Table-top cvičení upozorní na chybné reakce na kybernetický útok

26. 6. 2025. (redaktor: František Doupal, zdroj: ANECT)
Společnost ANECT ve své predikci vývoje bezpečnostních hrozeb upozorňovala mimo jiné na rostoucí význam zneužití přístupových oprávnění a AI při phishingových kampaních i útocích. V kombinaci s dalším trendem – zkracování doby mezi průnikem do sítě a exfiltrací či zašifrováním dat – roste důležitost tzv. table-top cvičení, která simulují úspěšný hackerský útok nebo jiné krizové situace.

Management si na table-top cvičeních může v bezpečném prostředí vyzkoušet, jak bude firma schopná reagovat ve chvíli, kdy veškeré ochranné bariéry selžou.

„Table-top cvičení si můžeme představit jako obdobu požárního cvičení pro kybernetickou bezpečnost. Přestože všichni pracujeme v budovách, které splňují normy požární ochrany, mají detektory kouře či sprinklery, tak všechny mají také evakuační plán a tento evakuační plán se jednou za čas nacvičuje. Protože požár může vypuknout i při sebelepších preventivních opatřeních a v takové chvíli chladná a koordinovaná reakce pomáhá zachraňovat lidské životy,“ přiblížil Petr Mojžíš, security architect ANECTu. V případě hackerského útoku může jít na příklad o to, jak vysoké budou finanční dopady incidentu, ale v extrémním případě také o přežití napadené společnosti.

V kybernetické bezpečnosti se všichni hodně zaměřujeme na začátek, tedy nepustit útočníky do organizace. Ale stejně důležitý je i opačný přístup, tedy vědět, co budu dělat, když vše selže,“ řekl Radim Kozák, SOC security architect ve společnosti ANECT. Table-top cvičení si proto podle něj zaslouží stejnou pozornost jako penetrační testy: „Zatímco na digitálně vyspělejších trzích je poměrně běžné, že se tato cvičení pravidelně opakují, v Česku jsou spíše přehlížená a řada firem je nevyzkoušela ani jednou,“ upozornil.


Table-top jako kybernetická úniková hra pro vedení společnosti

Netechnická table-top cvičení jsou určená primárně širšímu vedení společnosti. Ve chvíli ohrožení nemůže management sedět v koutě a schovávat za technické pozice, ale musí převzít iniciativu a rychle rozhodovat o dalších krocích. Ostatně nový Zákon o kybernetické bezpečnosti, který začne platit ve druhé polovině letošního roku, počítá s tím, že za kybernetickou odolnost je zodpovědné právě vedení. Vedení firmy je tak v přeneseném smyslu zodpovědné za přijetí vhodných protipožárních opatření, zajištění funkčních hasicích přístrojů či za to, že někdo zpracuje evakuační plán. A také za to, že všichni vědí, jak se podle něj chovat.

Pravidelná cvičení reakce na incidenty jsou navíc nákladově efektivním multiplikátorem investic do kybernetické odolnosti. Předně testují funkčnost existujících plánů reakce, kontinuity a obnovy a spolu s tím také to, jestli jsou nejen dobře sepsané, ale jestli budou v případě potřeby také dobře provedené. Ukážou, zda všichni včetně nejvyššího vedení vědí, co mají dělat a kdy to mají dělat. „Kdo s kým komunikuje, kdo o čem rozhoduje? Co a kdy řekneme zaměstnancům a co zákazníkům a veřejnosti? To všechno jsou věci, které často v krizových plánech nenajdeme a které ve chvíli útoku způsobují zmatky, chyby a prodlení. Dobře provedené cvičení proto ve výsledku může znamenat rozdíl mezi dobře zvládnutým incidentem a poškozením pověsti, stejně jako pomoci zachránit miliony korun,“ uvedl Mojžíš.

Cvičení musí být konkrétní a dobře naplánované

Z výše uvedeného také vyplývá, že table-top cvičení je určeno především pro firmy, které se skutečně starají o svoji kyberneetickou odolnost, mají zpracované krizové plány a tyto plány odpovídají situaci ve firmě a nejsou jen výsledkem formální přípravy na potenciální audit. „Simulace ověřuje, jestli klíčoví lidé ve firmě tyto plány znají, zda jsou funkční a kde mají slepá místa. Cvičení si samozřejmě může vyzkoušet jakákoli firma, ale pokud nemá tyto metodiky zpracované, výsledkem bude většinou pouze zjištění, že je skutečně potřebuje,“ upozornil Radim Kozák.

Samotné table-top cvičení začíná důkladnou přípravou. Nejprve je potřeba definovat, čeho by se mělo týkat, jakou situaci chceme vyzkoušet. Častým omylem firem je, že existuje jedno cvičení, které kompletně otestuje jejich připravenost na kybernetický útok. To ale není možné, protže v dnešní době existují desítky různých více či méně pravděpodobných scénářů a situací.

„I zde tak přichází na řadu jedna ze základních rad, které by si vedení firem mělo vzít k srdci: popřemýšlejte, jaké nejhorší scénáře vám hrozí, jaké služby a procesy jsou ve firmě klíčové a jak je chráníte. A poté lze vyzkoušet rekaci na situaci, že ochrana selže. U někoho to může být ransomware útok, u někoho jiného exfiltrace dat a hrozba jejich zveřejnění, někde to může být pouhá dlouhodobější nedostupnost služby nebo poškození pověsti skrze kompromitaci webu. Ale testovali jsme třeba také reakci na podezření z interní krádeže dat a další scénáře,“ řekl Petr Mojžíš.

