"Vše o kybernetické bezpečnosti"

Názor odborníka: Kde nám hrozí největší nebezpečí a jak se můžeme chránit?

Současná doba sebou přináší velké množství zajímavých „udělátek a vychytávek“, které nám usnadňují a zpříjemňují život, a které jsou vesměs založené na elektronice, počítačích, mobilních telefonech, internetu a v neposlední řadě umělé inteligenci. Tito „pomocníci“ se stali neodmyslitelnou součástí našich životů a není v našich silách sledovat a vstřebat rychlost jejich vývoj a jejich množství. Díky tomu se do každodenního používání dostávají, aniž bychom se stačili zastavit a zamyslet se nejen nad jejich výhodami a ulehčením našich životů, ale už velmi málo až skoro vůbec nad možnými riziky, které sebou zcela jistě přinášejí.

Ing. Miroslav Tůma, Ph.D.

Absolvent Západočeské university v Plzni. Po ukončení magisterského studia v roce 1996 a v průběhu postgraduálního studia v oboru Průmyslové inženýrství a management pracoval ve společnosti Institut průmyslového managementu, spol. s r.o. na pozicích senior manager, project manager a ředitel divize. Kde se zabýval především analýzou, modelováním a optimalizací podnikových procesů a informačních systémů, dále pak certifikovanými systémy řízení. V roce 2009 nastoupil jako poradce ekonomického náměstka na Ministerstvo spravedlnosti, pak v roce 2010 přešel na Ministerstvo dopravy jako ředitel odboru provozu silničních vozidel. Od roku 2012 pracoval na Ministerstvu vnitra jako vrchní ředitel sekce provozu informačních a komunikačních technologií, v roce 2015 byl spoluzakladatel odboru Kybernetické bezpečnosti a koordinace ICT stejného ministerstva jehož byl ředitelem a zároveň zástupce náměstka ministra vnitra pro řízení sekce informačních technologií. Na počátku roku 2020 se začal plně věnovat IT Security v distribuční společnosti Tech Data AS Czech s.r.o. kde právě v pozici IT Security Specialist vytváří efektivní IT bezpečnostní řešení.

Odjakživa si chceme zjednodušovat život, a to je zásadní důvod rychlého vývoje našich „pomocníčků“, ale rychlý vývoj a rychlé nasazení sebou neodmyslitelně přináší důraz na vlastní funkcionality a velmi malý až žádný prostor na ostatní záležitosti, jako například kybernetická bezpečnost. Řešení kybernetické bezpečnosti v takovém obrovském množství zařízení a aplikací a při jejich závratné rychlosti vývoje a inovací, kterou si žádá trh – my, a bez které by výrobci na současném trhu neuspěli, je nesmírně náročné a bez dodržování jasných pravidel v podstatě nemožné.

Ano žijeme dynamický a turbulentní digitální život a skoro se neohlížíme se na jeho hrozby. Digitální život otevírá neomezené prostory pro usnadnění našich činností, ale také pro činnosti, které nám můžou život výrazně znepříjemnit a již znepříjemňují. Orientačně si uveďme základní statistiky:

  • Počet kybernetických útoků roste meziročně geometricky.
  • Kyberkriminalita od začátku roku v Česku trojnásobně vzrostla.
  • Každých 39 sekund probíhá hackerský útok.
  • Malé organizace (méně než 500 zaměstnanců) utratí v průměru 7,68M USD za incident.
  • V průměru stál únik dat u veřejně obchodované společnosti 116M USD.
  • 95% porušení kybernetické bezpečnosti je způsobeno lidskou chybou.
  • Více než 77% organizací nemá plán reakce na incidenty v oblasti kybernetické bezpečnosti.
  • Více než 54% společností uvedlo, že za posledních 12 měsíců zažili jeden nebo více útoků.
  • Většině společností trvá detekce narušení dat, a to i velkých, téměř 6 měsíců.
  • Připojená zařízení IoT dosáhnou do roku 2025 zhruba 75 miliard.

