facebook LinkedIN LinkedIN - follow

Soulad s normou nemusí znamenat bezpečnost

ALEFNemusíme se vracet daleko do minulosti, aby bylo možné pozorovat IT oddělní velkých společností, jak se soustředí téměř výhradně na efektivitu poskytovaných služeb pro primární účely organizace. Proč také ne? Informační bezpečnost byla výsadou několika málo oborů a většina organizací si vystačila s firewallem a antivirovým programem.


O hrozbách se mluvilo zejména v souvislosti s fyzickou bezpečností a přírodními katastrofami a reálně identifikovaných bezpečnostních incidentů v České republice se dalo napočítat ročně na prstech jedné ruky. Tato doba je však již nenávratně pryč.

Masivní rozvoj digitalizace a automatizace do všech odvětví lidské činnosti způsobil nepostradatelnost informačních systémů pro provoz organizací. Tato závislost v kombinaci se stále větší komplexností a systémovou provázaností však v sobě skrývá velké úskalí v podobě rizika ohrožení bezpečnosti a tedy i chodu celé organizace. Ochrana informačních aktiv se tak zákonitě musela stát nedílnou součástí každé organizace, která to s bezpečnostní myslí opravdu vážně. Bezpečnost je samozřejmě alfou a omegou naší společnosti ALEF a pomáháme s ní i řadě významných firem, díky čemuž dlouhodobě zblízka vnímáme, jak její úloha roste.

Soulad s právem i oborovými standardy

Ve snaze zajistit informační bezpečnost na požadované úrovni, zejména v oblasti poskytování klíčových služeb pro společnost, byl v roce 2014 v České republice přijat legislativní rámec definovaný zákonem č.181/2014 Sb. o kybernetické bezpečnosti a jeho prováděcí dokumentací. Povinným subjektům dle této normy vznikla celá řada povinností na provedení technických a organizačních opatření včetně nezbytné bezpečnostní dokumentace. Ani vývoj legislativy v oblasti kybernetické bezpečnosti na mezinárodní úrovni nezůstal pozadu. V roce 2016 vešla v platnost směrnice Evropského parlamentu a Rady (EU) 2016/1148 o opatřeních k zajištění vysoké úrovně bezpečnosti sítí a informačních systémů v Unii, která stanovila členským státům nejzazší uvedení vnitrostátní legislativy do souladu s touto normou. V rámci harmonizace evropského práva došlo v roce 2017 k transpozici směrnice 2016/1148 do zákona o kybernetické bezpečnosti, což s sebou bezesporu přineslo nové požadavky na dotčené organizace. Paralelně však vznikal další důležitý evropský dokument, který není možné ignorovat. V roce 2016, s účinností k 25. 5. 2018, vstoupilo v platnost nařízení 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, které vyžaduje aplikaci mnoha dalších opatření po subjektech podléhajících této normě. Pravdou je, že všeobecná panika způsobená touto nornou, byla částečně uklidněna s účinností zákona č.110/2019 Sb. o zpracování osobních údajů. Nicméně dodržování požadavků definovaných dikcí výše uvedených legislativních opatření je kontrolováno ze strany příslušných státních úřadů a nesoulad s normou může být příčinou udělení sankce. Vedle výše zmíněných norem však celá řada organizací podléhá svým oborovým bezpečnostním standardům a normám, které jsou vyžadovány za účelem zajištění vysoké úrovně bezpečnosti informačních systémů a zpracovávaných dat. Nesoulad s takovým standardem sice většinou nesouvisí s přímou finanční sankcí, ale může mít devastující vliv na organizaci v podobě zákazu či omezení některé z jejích činností, což ve výsledku může zapříčinit významnou ekonomickou ztrátu.

