Je naivní věřit, že se nás kyberhrozby netýkají

15. 9. 2017

Sdílet

 Autor: EX
Zbavte se závislosti na kybernetické bezpečnosti, pokud jí trpíte a pokud ne, dejte si pozor, ať jí nepropadnete, radí Petr Plecháček, senior manažer oddělení IT poradenství společnosti EY v České republice.

Zveřejnili jste výsledky globálního průzkumu o kybernetické bezpečnosti, který patří k těm nejrespektovanějším průzkumům svého druhu. Co z něj vyplývá? 

Že jsou organizace lépe připravené čelit kybernetickým hrozbám a investují do této oblasti značné finanční prostředky. Výsledky ale na druhou stranu ukazují, že objem investic je nedostačující, utrácet více by chtěl každý, ale vše je třeba řešit vyváženě. Nicméně poměrně zarážející je fakt, že velice významné procento společností nepovažuje svá bezpečnostní opatření proti kybernetickým útokům za dostatečná. Zde bych vnímal souvislost mezi daleko dynamičtějším a rychlejším vývojem kybernetických hrozeb, které v rámci globalizovaného světa narůstají exponenciálně, a možností organizací na ně včasně a účinně reagovat.
Uvědomíme-li si, jakým tempem se vyvíjejí mobilní technologie, internet věcí nebo průmysl 4.0, nelze se divit, že technologická evoluce je rychlejší než možnosti organizací, a vlastně i člověka, přizpůsobit se a plně pochopit související dopady a důsledky.

Jaké jsou největší hrozby, určitě to bude ransomware, že?

Je těžké spekulovat, co je největší hrozbou, protože neexistuje spolehlivý zdroj pro její vyhodnocení, kybernetické napadení totiž není jednoduché a zřejmě ani žádoucí ventilovat. Na veřejnost se tak často dostává pouze špička ledovce. Ransomware je specifický tím, že představuje hmatatelnou hrozbu s transparentním důsledkem, jednoduše nemáte svá data k dispozici. Tím nechci říct, že nejde o závažný problém, který není potřeba řešit.
Malware je nejčastější hrozbou, objevuje se ve stále chytřejších formách a jde ruku v ruce s trendem automatizace. Ransomware jako jedna z novějších forem stále funguje a cílí na zranitelnější obory a organizace, jako je např. zdravotnictví. Poměrně nedávno se objevila ransomware kampaň cílící specificky na personalisty, kteří přijímají „nevyžádanou“ poštu poměrně běžně. Sám jsem zvědavý, jaké další formy a nápady rok 2017 v tomto směru přinese. Kybernetické hrozby jsou v mnohém podobné lidským chorobám. Nemoc v sobě můžete mít dlouho, ignorujete lehké příznaky, a když plně propukne, bývá často pozdě na celkovou záchranu. A tak se jen snažíte minimalizovat dopad, léčit zřejmé symptomy a nesoustředíte se na odstranění původní příčiny.
Budeme-li zkoumat, jak se kybernetická hrozba stala skutečností, z velké části dojdeme k závěru, že jde o důsledek nechtěného, nicméně často lehkomyslného či nedbalého chování uživatele. Stále tedy platí, že největší hrozbu představuje lidský faktor. Ten do organizací vstupuje jednak v podobě uživatelů s nízkým bezpečnostním povědomím, ale i prostřednictvím využívání výsledků práce, tedy produktů, přístrojů, softwaru, kde narůstá riziko nevhodného designu, který nerespektuje bezpečnostní principy, případně lidskou chybou, která zůstala neodhalena.
Další výraznou hrozbou, jejíž odstranění není jednoduché z důvodu ohromné či extrémní komplexnosti a obecných principů životního cyklu obnovy, jsou zastaralé technologie a dnešním podmínkám nevyhovující architektura používaných řešení. Validní skutečností určitě je, že zde budou organizace z principu věci neustále pozadu. Takže je třeba tuto hrozbu adresovat nepřímo, prostřednictvím investic do monitoringu a včasného odhalení a definováním jasných postupů, jak v takových případech postupovat a co dělat pro jejich nápravu.

