Hlavní partner sekce
Partneři sekce
Tematické sekce
 
Branžové sekce

Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky

Přehledy
 
Partneři webu
IT SYSTEMS 6/2025 , IT Security

Jak dostat z maximum z table-top cvičení

které pomáhá zefektivňovat kybernetickou odolnost

-anect-


V květnovém čísle jsme se spolu s Radimem Kozákem a Petrem Mojžíšem z technologické společnosti ANECT podívali na netechnická table-top cvičení, která jsou velmi účinným dílem skládačky v kybernetické odolnosti firem. Dobře provedené, a v ideálním případě opakované, cvičení může ve chvíli krize znamenat rozdíl mezi hbitou reakcí a zmatkem či rozhodovací paralýzou. Přestože si cvičení může vyzkoušet kdykoli každá firma, největší užitek z něj mají ti, kteří už mají splněné určité domácí úkoly. Jaké to jsou a jak při jejich plnění postupovat, ukáže tento text.


První věcí, kterou by měla každá firma, která chce řešit svoji kybernetickou bezpečnost, udělat, je byznys impakt analýza. To znamená, zamyslet se nad tím, jaké scénáře jsou pro ni likvidační, čeho se v souvislosti s kybernetickými útoky nejvíce obává. „Ve fyzickém světě je tato znalost samozřejmostí. Každá firma či podnikatel mají zabezpečené kanceláře, provozovny, prodejny. Pokud jsem malý prodejce s jednou provozovnou, která je zároveň mým skladem, tak vím, že hlavním rizikem je ztráta zboží v provozovně, případně její poškození. U továrníka jsou to stroje, u obchodníka kontakty a dobré jméno a tak dále. V digitálním světě ale řada firem stále přehlíží podstatné detaily,“ říká Petr Mojžíš, Security Architect ve společnosti ANECT. 

Řada firem samozřejmě ví, čeho se bojí a co pro ně představuje existenční hrozbu. Je ale mnoho firem, které to jenom tuší, nevědí, nebo mají rizika seřazená špatně. Důležité je, aby si vedení sedlo k jednomu stolu a zamyslelo se nad tím, jaké služby tvoří základ jejich podnikání, co jim generuje zisky. Na jakých procesech tyto služby stojí? Co je pro ně klíčové a bez čeho se zhroutí?
Zatímco pro jednu firmu může být likvidační zašifrování a nedostupnost dat, pro jiné je větší hrozbou jejich zveřejnění, zatímco pro třetí data samotná nemají velkou hodnotu. Třeba proto, že její podnikání je postavené na veřejně dostupných datech nebo datech snadno nahraditelných a jejich dalším zpracování. Naopak ale potřebuje maximální dostupnost služeb. Pro další společnosti je zase klíčová integrita dat, tedy 100% jistota, že nemohla být kýmkoli změněna.
Ačkoli na toto jak my, tak řada dalších bezpečnostních firem upozorňujeme opakovaně, stále se setkáváme s tím, že některé společnosti tuto oblast podceňují. Přitom takové cvičení v zásadě nic nestojí a firmám umožní se posunout v jejich úvahách o bezpečnosti výrazně kupředu,“ říká Radim Kozák, SOC Security Architect z ANECTU s tím, že v praxi se stává i to, že firmy sice mají snahu řešit svoji kybernetickou bezpečnost, ale zaměřují se zbytečně na oblasti, které pro ně nejsou tak důležité. Jinými slovy, nevyužívají rozpočty na bezpečnost, které jsou vždy omezené, dostatečně efektivně.
 

Analýza rizik by měla být svázaná s rozpočtem

Potom, co si firma uvědomí své kritické procesy, přichází na řadu klasická analýza rizik. Zde se klasifikují všechna firemní aktiva, (prvky, které mají pro firmu nějakou hodnotu) z pohledu jejich důležitosti. Ať už jde o informační systémy a služby nutné pro zajištění chodu organizace či jiná fyzická i logická aktiva. Zároveň se identifikují hrozby, které mohou tato aktiva ohrozit, míra rizika a náročnost nápravy. Výsledkem bývá tabulka nebo jiný přehled rizik. 
Zde je potřeba opět upozornit na to, že jde o klíčovou věc, kterou je třeba brát vážně. Některé firmy mají tendenci analýzu rizik vnímat jako regulatorní obtíž a odbýt jen do té míry, do jaké obstojí před případným auditem. Jejím smyslem je ale vhled do toho, co se může stát, kolik času a peněz bude stát náprava, a následné rozhodnutí, jestli toto riziko akceptuji, nebo ne. A co začnu řešit nejdříve. Proto vždy doporučujeme, soustřeďte se na obsah, ne na formu,“ říká Petr Mojžíš. 
Dobré řízení rizik je přitom podle něj spjaté s plánováním rozpočtu. „Ve chvíli, kdy je řízení rizik ve stejné tabulce jako firemní rozpočet, mitigace jednotlivých rizik mají přidělené financování a časové rámce, tak je zřejmé, že se firma posouvá vpřed a že na to má vyčleněné prostředky,“ doplňuje. Naopak pokud je tabulka s riziky rok neotevřená v nějaké zapomenuté složce a nikdy se nedostala k finančnímu řediteli, je těžké udržovat kybernetickou bezpečnost na vysoké úrovni. 
A to včetně toho, že pokud se pořizuje nějaký nástroj, tak je vhodné, aby to byl ten, který přinese v dané situaci nejvíce užitku za nejméně peněz. A zároveň je třeba myslet na to, že tento nástroj musí někdo obsluhovat. „Součástí strategických plánů by vždy měly být i časové dotace a náklady na personál. Občas se stává, že firma investuje do nějakého bezpečnostního řešení, ale to potom nemá kdo obsluhovat. Pokud zde není nikdo, kdo vyhodnocuje bezpečnostní reporty a iniciuje nápravy u důležitých zranitelností, nemá sebelepší nástroj prakticky žádný smysl,“ upozorňuje Radim Kozák.

