facebook LinkedIN LinkedIN - follow
IT SYSTEMS 7-8/2023 , ITSM (ITIL) - Řízení IT , IT Security

Odkud začít s přípravou na NIS2 a navazující novelu zákona o kybernetické bezpečnosti



Nový zákon o kybernetické bezpečnosti přinese firmám celou řadu nových povinností. Pro firmy tak může být těžké určit, kterými částmi se mají zabývat přednostně a čemu se můžou věnovat později. Odborníci z technologické společnosti ANECT proto vytipovali 9 nejdůležitějších oblastí, které jsou z pohledu praktické ochrany proti kybernetickým útokům klíčové a kterými se proto vyplatí začít.


1. Začněte se vzděláváním managementu

Prováděcí vyhlášky k novému zákonu stanovují, že za přijetí vhodných opatření k minimalizaci kybernetických hrozeb bude zodpovědné vedení firem. To zároveň musí zajistit pro sebe i zaměstnance školení v oblasti kybernetické bezpečnosti. Jelikož finální schvalování jednotlivých opatření a rozhodnutí o tom, do jakých opatření budou společnosti investovat, je zodpovědností vedení, je vhodné začít právě jeho školením. Vedoucí představitelé firem díky tomu budou lépe rozumět jednotlivým rizikům a budou mít také přehled o možnostech, kterými je lze snižovat.

2. Aktualizujte firemní bezpečnostní politiky

Vytvoření bezpečnostních politik je z firemního pohledu nejen užitečné, ale také účinné a nízkonákladové řešení. Jde o soubor základních pravidel, která definují to, co chce firma chránit a jak se chce chránit. Už jen zjištění, zda na určitou oblast existují firemní pravidla, případně jestli jsou někde popsaná, posouvá úvahy o firemní bezpečnosti kupředu mílovými kroky. Ve chvíli, kdy si navíc společnost tyto zásady definuje, často si rovnou odpoví na otázku, jak je na tom aktuálně s ochranou proti kybernetickým útokům i dalším hrozbám. Jan Goll„Zvlášť u menších společností tak v řadě případů odpadá nutnost provádět takzvanou GAP analýzu, tedy analýzu toho, v jakých oblastech firmy plní nové normy, a v jakých nikoli. Ve chvíli, kdy definujeme bezpečnostní politiky, okamžitě zjistíme, jaké oblasti má daná společnost vyřešené dobře a jaké nikoli,“ vysvětluje Jan Goll, senior security consultant společnosti ANECT.

3. Rozdělte firemní síť na více segmentů, oddělte je dostatečnou bariérou

Takzvaná segmentace firemní sítě neboli její rozdělení do menších celků je jedním ze základních předpokladů ochrany proti jakémukoli sofistikovanějšímu kybernetickému útoku. Pokud totiž síť není rozdělená na menší části a zařízení spolu mohou komunikovat bez omezení, stačí útočníkovi pro napáchání nevratných škod získat kontrolu nad jakýmkoli zařízením. Jakmile se mu to povede, dokáže se z něj dostat v zásadě ke všem firemním datům.

Ve chvíli, kdy je firemní síť rozdělená na menší celky a do částí, ve kterých se nachází citlivá firemní data, je omezený přístup (například se k nim lze dostat jen z některých počítačů umístěných přímo ve firmě), mají útočníci svoji práci mnohem těžší. Zároveň se zvyšuje šance, že napadení firemní sítě bude odhaleno dříve, než budou moci napáchat větší škody.

4. Získejte přehled o tom, jak spolu jednotlivá zařízení v síti komunikují

Jedním z dalších bezpečnostních opatření, které nový zákon skrze prováděcí vyhlášky vyžadují, je detekce kybernetických a bezpečnostních událostí. Firmy by zjednodušeně řečeno měly využívat nástroje, které jim umožní zjistit, že se v jejich síti děje něco, co by se dít nemělo.

