto, že by je takové cvičení připravilo na budoucí možný útok, ale jako určité probuzení a impulz pro to, pustit se do opravy základů. Celý proces, který jsme zde velmi jednoduše popsali, totiž může klidně zabrat rok a více a pro management může být těžké pochopit, proč je to potřeba, případně udržet u tématu manažerskou pozornost. Pokud si ale v rámci cvičení projdou emotivní a náročnou situací, ve které dochází ke kolapsu provozu a nikdo neví, co dělat, bude snazší celý proces posouvat dopředu a dotáhnout do zdárného konce,“ uzavírá Radim Kozák.