facebook LinkedIN LinkedIN - follow
IT Security , IT Security

Predikce IT bezpečnosti - není to dobré a bude hůř



AECStejně jako je tomu i v řadě dalších oborů i bezpečnostní specialisté obvykle na přelomu roku bilancují, jaká byla situace v oblasti bezpečnosti informací a ICT v tom uplynulém a snaží se predikovat, jaká by asi mohla být situace v tom nadcházejícím. Pojďme se tedy zkusit v krátkosti podívat, jaké bezpečnostní výzvy v našich zeměpisných šířkách můžeme letos čekat a zamysleme se současně i nad tím, jak bychom se s nimi mohli vypořádat a co by nám mohlo pomoci je zvládnout…


Změna je život

Svět kolem nás se neustále mění. A mění se i ten svět kybernetický, svět internetu, svět informačních a komunikačních technologií… V minulém roce se mohlo zdát, že bohužel poněkud k horšímu. Bezpečnostní rizika a hrozby cílené na informace a informační technologie jsou rok od roku závažnější. Značnou měrou k tomu přispívá i skutečnost, že internet a další moderní technologie čím dál více pronikají do našeho soukromého i profesního života. Do značné míry se na nich stáváme závislí a tedy i více zranitelní. Řada z nás si už neumí představit život bez neustálé konektivity k internetu prostřednictvím svého chytrého mobilního telefonu, bez internetového bankovnictví, bez nákupů na e-shopech, bez sociálních sítí a bez řady dalších s tímto souvisejících věcí a činností. Jsme zvyklí on-line minutu po minutě sledovat události na druhé straně zeměkoule, ale když chceme zjistit, jestli venku prší, nepodíváme se z okna, ale na meteorologický web.

Není to dobré a bude hůř

I bez přesné statistiky můžeme relativně zodpovědně prohlásit, že v minulém roce jsme byli svědky většího počtu úspěšných kybernetických útoků na organizace i jednotlivce, než tomu bylo v letech minulých. A nešlo jenom o rozsáhlé politicky motivované hackerské útoky zhusta prezentované v různých médiích, jako byly např. útoky na společnost Sony nebo některé státy a jejich složky. Osobně jako daleko závažnější vnímám např. viditelný nárůst úspěšných útoků na internetová bankovnictví prostřednictvím nedostatečně edukovaných klientů/uživatelů. Podle informací, které tu a tam prosáknou na veřejnost, způsobují tyto útoky nemalé škody, a to nejenom u chybujících jednotlivců, kteří jsou schopni uvěřit třeba tomu, že jim zrovna Česká pošta (zase) nebyla schopna doručit nějaký balík a nainstalovat si přitom do počítače nějaký další „šikovný“ malware, ale zejména na straně bank. Soudě tak také podle toho, že jejich zájem o Fraud Detection systémy a řešení se po letech laxního přístupu v závěru minulého roku poměrně prudce zvýšil. Dokonce už i řada českých firem přiznává, že již měla praktickou zkušenost s únikem svých informací a že je to stálo nemalý peníz (podle průzkumu společnosti Safetica a Komory certifikovaných účetních mezi finančními manažery až tři čtvrtiny tuzemských podniků zaznamenaly škody způsobené únikem citlivých dat a v pětině případů škoda dosáhla jednoho až pěti miliónů korun).

Za (skoro) vším hledej uživatele

Nelze to tvrdit bezvýhradně, ale důvodem velké části výše nastíněných bezpečnostních nedostatků a incidentů jsou věci, jako nedostatečná úroveň bezpečnostního povědomí uživatelů vyplývající z nedostatečné bezpečnostní osvěty, nedostatečná definice a prosazování bezpečnostní politiky v organizacích a celkově nízká úroveň firemních systémů řízení informační bezpečnosti. Jak si jinak vysvětlit situaci z praxe, kdy je uživatel schopen podlehnout relativně průhledné zámince, jako je například informace o jeho smyšlené objednávce v nějakém e-shopu, rozbalit ZIP soubor z tohoto e mailu, zde nalezený exe (nebo podobný) soubor spustit a pak se už jen divit, že mu někdo bez jeho vědomí vybral pomocí internetového bankovnictví jeho nebo ještě hůře přímo firemní bankovní účet…? Jak je možné, že člověk denně používající počítač neví, že existují útoky označované jako spear phishing, že určité typy souborů přiložené v e-mailech mohou obsahovat malware a ten může být opravdu nebezpečný…? Bohužel, musíme se už konečně smířit s faktem, že pokud chceme jakýmkoliv způsobem, ať již soukromě nebo v rámci své práce nebo podnikání, používat počítač a další moderní informační a komunikační technologie, musíme si osvojit určité základní bezpečnostní návyky a mít určité základní znalosti. Bez těchto návyků a znalostí jsme jako puberťák, který otci ukradl klíčky od jeho nového auta a zkouší se v něm projet. A je jenom otázkou času, kdy způsobíme nějaký průšvih. Užívání moderních ICT technologií s sebou jednoduše nese i určitou zodpovědnost. I když pro jejich používání (zatím) nepotřebujeme nic, jako je řidičský průkaz k řízení auta, musíme si být vědomi určitých rizik, která nás mohou potkat, a měli bychom znát i určitá „pravidla provozu“, která nás chrání před „haváriemi“. V prostředí firem a organizací to znamená, že bez určitého systému řízení informační bezpečnosti se dnes již opravdu neobejdeme. Je nutné nastavit alespoň základní bezpečnostní politiku, a to zejména směrem k uživatelům informačního systému a také směrem k používaným technickým opatřením na úrovni IT oddělení.

