Kyberbezpečnost nezávisí jen na technologiích, ale primárně na dobře proškolených lidech a správně nastavených procesech, říká Milan Ryšavý, Security Team Leader divize Cloud & Security společnosti Seyfor. Dnešní technologická opatření mohou být extrémně robustní, ale je nutné vyvážit potenciální rizika a škody oproti investicím do kyberbezpečnosti, nebo raději řekněme do kybernetické odolnosti podniku, vysvětluje specialista na architekturu kybernetické bezpečnosti.

O kybernetické bezpečnosti firem se často hovoří především v souvislosti s prací na dálku. Znamená to, že podnikům, které ji svým zaměstnancům neumožňují, tak velká rizika nehrozí?

Určitě ne. Především je potřeba si uvědomit, že nějakou formu vzdáleného přístupu dnes využívá naprostá většina firem a organizací. Už jen proto, že stále větší podíl podnikových aplikací neběží přímo ve firmě, ale kdesi v cloudu. Také styl naší práce se změnil. Jsme více v pohybu, máme potřebu spolupracovat a sdílet data a také pracujeme na různých zařízeních. Mimo to komunikujeme i s partnery a zákazníky, se kterými si rovněž potřebujeme vyměňovat data. Firma už prostě nemůže být izolovaným ostrůvkem, takže klasické pojetí bezpečnosti ve smyslu ochrany v rámci perimetru podnikové sítě už jednoduše neplatí a naopak celý internet můžeme považovat za novou podnikovou síť.

Hodně firem se ale nasazení různých cloudových aplikací a služeb stále brání. Neznamená to ale, že si je zaměstnanci pořídí sami, bez kontroly a pravidel podnikového IT?

S tím se bohužel setkáváme poměrně často. Pokud firemní IT neposkytne zaměstnancům nástroje, které potřebují například pro sdílení dat při práci na projektech nebo při komunikaci s dodavateli a zákazníky, zajistí si je sami. To pak ale znamená, že takové aplikace nejsou ze strany IT vůbec řízeny a data, se kterými se v nich pracuje, nejsou odpovídajícím způsobem zabezpečená. Proto našim klientům vždy doporučujeme zjistit potřeby vlastních zaměstnanců a řízeným způsobem jim poskytnout odpovídající nástroje – ať už v cloudu, nebo v podobě lokálně spravovaných aplikací, samozřejmě s odpovídající úrovní zabezpečení. A samozřejmě je potřeba naučit s nimi uživatele také bezpečně pracovat.

Neposkytuje stále větší úroveň digitalizace informací a umístění dat v cloudu i větší prostor pro úmyslně škodlivé jednání zaměstnanců?

Vždy je nutné balancovat uživatelský komfort při práci a adekvátní úroveň zabezpečení informací. Často se při hledání tohoto rovnovážného stavu v rámci každé organizace jedná více o umění než o vědu. Jde o iterativní proces, který vychází i z povahy její činnosti, a tedy určení, jaké informace jsou pro ni klíčové a představují její unikátní „informační zlato“. Jiný rizikový potenciál – a tím potřebu informace více zabezpečit na účet vyššího omezení uživatelů – mají například zdravotnické organizace, pracující s extrémně citlivými osobními údaji, a jiný třeba výrobní podniky. Samozřejmě jde také o množství dat, která je třeba chránit, a okruh osob, které s nimi pracují. Na ta nejcitlivější data pak aplikujeme nejvyšší úroveň ochrany, i za cenu značného omezení uživatelů. Takové oddělení „zrna od plev“ je důležité i z hlediska efektivního řízení nákladů na zabezpečení dat – rozpis směn nemá smysl chránit tak silně (a nákladně) jako třeba popisy unikátních výrobních postupů.

Zvládají české podniky takovou optimalizaci úrovně zabezpečení?

V praxi často vidíme, že moc ne. Pohybujeme se mezi dvěma extrémy. Na jedné straně nasazují podniky maximální restrikce, které zaměstnancům do značné míry brání v práci. To bohužel často vede k tomu, že si poté zaměstnanci hledají vlastní, neřízená řešení, a cíl se tak míjí s očekávaným záměrem. No a pak je řada firem, které naopak nehlídají prakticky nic, respektive mají na všechna data nasazena stejně slabá bezpečnostní opatření.

S jakými hrozbami se musely české firmy v loňském roce potýkat nejčastěji? Liší se oproti ostatním zemím?

Společnosti s veřejně dostupnými systémy, jako jsou e-shopy nebo třeba banky, trápily hlavně útoky typu DDoS, tedy zahlcení jejich služeb falešnými požadavky s cílem vyřadit daný systém z provozu. Druhou velkou skupinou jsou cílené útoky za účelem získání citlivých dat. Jde typicky o citlivé údaje organizace nebo rovnou o průmyslovou špionáž. A pak je zde samozřejmě ransomware, který zašifruje data organizace, aby kyberzločinci mohli požadovat výkupné za jejich opětovné zpřístupnění. Tento typ útoků se průběžně vyvíjí a stále častěji mu předchází právě odcizení dat. Pak má útočník na svoji oběť větší páku. Protože i když lze data obnovit ze záloh, stále je možné hrozit jejich zveřejněním, což představuje pro organizace reputační riziko i riziko případné pokuty ze strany regulátora. Pokud jde o srovnání se zahraničím, je situace velmi podobná, navíc se ani nějak zásadně nemění v průběhu posledních několika let. Samozřejmě až na zmíněnou „evoluci“ ransomwarových útoků.

Mají firmy vůbec nástroje na zjištění průniku do své sítě a odcizení dat?