Náš digitální život se odehrává v kyberprostoru, který se automaticky stává i bojištěm skutečných válek jako té poslední. Od vypuknutí rusko-ukrajinské války obě strany bojují v kyberprostoru. Ukrajina trpí stále větším počtem kybernetických útoků, od vládních agentur přes ozbrojené síly až po civilní infrastrukturu, která se stala terčem kybernetických útoků. Využívají se zejména následující metody útoků:

  • distribuce malwaru a botnetů,
  • útoky distribuovaného odmítnutí služby (DDoS),
  • phishingové podvody,
  • exploity,
  • útoky na dodavatelský řetězec a další „kybernetické síly“,
  • použití ransomwaru k útokům na informační infrastrukturu.

Kyberprostor, který nemá žádné hranice a už vůbec ne ty fyzické (mezi státy) umožňuje díky tomu i kyber válčit nejen mezi konvenčně válčícími stranami, ale i s jejich spojenci a podporovateli, a to se stejným nasazením. Je politováníhodné, že od vypuknutí války na Ukrajině i Česká republika zažívá nárůst kybernetických útoků. Podle Národního úřadu pro kybernetickou a informační bezpečnost – NÚKIB byly některé české weby vystaveny vážným DDoS útokům hackerů (České dráhy, letiště Karlovy Vary a Pardubice a několik dní nefunkční portál veřejné správy a další). Oficiální webová stránka Evropské National Cyber and Information Security Agency – NCISA byla terčem DDoS útoku, který způsobil, že webová stránka byla nedostupná ze zahraničí.

Žijeme digitální život v kyberprostoru ve světě pokrytém internetem. V příštích pěti letech, od domů a aut po kávovary, bude vše kolem nás připojeno k internetu. Je jen otázkou času, kdy budou všichni připojeni k internetu a stanou se terčem kybernetických útoků. A právě to je to největší nebezpečí, které nám hrozí Jsme skutečně připraveni tomuto nebezpečí účelně a efektivně čelit? Odpověď je, jak jednoznačně ukazuje skutečnost, rozhodně ne.

Evropská unie má kyberbezpečnost za prioritu, připravovaná směrnice EU o kybernetické bezpečnosti – tzv. NIS2 – má za cíl zlepšit odolnost zemí EU. Členské státy EU podle nových předpisů zavedou přísnější regulační opatření v oblasti kybernetické bezpečnosti a opatření k jejich vymáhání. Implementace nových předpisů v České republice nebude jednoduché, neboť současná směrnice NIS aplikovala pravidla kybernetické bezpečnosti na provozovatele základních služeb a poskytovatele digitálních služeb, tj. služby cloud computingu, internetových vyhledávačů nebo online tržišť, a organizace působí v odvětví dopravy, bankovnictví, zdravotnictví, veřejné správy, digitální infrastruktury, energetiky, infrastruktury finančních trhů a distribuce pitnou vodu. Navrhovaná legislativní aktualizace však tento rozsah dále rozšiřuje a rozděluje organizace do dvou samostatných skupin:

  • Subjekty zásadního významu:
    • energetika (elektřina, dálkové vytápění a chlazení, ropa, plyn a vodík)
    • doprava (letecká, železniční, vodní a silniční)
    • bankovnictví a infrastruktury finančních trhů
    • zdravotnictví a výroba farmaceutických a zdravotnických prostředků – referenční laboratoře EU, subjekty provádějící výzkum a vývoj léčivých přípravků, subjekty vyrábějící základní farmaceutické výrobky a přípravky a zdravotnické prostředky považované za kritické v případě ohrožení veřejného zdraví
    • pitná voda a odpadní vody
    • digitální infrastruktura, výměnné uzly internetu, poskytovatelé služeb DNS, registry internetových domén nejvyšší úrovně (TLD)
    • poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, sítě pro doručování obsahu
    • poskytovatelé služeb vytvářejících důvěru a veřejné sítě elektronických komunikací a služby elektronických komunikací
    • veřejná správa – ústřední subjekty veřejné správy, orgány samosprávy
    • vesmír – pozemní infrastruktury podporující využívání kosmického prostoru
  • Důležité subjekty:
    • poštovní a kurýrní služby
    • nakládání s odpady
    • výroba, produkce a distribuce chemických látek
    • výroba, zpracování a distribuce potravin
    • výroba (zdravotnických prostředků a diagnostických zdravotnických prostředků in vitro; počítačů, elektronických a optických přístrojů a zařízení; elektrických zařízení; strojů a zařízení j.n. (tj. strojů a zařízení, které mechanicky nebo tepelně působí na materiály nebo na materiálech provádějí výrobní procesy); motorových vozidel; přívěsů a návěsů a ostatních dopravních prostředků a zařízení)
    • digitální poskytovatelé (internetová tržiště, internetové vyhledávače a platformy služeb sociálních sítí)

