Devět oblastí, které by firmy měly v souvislosti s novým zákonem o kybernetické bezpečnosti řešit nejdříve

30. 8. 2023. (redaktor: František Doupal, zdroj: Anect)
Nový zákon o kybernetické bezpečnosti přinese firmám celou řadu nových povinností. Pro firmy tak může být těžké určit, kterými částmi se mají zabývat přednostně a čemu se můžou věnovat později. Odborníci z technologické společnosti ANECT proto vytipovali 9 nejdůležitějších oblastí, které jsou z pohledu praktické ochrany proti kybernetickým útokům klíčové a kterými se proto vyplatí začít.

„Společnosti budou muset samozřejmě splnit všechny požadavky nového zákona o kybernetické bezpečnosti. Cílem našeho doporučení je však ukázat, co konkrétně jednotlivé požadavky pro firmy znamenají, jak náročná může být jejich implementace, a především jak zásadní jsou z pohledu ochrany před sofistikovanými kybernetickými útoky. Proto jsme vybrali takové kroky, které by firmy měly začít podnikat už nyní a bez ohledu na to, jak bude nakonec vypadat konečná podoba zákona,“ vysvětlil Petr Mojžíš, security architect ve společnosti ANECT.

Začněte se vzděláváním managementu

Prováděcí vyhlášky k novému zákonu stanovují, že za přijetí vhodných opatření k minimalizaci kybernetických hrozeb bude zodpovědné vedení firem. To zároveň musí zajistit pro sebe i zaměstnance školení v oblasti kybernetické bezpečnosti. Jelikož finální schvalování jednotlivých opatření a rozhodnutí o tom, do jakých opatření budou společnosti investovat, je zodpovědností vedení, je vhodné začít právě jeho školením. Vedoucí představitelé firem díky tomu budou lépe rozumět jednotlivým rizikům a budou mít také přehled o možnostech, kterými je lze snižovat.

Aktualizujte firemní bezpečnostní politiky

Vytvoření bezpečnostních politik je z firemního pohledu nejen užitečné, ale také účinné a nízkonákladové řešení. Jde o soubor základních pravidel, která definují to, co chce firma chránit a jak se chce chránit. Už jen zjištění, zda na určitou oblast existují firemní pravidla, případně jestli jsou někde popsaná, posouvá úvahy o firemní bezpečnosti kupředu mílovými kroky. Ve chvíli, kdy si navíc společnost tyto zásady definuje, často si rovnou odpoví na otázku, jak je na tom aktuálně s ochranou proti kybernetickým útokům i dalším hrozbám. „Zvlášť u menších společností tak v řadě případů odpadá nutnost provádět takzvanou GAP analýzu, tedy analýzu toho, v jakých oblastech firmy plní nové normy, a v jakých nikoli. Ve chvíli, kdy definujeme bezpečnostní politiky, okamžitě zjistíme, jaké oblasti má daná společnost vyřešené dobře a jaké nikoli,“ uvedl Jan Goll, senior security consultant společnosti ANECT.

Rozdělte firemní síť na více segmentů, oddělte je dostatečnou bariérou

Takzvaná segmentace firemní sítě neboli její rozdělení do menších celků je jedním ze základních předpokladů ochrany proti jakémukoli sofistikovanějšímu kybernetickému útoku. Pokud totiž síť není rozdělená na menší části a zařízení spolu mohou komunikovat bez omezení, stačí útočníkovi pro napáchání nevratných škod získat kontrolu nad jakýmkoli zařízením. Jakmile se mu to povede, dokáže se z něj dostat v zásadě ke všem firemním datům.

Ve chvíli, kdy je firemní síť rozdělená na menší celky a do částí, ve kterých se nachází citlivá firemní data, je omezený přístup (například se k nim lze dostat jen z některých počítačů umístěných přímo ve firmě), mají útočníci svoji práci mnohem těžší. Zároveň se zvyšuje šance, že napadení firemní sítě bude odhaleno dříve, než budou moci napáchat větší škody.

Získejte přehled o tom, jak spolu jednotlivá zařízení v síti komunikují

Jedním z dalších bezpečnostních opatření, které nový zákon skrze prováděcí vyhlášky vyžadují, je detekce kybernetických a bezpečnostních událostí. Firmy by zjednodušeně řečeno měly využívat nástroje, které jim umožní zjistit, že se v jejich síti děje něco, co by se dít nemělo.