Riziko Potěmkinových vesnic

Dopad všech těchto bezpečnostních požadavků v kombinaci s nedostatkem lidských a finančních zdrojů napomohl vzniku zajímavého, ale velmi nebezpečného, fenoménu, který by se snadno dal přirovnat k efektu Potěmkinových vesnic. Odpovědní manažeři povinných subjektů se pod tíhou rizika spojeného s udělením sankce ze strany regulátora snaží za každou cenu úspěšně projít auditním řízením. Jinými slovy, potenciální sankce či jiná ekonomická ztráta spojená s nesouladem s normou či standardem se stává pro organizaci rizikem v kritické úrovni, jež je třeba mitigovat nebo v ideálním případě eliminovat. Úroveň rizika je tak možné vyjádřit funkcí, kterou definuje dopad, tedy sankce či případná ztráta, dále hrozba v podobě auditu a nakonec zranitelnost, kterou zastupují nenaplněné body regulace či standardu. První veličina je v podstatě konstanta, neboť maximální možná úroveň sankce bývá definována normou a organizace nemá přímý vliv na její výši. Ani pravděpodobnost realizace auditu ze strany regulátora v běžné praxi není možné organizací snížit. Tedy jedinou veličinou, na kterou se firma musí zaměřit je zranitelnost v podobě nenaplnění jednotlivých ustanovení příslušné legislativy. Žádná organizace však nedisponuje neomezeným množstvím zdrojů. Jak tedy naplnit literu zákona a neposlat firmu do ztráty? Již od základní školy je všem jasné, že aby člověk úspěšně absolvoval zkoušku, není třeba umět všechno. Analogický a tedy velice pragmatický přístup velí učinit taková minimální opatření, aby proběhlo auditní řízení bez závažného nálezu. Navíc auditor nikdy nemá prostor pro detailní kontrolu veškerých opatření. Pokud auditní zpráva neobsahuje nesoulad, regulátor eviduje další podnik s bezpečným řízením informací a všichni jsou spokojeni.

Ohlídat kritické oblasti bezpečnosti

Tato konstrukce však v praxi dlouho neobstojí. Norma či standard nutí zavádět určitá opatření a sankce je spojena s vynucováním těchto pravidel. Primárním cílem však není soulad s normou za každou cenu, ale zajištění dostatečné úrovně bezpečnosti. K čemu je tedy například implementovaný SIEM nástroj v organizaci, pokud nejsou k dispozici lidské zdroje na interpretaci jeho výstupů? I v tomto případě platí, že méně je někdy více. Organizace by se měla zaměřit zejména na kritické oblasti bezpečnosti. Norma, standard či metodika může být návodem při budování bezpečnostní strategie. Chybějící interní zdroje mohou být outsourcovány ze strany renomovaných společností. Je potřeba zdůraznit, že bezpečnost není statická a tedy tvrzení, že prostředí je bezpečné nemusí platit dlouhou dobu. Na bezpečnosti je třeba neustále pracovat, neboť i potenciální útočníci vymýšlejí stále nové a sofistikovanější metody, jak organizacím znepříjemnit život. To však také dává určitý časový prostor pro zavedení efektivních bezpečnostních opatření do prostředí organizace. Není tedy důležité ošetřit všechno a hned, ale postupnými kroky zdokonalovat systém řízení bezpečnosti tak, aby byly efektivně ošetřeny pro firmu kritické prvky z hlediska důvěrnosti, dostupnosti a integrity. Takový je nakonec v současnosti i hlavní cíl v podstatě všech norem, které požadují na základě risk-based přístupu postupně pracovat na neustálém zlepšování bezpečnostních opatření. Často však firmy neadekvátně interpretují legislativní úpravu a snaží se dokazovat, že mají vyřešené vše na 100%, nicméně toto není ani z pohledu regulátora vyžadováno. Škody spojené s bezpečnostními incidenty na oko zabezpečené organizace, byť v souladu s legislativou, bývají často mnohem závažnější než sankce udělená regulátorem.

Situace na poli bezpečnosti informací bude pravděpodobně čím dál složitější a pro laika stále méně přehledná. Vývoj v oblasti informačních technologií s sebou přináší nové vektory útoků a tedy i nutnost se před nimi chránit. Disponovat vlastními lidskými zdroji na všechny tyto oblasti si budou moci dovolit pouze velké organizace. Ani vývoj v oblasti legislativy však nesmí zůstat pozadu. Je tedy třeba počítat s dodatečnými úpravami a neustálým posilováním regulace v oblasti bezpečnosti. Buďte tedy připraveni…

Radek Švadlenka Radek Švadlenka
ALEF security team