Je ochrana kritické informační infrastruktury dostatečná?

15. 10. 2010

Sdílet

Společnost Symantec zveřejnila výsledky studie Ochrana kritické informační infrastruktury. Ze studie vyplývá, že 53 %  subjektů kritické infrastruktury bylo v posledních 5 letech průměrně 10krát napadeno kyberkriminálníky. Průměrné náklady na takový útok údajně činily 850 000 USD (16 milionů Kč). Výsledky studie rovněž ukázaly, že nejlépe jsou připraveny čelit útokům energetické společnosti, zatímco nejhůře je na tom odvětví komunikací. Subjekty kritické infrastruktury mají zásadní význam pro národní ekonomiky i celou společnost, a úspěšný útok by mohl ohrozit národní bezpečnost.

Nejdůležitější informace ve zprávě „Ochrana kritické informační infrastruktury“:

•    Subjekty kritické infrastruktury jsou terčem kybernetických útoků. 53 % subjektů má podezření, že byly cílem politicky motivovaného útoku. Společnosti průměrně uvádí, že byly v posledních 5 letech 10krát cílem útoku. 48 % subjektů očekává další útok i v příštím roce a 80 % věří, že frekvence podobných útoků bude narůstat.
•    Útoky jsou účinné, ale také velmi nákladné. Respondenti odhadli, že 3 z 5 útoků byly dokonce velmi efektivní. Průměrné náklady na takový útok byly 850 000 USD.
•    Prostor pro další zlepšení existuje. Jen 1/3 subjektů kritické infrastruktury se cítí důkladně připravena na všechny typy útoků. Naopak 31 % je připraveno jen velmi málo. Respondenti vidí další prostor pro zlepšení v bezpečnostních školeních, v pochopení hrozeb vedením firem, v zabezpečení koncových zařízení, v rychlosti bezpečnostní odezvy a v bezpečnostních prověrkách. Nejhůře připravené jsou podle studie malé podniky.

Doporučení pro subjekty kritické infrastruktury:

•    Vyvinout a prosadit IT politiku a automatizovat ověřovací procesy. Důležité je určit rizika a jejich pořadí podle závažnosti a definovat bezpečnostní politiku. Vynutit bezpečnostní zásady usnadní i automatizace a workflow. To umožní nejenom identifikovat hrozby, ale také incidentům předejít.
•    Proaktivně chránit informace. Zabezpečení informací umožňuje zjistit, kde se citlivé informace skutečně nachází, kdo k nim má přístup a jak je chránit ve chvílích, kdy je společnost přijímá nebo odesílá. K zabezpečení informací je ideální využívat šifrování a zamezit k nim přístupu nepovolaných osob.
•    Využívat řešení k ověřování identity, aby přístup k systému měli jen povolaní zaměstnanci. Ověřování rovněž funguje jako prevence před zneužitím, jelikož systém prověřuje, zda je identita zařízení, systému nebo aplikace důvěryhodná.
•    Pro správu systémů využívat bezpečné operační prostředí, definovat a prosazovat různé úrovně přístupu, automatizovat procesy, zajistit stálý výkon a průběžně sledovat stav systému.
•    Chránit infrastrukturu zabezpečením koncových bodů, webu a přijímání i odesílání zpráv. Prioritou by rovněž mělo být zabezpečení kritických interních serverů a použití zálohování a obnovy dat. Společnosti také potřebují transparentnost celé strategie a odpovídající znalosti, aby mohly na hrozby reagovat rychle.
•    Zajistit nepřetržitou dostupnost a implementovat bezpečné testovací metody. S virtuálním prostředím je nutné zacházet stejně jako s fyzickým. Společnosti si musí osvojit více nástrojů přizpůsobených pro práci napříč různými prostředími a platformami nebo se orientovat na méně platforem.
•    Vyvinout strategii správy informací. Organizace se potřebují zbavit záložního zálohování a deduplikace dat a nahradit je plnohodnotným archivačním systémem a pokročilými technologiemi prevence ztráty dat.

Doporučení pro vlády:

•    Vlády by měly nadále investovat do zabezpečení kritické infrastruktury a vytvářet programy pro bezpečnost kritické infrastruktury.
o    Většina subjektů kritické infrastruktury potvrzuje, že programy pro bezpečnost kritické infrastruktury znají.
o    Většina subjektů kritické infrastruktury podporuje vládní snahu vytvářet tyto bezpečnostní programy.
•    Vlády by měly spolupracovat s oborovými asociacemi a soukromými společnostmi a dále rozšiřovat povědomí o plánech a organizacích, které se věnují zabezpečení kritické infrastruktury. Vždy by měl být k dispozici plán, jak reagovat tváří v tvář celostátnímu kybernetickému útoku, jaká je role vlády, kdo jsou kontaktní osoby pro dané odvětví na regionální a celostátní úrovni a jak vláda a soukromé subjekty sdílejí informace v případě nouze.
•    Vlády by měly zdůrazňovat, že pouze zabezpečení nestačí k ochraně před útoky kyberkriminálníků. Subjekty kritické infrastruktury a podniky obecně by měly také zajistit, aby jejich informace byly uložené, zálohované, strukturované, s přiřazenou prioritou a dostupné jen ověřeným uživatelům.

Výzkum byl proveden v srpnu 2010  mezi 1580 zaměstnanci subjektů kritické infrastruktury z 15-ti zemí a 6-ti průmyslových odvětví.

Našli jste v článku chybu?