Co z toho se týká České republiky?

V současném globalizovaném světě, kde zahraniční společnosti mají své pobočky na našem území, kybernetický prostor a celková digitalizace nerespektují tradiční hranice. Je proto naivní si myslet, že se nás kybernetické hrozby netýkají. Nespornou výhodu máme nicméně v tom, že mluvíme menšinovým jazykem, který přidává další vrstvu bezpečnosti. Naše ekonomika zároveň není natolik globálně výrazná, aby se stala terčem různých kybernetických zájmových útoků.
Každá dobrá myšlenka i záměr se dají zneužít. Těší mě ale, že jsou jak na úrovni veřejné správy, tak i v podnikové sféře uskutečňovány kroky k efektivnějšímu zvládání kybernetických hrozeb. Nejdůležitější je snaha vyrovnat se s bezpečnostními dluhy z minulosti, což platí zejména o bezpečnosti provozních technologií a o průmyslových informačních systémech. Zde mají podle mě kybernetický zákon a jeho implementace pozitivní efekt, který vede k celkovému uvědomění si zranitelností a jejich dopadů.
Určitě bychom také měli pokračovat ve výchově bezpečnostních odborníků, kteří dokážou zvyšovat bezpečnostní povědomí mezi uživateli a celou populací. Díky nim budeme lépe připraveni na nastupující trendy, jako jsou IoT, průmysl 4.0 a další.

Znamenají zjištěné informace větší zátěž pro CIO?

Otázkou je, zda by CIO měl být klíčovou osobou, která se bezpečností zabývá. CIO se má podle mého názoru zaměřovat především na funkčnost současných technologií a připravovat se na adaptaci nastupujících technologií. Bezpečnost je specifická v tom, že se musí řešit jako celek. Nelze tedy určit jednu odpovědnou osobu a pak se domnívat, že právě ona zajistí ochranu před kybernetickými hrozbami.
Z tohoto důvodu velmi často slýcháme stále se opakující frázi, že bezpečnost musí být udávána shora, tedy od výkonného ředitele, přes celý vrcholový management, a implementována má být směrem dolů na každého zaměstnance. Na pracoviště nastupují nové generace, které jsou zvyklé od malička používat technologie zcela odlišným způsobem. To může být jeden z důvodů, proč se zvyšování bezpečnostního povědomí musíme věnovat a vymýšlet nové inovativní postupy.
CIO k tomu může přispět a je třeba, aby v rámci IT procesů prosazoval bezpečný softwarový vývoj, spolupracoval při aplikaci bezpečnostního monitoringu a připravil IT prostředí organizace, tak aby efektivně zvládala řešení incidentů. V neposlední řadě by CIO měl vytvářet prostředí, ve kterém by IT zaměstnanci s přímým přístupem k technologiím byli správně vybíráni a měli zájem a potřebu řešit věci pro dobro organizace.

Na co se mají připravit, jak nejlépe zvládnout budoucí období z hlediska bezpečnosti?

Značná pozornost bude zcela jistě věnována implementaci legislativy, ať už zmíněného kybernetického zákona nebo zákona na ochranu osobních údajů (GDPR), a také elektronické identitě apod. Úzkou spolupráci doporučuji při identifikaci informačních aktiv, pochopení, pro koho jsou cenné, tj. porozumění motivům, proč by je někdo mohl mít zájem získat, stejně tak jako prověřování stavu jejich současné úrovně ochrany.
Potřebné jsou také proaktivita a připravenost. Pojem threat intelligence je sice módní spojení, ale zpravodajství a správné informace jsou vždy výhodou. Nemusí jít nutně o externí zdroje, zajímavé informace se dají získat i z vlastních incidentů, logů a infrastruktury. Stačí mít správně nastavený systém zpracování a tradiční učící se cyklus.