Kybernetická bezpečnost nově podle zákona

Minimálně do sféry české státní správy a samosprávy přináší určitá bezpečnostní pravidla tzv. Kybernetický zákon (zákon č. 181/2014 Sb., o kybernetické bezpečnosti) přijatý v minulém roce s působností od 1. ledna tohoto roku. Tento zákon společně s návaznými vyhláškami definuje minimální požadavky pro zabezpečení tzv. kritické informační infrastruktury a významných informačních systémů ve smyslu aplikace relativně konkrétních bezpečnostních opatření v rovině technické i v rovině organizační. Z větší části jde o opatření, která jsou v souladu s již obecně používanými standardy ISO 27000. Kromě toho bylo na základě zákona vytvořeno Národní centrum kybernetické bezpečnosti a tzv. Vládní CERT v rámci Národního bezpečnostního úřadu a byla definována jeho působnost vůči různým subjektům spadajícím pod kritickou informační infrastrukturu a provozujícím významné informační systémy.

Jako jeden z hlavních přínosů nového kybernetického zákona vidím také to, že konečně zde máme v rámci ČR vytvořeny určité předpoklady pro koordinovanou reakci na reálné kybernetické útoky, jejichž pravděpodobnost bohužel v poslední době spíše narůstá. Zákon dává mj. Národnímu bezpečnostnímu úřadu (resp. vládnímu CERTu) pravomoc v případě tzv. kybernetického ohrožení definovat určitá reaktivní opatření a vyžadovat jejich implementaci. Teprve budoucnost ale ukáže, jak bude zákonodárci navržený koncept opravdu účinný v praxi.

Nový kybernetický zákon je obecně vnímán jako určitý impuls k posilování bezpečnosti nejen u přímo dotčených organizací státní správy a samosprávy, případně u organizací spadajících do kritické infrastruktury, ale i u řady dalších subjektů a firem. Řada organizací, které takříkajíc „spadnou pod kritickou informační infrastrukturu“, pravděpodobně zvolí cestu vybudování (nebo dobudování) a certifikace svého ISMS. Řada dalších organizací, které jsou přímo provozovateli VIS nebo spíše pocitově vnímají, že by se v budoucnu pod působnost zákona mohli dostat, pravděpodobně zvolí spíše cestu implementace (nebo zdokonalení) bezpečnostní politiky, která bude se zákonem v souladu.

Bezpečnostní politika je základ

Možných způsobů, jak implementaci bezpečnostní politiky pojmout, je bez ohledu na motivy organizace více. Z vlastních zkušeností bych doporučil se pokud možno spíše vyhnout bezmyšlenkovitému převzetí nějaké existující šablony s jejím pouze formálním přizpůsobením podmínkám organizace. S tímto přístupem se bohužel někdy setkáváme i u organizací, jejichž cílem je certifikace ISMS. Daleko efektivnější, ale současně bohužel i pracnější, je začít s  analýzou stávajícího stavu bezpečnosti organizace a teprve na základě výsledků navrhnout potřebná bezpečnostní opatření a tato zpracovat do formy bezpečnostní politiky, případně další bezpečnostní dokumentace. V případě, že organizace směřuje k certifikaci ISMS, je samozřejmě nutné provedení plnohodnotné analýzy rizik, na jejímž základě jsou opatření navržena.

Pokud je bezpečnostní politika organizace pouze formální dokument bez těsné vazby na její vnitřní i vnější podmínky, nemůžeme očekávat, že bude mít nějaký efekt ve smyslu nastolení určité požadované úrovně bezpečnosti. Taková bezpečnostní politika nemotivuje zaměstnance k dodržování jednotlivých opatření.

Dalším způsobem, jak bezpečnostní politiku přiblížit zaměstnancům, je vytvoření další návazné bezpečnostní dokumentace, která bude mít pro ně „stravitelnější“ formu. Jde např. o různé uživatelské bezpečnostní příručky, které mohou být zaměřeny na specifické situace, pracovní pozice, procesy apod.

Samozřejmě, že je třeba bezpečnostní politice (a bezpečnosti obecně) udělat vhodnou interní propagaci tak, aby všichni zaměstnanci napříč organizací viděli smysl jednotlivých bezpečnostních opatření. Vhodným způsobem je např. praktické cvičení pomocí testů metodami sociálního inženýrství, kdy jsou uživatelé vystaveni simulovaným útokům externího útočníka, který se jim např. snaží podstrčit simulovaný malware, nebo z nich vyloudit citlivé informace. Předmětem takových testů může být i ověření reakce jednotlivých oddělení organizace a fungování obranných procesů. Osobně mám s tímto typem testů veskrze pozitivní zkušenost, mj. i v tom, že informace o testování prochází neformálními komunikačními kanály organizace a jednotlivým zaměstnancům ulpívá hluboko v paměti. Při opakovaných testech je pak úspěšnost simulovaného útočníka zpravidla mnohem nižší.

Závěrem

I když je informační a ICT bezpečnost často hlavně o moderních technologiích, musíme s jejím řešením začít u jejího nejméně dokonalejšího článku – uživatele/zaměstnance. Doufejme, že budeme i v tomto roce schopni svoje organizace a její zaměstnance dostatečně chránit před stávajícími i novými hrozbami, které přijdou. Pokud k tomu budeme přistupovat s rozmyslem a s důrazem na efektivnost jednotlivých bezpečnostních opatření, máme velkou naději, že se nám to podaří.

Ing. Petr Nádeníček, AEC Ing. Petr Nádeníček
Autor článku, Ing. Petr Nádeníček působí jako Senior IT Security Consultant ve společnosti AEC, spol. s r.o.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.