Poté se připraví scénář, který obsahuje základní incident a následně strom možných reakcí všech zainteresovaných osob včetně útočníků a to, jak konkrétní reakce ovlivní celý proces vypořádávání se s incidentem. Co se stane, když okamžitě zaplatíme? Co se stane, když zkusíme vyjednávat? Nebo co se stane, pokud začneme bez uvážení obnovovat data, aniž bychom zkontrolovali, zda naše zálohy nejsou kompromitované?

Typické chyby: chybí recovery plán, nejsou vyjasněné kompetence

Každé cvičení přitom podle Radima Kozáka odhalí řadu nedostatků, slepých míst a nedorozumění. „Ukáže se, kdo tápe, kdo přebírá odpovědnost a kde chybí návaznost. Také se ukáže, jaké aspekty nejsou vyjasněné a k čemu to může vést. Proto by simulace měla být vnímaná jako bezpečný prostor pro selhání. Může se ukázat, že někdo zanedbal své povinnosti a že ne vše funguje, jak má. Cvičení je šancí, jak odhalit chyby bez následků a napravit je dříve, než bude pozdě. Jeho výsledkem by měla být sada konkrétních opatření, nikoli hledání viníků,“ upozornil.

Mezi typické nedostatky, která podobná cvičení odhalí, patří nedostatečně zpracovaný plán obnovy dat. IT sice zálohuje data, segmentuje síť a sleduje síťový provoz, má seznam záloh a krizové kontakty. Chybí ale jasný proces a sekvence kroků, včetně doporučení, jak se v konkrétních situacích zachovat. To mimo jiné souvisí s tím, že firmy nemají jasně stanovené, co je pro ně z pohledu byznys kontinuity opravdu kritické, jak bylo zmíněno výše.

Ve chvíli útoku tak vedení a často ani techničtí specialisté nevědí, co z pohledu byznysové kontinuity musí běžet za každou cenu a bude se obnovovat jako první. Dalším slabým místem bývá právě komunikace a koordinace uvnitř firmy i navenek. Simulace tyto nedostatky nejen odhalí, ale umožní je také sepsat a napravit dříve, než půjde o všechno.

Table-top cvičení je dnes z pohledu efektivity nejlevnější způsob, jak odhalit chyby, selhání a nejasnosti dřív, než na ně ukáže ostrý útok. Směrnice NIS2 výslovně ukládá odpovědnost za kybernetickou připravenost vedení firem. „Kybernetická odolnost ale není o regulaci, je o firmě jako takové. A zde platí jednoduché pravidlo: v krizi nevyhrává ten, kdo má napsaný plán, ale ten, kdo si ho vyzkoušel a ví, co má dělat,“ uzavřel Mojžíš.

Štítky: 
Kybernetické útoky, Bezpečnost, Phishing, Anect
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Podvodných telefonátů přibývá. Operátoři blokují miliony pokusů o zneužití čísel

25. 6. 2025. (redaktor: František Doupal, zdroj: Evropa v datech)
Podvodné telefonáty jsou čím dál častější formou kyberútoku. Česká bankovní asociace zaznamenala výrazný nárůst počtu napadených, přičemž podle České spořitelny přibývá zejména podvodů zahrnujících tzv. falešného bankéře. Podvody založené na zneužití telefonního čísla přitom čelí stále účinnějším technologickým opatřením ze strany mobilních operátorů. Čtěte více

Česko bylo v květnu terčem organizovaného spamového útoku

18. 6. 2025. (redaktor: František Doupal, zdroj: Eset)
Do popředí pravidelné statistiky malwaru pro operační systém Windows v Česku se v květnu vyšplhaly tři škodlivé kódy, které podle bezpečnostních expertů útočníci využili v organizovaném spamovém útoku na české uživatele a uživatelky. Cílem útočníků bylo pravděpodobně podpořit šíření infostealeru Formbook, který je využívaný ke krádežím přihlašovacích údajů, především hesel. Čtěte více

Kyberzločinci provedou každou sekundu 36 tisíc automatických skenů

17. 6. 2025. (redaktor: František Doupal, zdroj: Fortinet)
Automatické skenování v kyberprostoru dosáhlo v roce 2024 bezprecedentní úrovně a celosvětově vzrostlo o 16,7 %, což poukazuje na sofistikovaný a masivní sběr informací o vystavené digitální infrastruktuře. Čtěte více

HP Wolf Security upozorňuje na červy v „cookies“

17. 6. 2025. (redaktor: František Doupal, zdroj: HP Inc.)
Nejnovější zpráva Threat Insights Report společnosti HP ukazuje, že útočníci stále více zneužívají „klikací únavu“ uživatelů – zejména ve spěchu a pod časovým tlakem, například při hledání výhodných nabídek na dovolenou. Analýza kybernetických útoků pomáhá organizacím držet krok s nejnovějšími technikami, které kyberzločinci používají k obejití detekce a k napadení počítačů a sítí. Čtěte více