Tato část je z pohledu praktického dopadu pro firmy jednou z nejdů­le­ži­těj­ších, zároveň jde o opatření, které není příliš drahé a které je možné aplikovat poměrně rychle. Řešením je v tomto případě nasa­ze­ní speciálních aplikací (XDR, Extended Detection and Response), které monitorují chování koncových bodů (nejčastěji počítačů, ale i mobilních zařízení, serverů apod.) a v případě, že se chovají nestan­dard­ně, samy reagují nebo upozorní správce sítě nebo dohledové centrum. Ti mohou podezřelou aktivitu prozkoumat a případně proti ní zasáhnout. „Většina kybernetických útoků přirozeně začíná v samotných počítačích nebo v dalších komponentech připojených k firemní síti. Skutečně pokročilé nástroje typu XDR přitom podle našich zkušeností dokážou řešit až 80 % takových incidentů,“ říká Petr Mojžíš, security architect ve společnosti ANECT.

Tyto nástroje nabízí celá řada renomovaných výrobců. Petr MojžíšPodle Mojžíše, by si ale firmy měly dát pozor na to, jestli řešení, které si objednávají, skutečně tuto pokročilou ochranu poskytuje. „Většina dodavatelů tyto nástroje poskytuje jako licencovanou službu, což má pro firmy řadu výhod, ale může to skrývat i určitá rizika. Jedním z nich je forma licence a to, co je v jejím rámci skutečně dodávané. Ve své praxi jsme se setkali i s případy, kdy si firmy objednaly určité řešení v domnění, že jde o komplexní ochranu jejich firemní sítě, ale ve skutečnosti dostaly jen o něco pokročilejší antivir. Problém přitom nebyl v samotném řešení, ale právě v tom, o jaký typ licence šlo,“ říká.

5. Ukládejte informace o komunikaci v síti

Společnosti budou muset také zaznamenávat relevantní bezpečnost­ní a provozní události. Společnostem tedy nebude stačit, že mají přehled o komunikaci v síti, ale klíčové části této komunikace si budou muset někam ukládat. Jaké události to jsou, si přitom společ­nost do určité míry může definovat sama. Správné nastavení rozsa­hu monitorovaných dat přitom nemusí být pro firmy jednoduché. Subjekty spadající pod režim vyšších povinností budou muset tyto záznamy ukládat 18 měsíců, subjekty v režimu nižších povinností potom 12 měsíců. Pokud bude společnost monitorovat a ukládat příliš mnoho informací, může se jí to kvůli vysokému objemu dat zbytečně prodražit. Na druhou stranu, pokud rozsah monitorovaných informací nebude dostatečný, ztrácí celá aktivita smysl a veškeré vynaložené náklady můžeme s trochou nadsázky označit za vyhozené peníze.

Firmy by zároveň měly dobře zvážit, jak s těmito logy budou nakládat. „Hovoříme zde často o extrémním objemu dat, která je potřeba nejen ukládat, ale také nepřetržitě vyhodnocovat. Společnosti by proto měly zvážit například to, zda tato data budou ukládat na veřejných cloudových úložištích, nebo zda část z nich uloží ve svých datových centrech,“ říká Jan Goll. Zároveň dodává, že každé řešení má řadu výhod i nevýhod a záleží proto na situaci každé firmy, jakou cestu si zvolí.

6. Zajistěte si nepřetržitý dozor nad firemní sítí

Zejména pro režim vyšších povinností prováděcí vyhláška stanovuje také povinnost nepřetržitě vyhodnocovat kybernetické bezpečnostní události a v případě potřeby na ně adekvátně reagovat. Zde už jde tedy o aktivní monitoring, který řada firem outsourcuje do externích dohledových center, které nepřetržitě monitorují sítě zákazníků a v případě potřeby jsou schopné reagovat a podezřelou aktivitu prošetřit nebo zastavit. „Z praktického pohledu je bezpečnostní monitoring základním kamenem firemní bezpečnosti. Samozřejmě mu ale musí předcházet celá řada již zmíněných aktivit. Musíme mít přehled o tom, jaká zařízení se nám ve firemní síti vyskytují, a musíme si také správně určit, co konkrétně v síti chceme monitorovat, aby to na jedné straně dávalo finančně smysl a na druhé straně, aby byl tento monitoring funkční,“ říká Jan Goll.