Když firmy vědí, co chtějí chránit a před čím, mohou se pustit do práce

Na těchto základech, které mohou být pro řadu firem samozřejmostí, ale je vždy dobré na ně upozornit, je možné se pustit do dalšího kroku, a tím je příprava plánů reakce. Zde už je situace komplikovanější a vrstevnatější. Firmy by měly vypracovat Business Continuity plány, které kromě IT zahrnují i další rizika přerušení byznysu a reakce na tyto události. Stejně tak je vhodné zpracovat Disaster Recovery plán, který krok po kroku popisuje, jak probíhá obnova systémů po incidentu (ať už jde o kybernetický útok nebo jinou příčinu).
Ve chvíli, kdy jsou tyto plány hotové, je možné je projít a otestovat jejich funkčnost. Zde ještě nejsme na úrovni klasického netechnického table-top cvičení, ale už jsme ve fázi testování a ověřování. Postupujeme zde krok po kroku tak, jak je uvedeno v plánech, a ptáme se, zda je každý krok popsaný dostatečně podrobně a jasně a jestli tyto kroky odpovídají produkční realitě, jsou realizovatelné a vedou k potřebnému cíli,“ popisuje Radim Kozák. Ve chvíli, kdy je ověřená jejich funkčnost, je možné začít testovat, jaká je jejich znalost a jak jsou využívané ve chvíli skutečné krize.

Incident Response není možné dopodrobna naplánovat

Zatímco oblast kontinuity firemního provozu nebo zálohování a obnovy dat lze naplánovat poměrně přesně a dobře, u reakce na kybernetické incidenty toto není efektivně možné. Existuje sice řada Incident Response frameworků, podle kterých lze připravit nějaký základní plán, což je něco, co ANECT obecně doporučuje. Ideální je věnovat se chvíli rešerším na webu a najít plány, které odpovídají hlavním vnímaným rizikům, a ty si následně upravit. Výsledný plán ale bude často spíše sadou obecných pravidel typu „co uděláme, když se něco stane“.
 „Hlavním důvodem je fakt, že množina možných incidentů je příliš široká na to, aby bylo možné se věnovat podrobně všem, a to i pokud bychom se ji snažili přizpůsobením pro konkrétní organizaci snižovat. Druhým důvodem je fakt, že si často nemůžeme být zcela jistí, co se aktuálně děje. Pokud jsme například zaznamenali neoprávněný přístup do sítě, může to znamenat, že jsme minuty od katastrofy, protože na nás útočí schopná hackerská skupina. Ale stejně tak se může stát, že tato událost nebude mít na provoz žádný vliv, protože jde o nějaké dílčí pochybení zaměstnance“ vysvětluje Petr Mojžíš. V takovém případě je podle něj potřeba situaci technicky vyhodnotit i na úrovni byznysu a rozhodnout, co udělat dále. Například to, zda odstavit provozní servery, dokud se celá záležitost neprošetří, není vůbec jednoduchá otázka. V těchto situacích tedy nelze pouze slepě následovat body v plánu, ale je třeba se rozhodovat na základě reálných dat a expertních odhadů situace.
Dalším důvodem je potom fakt, že čím více konkrétních plánů firma bude mít, tím menší bude jejich reálná znalost klíčovými lidmi a také využitelnost. Proto se firmám vyplatí mít vlastní Security Incident Response Managery. V Česku zatím nevidíme příliš mnoho firem, které by tuto pozici obsazovaly. Mezi hlavní důvody patří nedostatek lidí a také náklady spojené s obsazením takové pozice. Přesto by se o to firmy měly snažit, případně v oblasti reakce na incidenty spolupracovat s externími SOC týmy.

Začít od konce nakonec není vždy špatně

Ve chvíli, kdy má společnost jasno v tom, čeho se bojí, má to chráněné a má zpracované základní plány, může se rozhodnout otestovat nějakou konkrétní situaci pomocí netechnického table-top cvičení. Jak už bylo zmíněné v předešlém článku, tato cvičení může podstoupit i v případě, že tyto postupy definované nemá. Výsledkem však bude jenom uvědomění, že je potřebuje. „Zde je možná dobré zdůraznit, že začít od konce nakonec může být pro mnoho firem přínosné. Ne proto, že by je takové cvičení připravilo na budoucí možný útok, ale jako určité probuzení a impulz pro to, pustit se do opravy základů. Celý proces, který jsme zde velmi jednoduše popsali, totiž může klidně zabrat rok a více a pro management může být těžké pochopit, proč je to potřeba, případně udržet u tématu manažerskou pozornost. Pokud si ale v rámci cvičení projdou emotivní a náročnou situací, ve které dochází ke kolapsu provozu a nikdo neví, co dělat, bude snazší celý proces posouvat dopředu a dotáhnout do zdárného konce,“ uzavírá Radim Kozák.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

APN Promise: partnerství pro skutečný růst

Image___2025_07_23T144538.475.jpgUž více než 30 let pomáháme firmám naplno využívat technologie pro jejich efektivní růst. Z malé společnosti v Polsku jsme se vypracovali na mezinárodního hráče, který podporuje rozvoj podniků na mnoha trzích. Naším cílem je dodávat moderní řešení a budovat dlouhodobé vztahy, které přinášejí výsledky.