Směrnice NIS2 přidává také kritérium velikosti subjektu. Z něho vyplývá, že do působnosti směrnice budou zahrnuty všechny střední (méně než 50 – 250 zaměstnanců) a velké podniky (nad 250 zaměstnanců) ve vybraných výše uvedených odvětvích. Návrh směrnice NIS 2 by se primárně neměl vztahovat na malé podniky a mikropodniky, nejde-li o subjekty výslovně uvedené v ust. čl. 2 odst. 2 návrhu směrnice NIS2, na které se má úprava směrnice vztáhnout bez ohledu na jejich velikost. Má jít zejména o subjekty, které plní klíčovou úlohu pro hospodářství či společnost, nebo pro konkrétní odvětví či druhy služeb. Nová úprava tedy dopadne na rozsáhlý okruh subjektů, jimž přinese významnou finanční a administrativní zátěž. Povinné subjekty budou zejména muset přijmout technická a organizační opatření k řízení bezpečnostních rizik. Povinné subjekty se budou muset zaměřit zejména na:

  • analýzu rizik a politiku bezpečnosti informačních systémů
  • řešení incidentů (prevence a odhalování incidentů a reakce na ně)
  • řízení kontinuity provozu a krizové řízení
  • zabezpečení dodavatelského řetězce
  • zabezpečení pořizování, vývoje a údržby sítě a informačních systémů, včetně zveřejňování informací o zranitelnostech a jejich řešení
  • politiky a postupy (testování a audit) za účelem posouzení účelnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti
  • kryptografie a šifrování

Za nedodržení některých pravidel stanovených směrnicí (zejména přijetí opatření k řízení bezpečnostních rizik a plnění oznamovací povinnosti) má hrozit pokuta ve výši minimálně 10.000.000 eur (nebo 2 procenta z celkového celosvětového ročního obratu podniku, ke kterému patřil subjekt v předchozím rozpočtovém roce – podle toho, co je vyšší).

V ČR dosud nebylo schváleno finální znění směrnice NIS2, proto je nutné široké zapojení jednotlivých odvětví do diskusí nad toto důležitou právní normou pro:

  • správné pochopení a úpravu jednotlivých požadavků na kybernetickou bezpečnost
  • plánování a přípravu nutných investičních nákladů na vybudování odpovídající a nutné kybernetické bezpečnosti a provozních nákladů.

České firmy z pohledu společnosti neustále zvyšují povědomí o kybernetických bezpečnostních rizicích a přijímají opatření ke zlepšení své odolnosti. Podle průzkumu Svazu průmyslu a dopravy ČR – SPCR se dvě třetiny z téměř 100 dotázaných českých firem domnívají, že největší hrozbou v digitální oblasti je riziko kybernetických útoků a více než 80% společností dotazovaní přijímají opatření na kybernetickou ochranu svých systémů a infrastruktury.