Zároveň doporučuje, aby se bezpečnostnímu monitoringu věnovaly všechny společnosti. Když už totiž firmy musejí investovat do sběru dat z provozu své sítě a jejich ukládání na nějaké centrální místo, nedává příliš smysl, aby toho nevyužily a nezajistily si aktivní ochra­nu před útoky: „Ukládat data jen proto, abychom měli splněné zá­kon­né povinnosti, je z pohledu praxe vyhazování peněz oknem. Fir­my se v tuto chvíli nachází ve fázi, kdy už musely investovat pod­stat­né částky, a přitom ještě plně nesklízejí ovoce těchto investic. Pokud se totiž útočník dostane do jejich sítě, bez aktivního monito­rin­gu o tom stále nemusí mít ponětí. Proto doporučujeme všem firmám zavést alespoň minimální úroveň bezpečnostního monitorin­gu, která nemusí být v některých případech ani příliš nákladná.“

7. Otestujte svoji bezpečnost

Zákon firmám také přikazuje pravidelně testovat svoji kybernetickou bezpečnost. Zatímco v režimu nižších povinností postačí skenování zranitelností, tedy automatický test s upozorněním na to, že se ve firemní síti vyskytují už známé a popsané zranitelnosti, v režimu vyšších povinností bude potřeba využít penetračních testů, tedy aktivní snahy o napadení firemní sítě. „Tento požadavek dává smysl i z praktického pohledu. Společnosti mohou investovat do své bezpečnosti vysoké částky, ale dokud si neotestují, že vše funguje tak, jak má, nikdy nevědí, jestli jim tyto investice k něčemu byly,“ říká Jan Goll. Problémem podle něj bude kritický nedostatek odborníků, kteří jsou schopní penetrační testy provádět. Řešením proto může být jejich automatizace. „Na trhu už teď existují automatizované nástroje, které se chovají přesně jako etický hacker s tím rozdílem, že se neunaví a se svojí snahou neskončí, dokud nevyzkouší veškeré možnosti kompromitace sítě. Na druhou stranu tyto technologie jsou zatím poměrně nové, a tak i ony mají své mouchy. Ve střednědobém horizontu jde ale jednoznačně o budoucnost penetračního testování,“ říká odborník z ANECTu.

8. Uvědomte si, co chcete chránit a nezapomínejte na zálohy dat

Zákon samozřejmě firmám ukládá i celou řadu dalších povinností, jak organizačních, tak technických. Z těch nejvýznamnějších lze zmínit například kvalitní zálohování, případně řízení rizik. „Celý zákon a jeho prováděcí vyhlášky jsou vlastně o řízení rizik. Firmy by měly identifikovat svá hlavní aktiva, zjistit, co je může ohrozit a jakým způsobem, jak jsou proti těmto ohrožením chráněné, a následně přijmout příslušná opatření. Z naší zkušenosti však řízení rizik ve firmách často končí excelovou tabulkou, která neříká nic o tom, jaká je reálná úroveň zabezpečení firmy a nepomůže ani v prioritizaci investic do kybernetické bezpečnosti. Proto doporučujeme proaktivně v prvních fázích začít i s výše popsanými kroky, které by firmy měly tak jako tak podniknout. Pozornost by firmy měly věnovat zejména mandatorním požadavkům prováděcí vyhlášky, které jsou doporučeny i nejlepší praxí a jsou časově a finančně (zdrojově) náročnější,“ vysvětluje Petr Mojžíš.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.