S čím jim můžete pomoct vy?

EY je globální organizace, která disponuje rozsáhlou sítí bezpečnostních specialistů a odborníků. Naše threat intelligence je tedy na vysoké úrovni. Rozsáhlé znalostní báze se nám daří využívat při projektech v lokálních podmínkách. Kromě tradičních témat, jako jsou pomoc s implementací ISMS, kybernetického zákona, hodnocení zranitelností (bezpečnostní testování), implementace procesů a vzdělávání v oblasti bezpečného programování, se soustředíme i na bezpečnost průmyslových systémů a cílené využití investigativních nástrojů v případě incidentů bez nutnosti jejich dlouhodobé implementace, která je spojena s velkými investičními výdaji.

Kromě bezpečnosti ovšem pomáháte i s dalšími záležitostmi kolem IT, jako jsou řízení IT, outsourcing, řízení rizik atd. O co je největší zájem?

Trh IT poradenství je i s ohledem na trend růstu ekonomiky velice rozmanitý, a poskytuje tak velký prostor ke změnám. Nejvíce vnímáme poptávku po zkušených projektových manažerech, kteří jsou schopni řídit implementace a změny v IT prostředí. Žádané jsou také služby IT architektů a související poradenství nejčastěji spojené s přechodem na jiný model dodávky IT služeb a s přechodem na cloud, celkovou virtualizaci a rovněž i využívání vlastních (BYOD) a mobilních zařízení.

Mimo jiné také radíte se snižováním nákladů. Nebylo toho šetření přece jen už dost? Není načase také investovat?

Stále často bohužel dochází k rozhodnutím o investicích do technologií a nástrojů, jejichž celkový přínos je diskutabilní. Společnosti si pořizují řešení, jehož potenciál nedokážou využít. Snažíme se proto soustředit na pomoc s rozhodnutím, do čeho a v jakém rozsahu investovat, neboli jak investice lépe cílit a efektivněji vynakládat, tak aby byl přínos pro společnost co nejvyšší. Dále pak navazujeme spolupráci při výběru vhodného dodavatele a pomáháme při implementaci, abychom měli možnost ovlivnit naplnění očekávaných přínosů.

Kam je dobré podle vás nyní investovat?

Obecně lze říci, že do nástrojů a technického vybavení investovala řada společností již nemalé finanční prostředky a nyní je načase začít tyto nástroje efektivně využívat. Důležité je navázat na jejich rozhraní funkční a robustní procesy, aby se kýžený efekt skutečně dostavil. Osobně považuji za smysluplné především investice do lidských zdrojů a osvěty pro zefektivnění fungování organizace či do bezpečnostního vzdělávání.
Za vhodná považuji i prožitková či koučingová školení. Tradiční teoretické školení je sice nezbytným základem, jsou to ale právě prožitek a na míru ušitá zážitková akce, díky kterým lze dosáhnout lepších výsledků a hlavně zvýšit šanci na rychlejší prosazení změny současného statu quo. I zde ovšem platí, že každou investici je potřeba zvážit, definovat si ukazatele, které chceme ovlivnit a změnit, a následně celou investici vyhodnotit.

Dáte našim čtenářům nějakou zajímavou funkční radu zdarma?

ICTS24

Zbavte se závislosti na kybernetické bezpečnosti, pokud jí trpíte a pokud ne, dejte si pozor, ať jí nepropadnete. Bezpečnost není ziskovou složkou organizace, je-li ale v souladu s obchodní strategií a potřebami firmy, může být značně prospěšná. Investice je nutné vhodně cílit, a protože 100% bezpečnost neexistuje, je důležité počítat s nejhorším a být připravený na všechny eventuality. 


Autor je šéfredaktorem CIO Business Worldu