Tato část je z pohledu praktického dopadu pro firmy jednou z nejdůležitějších, zároveň jde o opatření, které není příliš drahé a které je možné aplikovat poměrně rychle. Řešením je v tomto případě nasazení speciálních aplikací (XDR, Extended Detection and Response), které monitorují chování koncových bodů (nejčastěji počítačů, ale i mobilních zařízení, serverů apod.) a v případě, že se chovají nestandardně, samy reagují nebo upozorní správce sítě nebo dohledové centrum. Ti mohou podezřelou aktivitu prozkoumat a případně proti ní zasáhnout. „Většina kybernetických útoků přirozeně začíná v samotných počítačích nebo v dalších komponentech připojených k firemní síti. Skutečně pokročilé nástroje typu XDR přitom podle našich zkušeností dokážou řešit až 80 % takových incidentů,“ řekl Petr Mojžíš.

Tyto nástroje nabízí celá řada renomovaných výrobců. Podle Mojžíše, by si ale firmy měly dát pozor na to, jestli řešení, které si objednávají, skutečně tuto pokročilou ochranu poskytuje. „Většina dodavatelů tyto nástroje poskytuje jako licencovanou službu, což má pro firmy řadu výhod, ale může to skrývat i určitá rizika. Jedním z nich je forma licence a to, co je v jejím rámci skutečně dodávané. Ve své praxi jsme se setkali i s případy, kdy si firmy objednaly určité řešení v domnění, že jde o komplexní ochranu jejich firemní sítě, ale ve skutečnosti dostaly jen o něco pokročilejší antivir. Problém přitom nebyl v samotném řešení, ale právě v tom, o jaký typ licence šlo,“ dodal Mojžíš.

Ukládejte informace o komunikaci v síti

Společnosti budou muset   také zaznamenávat relevantní bezpečnostní a provozní události. Firmám tedy nebude stačit, že mají přehled o komunikaci v síti, ale klíčové části této komunikace si budou muset někam ukládat. Jaké události to jsou, si přitom společnost do určité míry může definovat sama. Správné nastavení rozsahu monitorovaných dat přitom nemusí být pro firmy jednoduché. Subjekty spadající pod režim vyšších povinností budou muset tyto záznamy ukládat 18 měsíců, subjekty v režimu nižších povinností potom 12 měsíců.Pokud bude společnost monitorovat a ukládat příliš mnoho informací, může se jí to kvůli vysokému objemu dat zbytečně prodražit. Na druhou stranu, pokud rozsah monitorovaných informací nebude dostatečný, ztrácí celá aktivita smysl a veškeré vynaložené náklady můžeme s trochou nadsázky označit za vyhozené peníze.

Firmy by zároveň měly dobře zvážit, jak s těmito logy budou nakládat. „Hovoříme zde často o extrémním objemu dat, která je potřeba nejen ukládat, ale také nepřetržitě vyhodnocovat. Společnosti by proto měly zvážit například to, zda tato data budou ukládat na veřejných cloudových úložištích, nebo zda část z nich uloží ve svých datových centrech,“ poznamenal Jan Goll. Zároveň dodal, že každé řešení má řadu výhod i nevýhod a záleží proto na situaci každé firmy, jakou cestu si zvolí.

Zajistěte si nepřetržitý dozor nad firemní sítí

Zejména pro režim vyšších povinností prováděcí vyhláška stanovuje také povinnost nepřetržitě vyhodnocovat kybernetické bezpečnostní události a v případě potřeby na ně adekvátně reagovat. Zde už jde tedy o aktivní monitoring, který řada firem outsourcuje do externích dohledových center, které nepřetržitě monitorují sítě zákazníků a v případě potřeby jsou schopné reagovat a podezřelou aktivitu prošetřit nebo zastavit. „Z praktického pohledu je bezpečnostní monitoring základním kamenem firemní bezpečnosti. Samozřejmě mu ale musí předcházet celá řada již zmíněných aktivit. Musíme mít přehled o tom, jaká zařízení se nám ve firemní síti vyskytují, a musíme si také správně určit, co konkrétně v síti chceme monitorovat, aby to na jedné straně dávalo finančně smysl a na druhé straně, aby byl tento monitoring funkční,“ uvedl Jan Goll.

Jan Goll zároveň doporučil, aby se bezpečnostnímu monitoringu věnovaly všechny společnosti. Když už totiž firmy musejí investovat do sběru dat z provozu své sítě a jejich ukládání na nějaké centrální místo, nedává příliš smysl, aby toho nevyužily a nezajistily si aktivní ochranu před útoky: „Ukládat data jen proto, abychom měli splněné zákonné povinnosti, je z pohledu praxe vyhazování peněz oknem. Firmy se v tuto chvíli nachází ve fázi, kdy už musely investovat podstatné částky, a přitom ještě plně nesklízejí ovoce těchto investic. Pokud se totiž útočník dostane do jejich sítě, bez aktivního monitoringu o tom stále nemusí mít ponětí. Proto doporučujeme všem firmám zavést alespoň minimální úroveň bezpečnostního monitoringu, která nemusí být v některých případech ani příliš nákladná.“

