Dělejte kyberbezpečnost pro sebe, ne pro nařízení

Nehledě na povinnost, kterou přináší směrnice NIS2, je ochrana před kyberútoky z pohledu bezpečnosti organizací klíčová a rozhodně by se neměla podceňovat. A to dokonce ani v případě, že pod směrnici vaše organizace nespadá. Každá firma by si totiž měla projít analýzou aktiv a potenciálních rizik, aby věděla, jakým způsobem má vytvořit bezpečnostní strategii a plán zvládání rizik. Tím zjistí, do čeho se má v případě zabezpečení investovat, jak tyto investice z pohledu bezpečnostních opatření prioritizovat a jak řešit návaznost jednotlivých opatření. Cílem je mít plán, který bude dávat smysl a dopomůže k postupnému rozvoji podnikové bezpečnosti.

Z pohledu nového zákona o kybernetické bezpečnosti (transpozice z NIS2) bude nutné implementovat potřebná opatření do jednoho roku od „sebeidentifikace“ a zalistování se do NÚKIB portálu. Protože je nutné vyřešit celou řadu věcí, které jsou provázané a závislé na dalších systémech, třeba i třetích stran, a mnohdy jde o komplexní požadavky zasahující do běžného fungování podniku. Je velice nepravděpodobné, že by se daly všechny požadavky do jednoho roku opravdu naplnit – tedy samozřejmě pokud se nebude pouze „natírat tráva nazeleno“. NÚKIB si je toho ale vědom a v tomto případě je zcela akceptovatelné mít vytvořený strategický plán, respektive plán zvládání rizik s implementací konkrétních požadavků, který bude rozložen v čase do několika let jak z pohledu implementace opatření, tak z hlediska nutného financování.

Časté nedostatky a rizika

Z pohledu kyberbezpečnosti existují tři typy společností. Ty, které již spadají do nějaké bezpečnostní regulace, ty, jež si již prošly nějakým útokem a poslední jsou ty, které disponují osvíceným vrcholovým managementem (těch bohužel není moc). Nedostatky jsou přitom stále stejné – chybí jim analýza aktiv, hodnocení rizik, bezpečnostní strategie a další evergreeny, mezi které patří:

• chybějící síťová segmentace;
• nedostatečná ochrana perimetru;
• nezabezpečený přístup k internetu;
• slabá nebo chybějící ochrana e-mailových služeb;
• nízké nebo chybějící zabezpečení koncových stanic;
• přespřílišné oprávnění běžných uživatelů;
• chybějící vícefaktorové ověření v kombinaci se slabými hesly a nefunkčním cyklem uživatelských identit;
• nezáplatovaný HW a SW obsahující zranitelnosti;
• nízká viditelnost v rámci síťového provozu;
• chybějící centrální log management;
• nedostatečné zálohování a chybějící plány obnovy a reakce na bezpečnostní incidenty;
• a v neposlední řadě nedostatečné školení zaměstnanců.

Budování kybernetické odolnosti

Alfou a omegou je vizibilita. Nelze chránit to, co není vidět nebo o čem nikdo neví. Proto je vhodné využívat nástroje, které viditelnost zajistí. Správci musejí rozumět přenášenému obsahu v podnikové síti, ale i v cloudu, sledovat dění na koncových bodech a detekovat anomálie spojené s uživatelskými identitami. To vše pomůže pochopit a zmapovat dění v organizaci a udržovat povědomí o zařízeních připojených k síti.

Dobrou praxí je využití koncepce zero trust. Ta předpokládá, že žádný uživatel, zařízení nebo síť nejsou automaticky důvěryhodní, a to ani v rámci firemní infrastruktury. Důraz přitom musí organizace klást i na centrální správu identit, a to i těch privilegovaných.

NIS2 je důležitá příležitost

Kybernetická bezpečnost je komplexní oblast a neexistuje pro ni žádné univerzální řešení. Její správné dodržování je vždy o lidech, procesech a technologiích. A pokud dojde k vytržení pouze jedné z těchto součástí, bezpečnost jako taková fungovat nebude. Důležitá je rovněž spolupráce mezi IT oddělením a vedením firmy.

NIS2 přitom není nic nového. Čerpá z toho, co již bylo dávno vymyšleno, tedy ze známých koncepcí. Jinými slovy, některé oblasti ze směrnice NIS2 se firmy snaží plnit již dvacet a více let – mnohdy ale stále marně. Dělejte bezpečnost pro sebe, ne pro nařízení!

Petr Kocmich, Global Cyber Security Delivery Manager společnosti Soitron