To je bohužel velký nedostatek v bezpečnostní architektuře mnoha organizací. Nemají vybudované detekční schopnosti a útok odhalí často až ve chvíli, kdy jim ransomware zašifruje data. Často trvá týdny, než firma zjistí, že se stala terčem úspěšného kyberútoku. A někdy zjistí únik dat, až když jsou zveřejněna na internetu. Problém je to i z hlediska legislativy, protože nový zákon o kybernetické bezpečnosti, vycházející z evropské regulace NIS2, vyžaduje od povinných subjektů hlášení incidentů. A těžko můžeme hlásit něco, o čem vůbec netušíme, že se stalo, protože nemáme technická a organizační opatření, která nám detekci útoků umožní.

Může to pro firmy podle připravované legislativy znamenat riziko postihu?

Povinné subjekty v režimu vyšších povinností budou muset hlásit všechny bezpečnostní incidenty s původem v kybernetickém prostoru, u kterých nelze vyloučit úmyslné zavinění. Subjekty v režimu nižších povinností potom takové bezpečnostní incidenty, které mají významný dopad na poskytování regulované služby. To znamená například průniky do sítě, pokusy o odcizení informací a další útoky na regulované služby. Případné postihy za nesplnění požadavků nového zákona jsou opravdu vysoké. Nicméně, hlavní účel zmíněných hlášení Národnímu úřadu pro kybernetickou bezpečnost je ryze praktický. Smyslem je mít možnost rychle varovat další organizace, jelikož lze předpokládat, že útočníci podobným způsobem zacílí i na další podniky. Proto je užitečné sdílet maximum informací o průběhu a příznacích útoků.

V poslední době se stále více hovoří o přístupu, který předpokládá úspěšný kyberútok a spíše než na neustálé posilování zabezpečení se soustředí na rychlé zotavení. Co organizace k vytvoření takové úrovně odolnosti potřebuje?

Je pravda, že klasické, akademické pojetí řízení rizik, které se zaobírá analýzou hrozeb a zranitelností, může být v praxi těžko uchopitelné. Riziko je v reálu totiž to, co nám zůstane v okamžiku, kdy máme pocit, že jsme už všechno zvážili a promysleli. Pak ale přilétne nějaká černá labuť v podobě neočekávané události s velkými dopady. Proto je efektivnější cestou ošetřit možné dopady těchto neočekávaných událostí nehledě na jejich příčinu – živelní pohroma, kybernetický útok, lidská chyba a podobně. V zásadě totiž nezáleží na tom, jestli nám servery shoří během požáru v budově, nebo je jejich obsah zašifrován ransomwarem – data jsou nedostupná v obou případech. A na takovou situaci se musíme připravit. Například je důležité vědět, jak dlouhý výpadek provozu naše organizace ustojí – a kolik to vlastně bude stát. Z toho pak vyplyne kvantifikace nákladů na opatření, která riziko výpadku minimalizují. Ta mohou být realizována i pomocí velmi sofistikovaných architektur pro zajištění vysoké dostupnosti, pokud to bude dávat z hlediska možných škod a nákladů smysl. A v neposlední řadě je nutné mít předem připravené plány pro zvládání krizových situací, protože vymýšlet je teprve až problém nastane, je pozdě.

Jak do toho celého zapadají samotní uživatelé?

Je jasné, že role lidí je v kyberbezpečnosti zcela klíčová. Typický ransomwarový útok totiž začíná phishingem přes e-mail, kdy útočník spoléhá na to, že uživatel podlehne a nevědomky otevře přístup do sítě. Typicky vyzrazením přihlašovacích údajů nebo třeba spuštěním škodlivého kódu, skrytého v příloze e-mailu. Až daleko za tím jsou další způsoby útoků, například neošetřené zranitelnosti v podnikovém softwaru. Už proto je zvyšování znalostí uživatelů v této oblasti nutností a je součástí stávající i připravované legislativy o kybernetické bezpečnosti, která řeší nejen stránku technickou, ale i lidskou – tedy odpovědnosti, postupy a průběžné vzdělávání uživatelů.

A jak hodnotíte znalosti zaměstnanců českých organizací v oblasti kyberbezpečnosti?

Musím říct, že v Česku jsme na tom z hlediska legislativního pojetí kyberbezpečnosti ve srovnání s okolními evropskými státy docela dobře. Náš první zákon o kybernetické bezpečnosti se datuje do roku 2014 a teprve poté přišly evropské regulace NIS1 a NIS2. Samozřejmě až s NIS2 dopadne legislativa nově na velké množství firem a organizací, které budou muset začít své zaměstnance pravidelně školit a samozřejmě plnit i ostatní povinnosti. My se dnes zaměřujeme jak na interaktivní a snad i zábavná školení, tak i následné testování prostřednictvím simulovaných phishingových útoků. U takovýchto cílených školení pozorujeme i velkou úspěšnost. Obvykle se totiž na úvodní phishingový test nechá nachytat i více než 60 procent zaměstnanců, zatímco systematický, tréninkový program snižuje tento podíl na 20 až 30 procent. Přesto je i u nás na začátku největšího podílu kyberútoků právě překonání ostražitosti uživatele.

Milan Ryšavý (42)

Absolvent FEL ČVUT v oboru telekomunikační techniky se ve svém profesním životě dlouhodobě věnuje oblasti kybernetické bezpečnosti v různých podobách – od strategického poradenství přes architekturu systémů řízení bezpečnosti informací až po jejich auditování. Ve společnosti Seyfor pracuje od začátku roku 2022 jako Security Team Leader divize Cloud & Security. Vede tým konzultantů a architektů, kteří pracují na návrhu a implementaci řešení kybernetické bezpečnosti pro velké organizace primárně v Česku.

Článek vznikl ve spolupráci se společností Seyfor.