Otestujte svoji bezpečnost

Zákon firmám také přikazuje pravidelně testovat svoji kybernetickou bezpečnost. Zatímco v režimu nižších povinností postačí skenování zranitelností, tedy automatický test s upozorněním na to, že se ve firemní síti vyskytují už známé a popsané zranitelnosti, v režimu vyšších povinností bude potřeba využít penetračních testů, tedy aktivní snahy o napadení firemní sítě. „Tento požadavek dává smysl i z praktického pohledu. Společnosti mohou investovat do své bezpečnosti vysoké částky, ale dokud si neotestují, že vše funguje tak, jak má, nikdy nevědí, jestli jim tyto investice k něčemu byly,“ řekl Jan Goll. Problémem podle něj bude kritický nedostatek odborníků, kteří jsou schopní penetrační testy provádět. Řešením proto může být jejich automatizace. „Na trhu už teď existují automatizované nástroje, které se chovají přesně jako etický hacker s tím rozdílem, že se neunaví a se svojí snahou neskončí, dokud nevyzkouší veškeré možnosti kompromitace sítě. Na druhou stranu tyto technologie jsou zatím poměrně nové, a tak i ony mají své mouchy. Ve střednědobém horizontu jde ale jednoznačně o budoucnost penetračního testování,“ dodal odborník ANECTu.

Uvědomte si, co chcete chránit a nezapomínejte na zálohy dat

Zákon samozřejmě firmám ukládá i celou řadu dalších povinností, jak organizačních, tak technických. Z těch nejvýznamnějších lze zmínit například kvalitní zálohování, případně řízení rizik „Celý zákon a jeho prováděcí vyhlášky jsou vlastně o řízení rizik. Firmy by měly identifikovat svá hlavní aktiva, zjistit, co je může ohrozit a jakým způsobem, jak jsou proti těmto ohrožením chráněné, a následně přijmout příslušná opatření. Z naší zkušenosti však řízení rizik ve firmách často končí excelovou tabulkou, která neříká nic o tom, jaká je reálná úroveň zabezpečení firmy a nepomůže ani v prioritizaci investic do kybernetické bezpečnosti. Proto doporučujeme proaktivně v prvních fázích začít i s výše popsanými kroky, které by firmy měly tak jako tak podniknout. Pozornost by firmy měly věnovat zejména mandatorním požadavkům prováděcí vyhlášky, které jsou doporučeny i nejlepší praxí a jsou časově a finančně (zdrojově) náročnější,“ uzavřel Petr Mojžíš.

Podobné články

IT mezi paragrafy 2024: Jak na regulace kybernetické bezpečnosti

2. 10. 2024. (redaktor: Reseller Magazine OnLine, zdroj: Exponet)
Nejen na aspekty implementace evropské směrnice NIS2, ale také na nařízení o digitální provozní odolnosti finančního sektoru DORA, implementaci směrnice o odolnosti kritických subjektů CER do zákona o kritické infrastruktuře nebo na revizi nařízení eIDAS 2.0 se zaměří program výroční konference IT mezi paragrafy 2024. Čtěte více

Prodej bezpečnostních zařízení ve 2. čtvrtletí 2024 meziročně vzrostl

16. 9. 2024. (redaktor: František Doupal, zdroj: IDC)
Celkové tržby z prodeje bezpečnostních zařízení ve druhém čtvrtletí roku 2024 meziročně vzrostly o 0,5 % na 4,2 miliardy dolarů, což představuje oproti druhému čtvrtletí roku 2023 nárůst o 20 milionů dolarů. V objemu prodej naopak meziročně klesl o 4,3 % na milion kusů. Čtěte více
Foto: Algotech

Tržby z prodeje bezpečnostních produktů vloni vzrostly o 15,6 %

8. 7. 2024. (redaktor: František Doupal, zdroj: IDC)
Celosvětové tržby za bezpečnostní produkty dosáhly v roce 2023 celkem 106,8 miliardy dolarů, což představuje nárůst o 15,6 % oproti roku 2022. Růst tržeb byl výrazný – podle IDC zaznamenalo dvouciferný meziroční nárůst všech šest sledovaných kategorií. Růst by měl navíc pokračovat přinejmenším do roku 2028. Čtěte více

Podcenění investic do kyberbezpečnosti mohou firmy pocítit také ve svém financování

4. 10. 2024. (redaktor: František Doupal, zdroj: Eviden)
Blížící se nástup platnosti NIS2 přinese firmám nové ekonomické i administrativní povinnosti. Pokud společnosti své povinnosti zanedbají, mohou se stát (nejen) oběťmi hackerů, ale v důsledku ztráty reputace se jim pak může prodražit úvěrování, protože banky je budou posuzovat jako rizikovější klienty. Čtěte více