Riziko kybernetických útoků je největším nebezpečím, které nám hrozí a kybernetická bezpečnost by se měla stát nejdůležitější prioritou celé společnosti, a to jak na úrovni států a jejich odpovídajících předpisů, tak i na úrovni jednotlivých firem a výrobců a v neposlední řadě na úrovni jednotlivců. Kybernetickou bezpečnost je nutné nejen zavádět a dodržovat, ale především vyžadovat, tzn. požadovat, aby jednotlivá zařízení byla kyberbezpečná a integrálně zapadala do již vytvořené kybernetické bezpečnosti na jednotlivých úrovní společenských i infrastrukturních. Je tedy nutné odstranit tak zvaný kybernetický paradox viz následující obrázek:

Zdroj: vlastní tvorba

Jak tedy správně zavést, provozovat a rozvíjet kybernetickou bezpečnost na všech již zmíněných úrovní a správně kyberbezpečnost dodržovat a vyžadovat – vymáhat není triviální úloha. Je nutné si uvědomit, že kybernetická bezpečnost:

  • se týká každého z nás, a to jak v práci, tak doma, a to jak na PC, notebooku tak i tabletu, mobilu,
  • vyžaduje maximální podporu a akceptace top managementu a zapojení všech stakeholderů,
  • potřebuje neustálý rozvoj bezpečnostního povědomí,
  • není vidět a čím více do ní investujete tím více není přímo vidět,
  • už ne potenciálně, ale skutečně ochraňuje před obrovskými ztrátami (finanční, reputace, …),
  • vyžaduje neustále nové přístupy a řešení a kontinuální rozvoj,
  • je komplexní a velmi dynamická,
  • musí být ucelená, systémová, smysluplná, účelná a efektivní,
  • každý už byl „napaden“ – buď to přiznává, nebo nepřiznává, v nejhorším případě o to neví.

Z výše uvedených důvodů je si musíme ujasnit základní pravidla pro vybudování odpovídající, účelné a efektivní kybernetické bezpečnosti:

  • Kybernetická bezpečnost se musí budovat kontinuálně s využitím moderních bezpečnostních metod.
  • Kybernetická bezpečnost se musí budovat komplexně na základě jasného integrálního konceptu.
  • Kybernetickou bezpečnost nelze stavět jako samostatné ostrovy technologie zapojené do infrastruktury, ale vždy jako jeden integrální celek obsahující všechny prvky ochrany a obrany, které jsou pro danou organizaci nutné a účelné.
  • Kybernetická bezpečnost musí být plně funkční, ale i efektivní a účelná.
  • Na každé úrovni organizace a jednotlivce je nutné dodržovat tzv. kyber hygienu:
    • neklikat na vše co vidím,
    • nepožívat jedno heslo pro všechny účty,
    • mít odpovídající sílu hesel,
    • nepsat hesla na „žluté papírky“,
    • nepoužívat pracovní mail pro soukromé účely ani jako username na privátní účty (facebook, eshopy, …),
    • minimalizovat používání (až striktní nepoužívání) veřejných wifi,
    • naprosté nepoužívání cizích paměťových médií a vlastní „nedávat z ruky“,
    • a mnoho dalších jednoduchých zásad.
  • Kybernetická bezpečnost nesmí být „jednobarevná“, tzn. postavená na technologií jednoho výrobce, ale naopak musí být technologicky diverzifikovaná avšak musí tvořit homogenní integrální celek.
  • Pro kybernetickou bezpečnost nezatracujte některé technologie ať již od konkrétního výrobce nebo z konkrétního kontinentu, ale vždy kontrolujte bezpečnost a vhodnost příslušné technologie do vaší “skládačky“ kyberbezpečnosti, tak aby tvořila integrální celek.
  • Kybernetická bezpečnost není jen technologie, ale má základní tři části, které také musí tvořit jeden homogení integrální celek:
    • pravidla – zásady – předpisy kyberbezpečnosti vždy v souladu se systémem řízení příslušné organizace,
    • lidé – největší riziko kyberbezpečnosti,
  • Kontinuální rozvoj kybernetické bezpečnosti musí dodržovat základních 7N:
    • nutné zajištění standartního správně fungujícího provozu ICT (údržba, update, rozvoj, …)
    • nutný neustálý monitoring hrozeb a zranitelností (vnitřní, vnější),
    • nutná verifikace předpokladů kyberbezpečnosti / systému řízení bezpečnosti informací – ISMS (hodnocení aktiv, účinnost, …),
    • nutné neustálá aktualizace pravidel dle vývoje hrozen, zranitelností, rizik, událostí a incidentů,
    • nutná implementace preventivních a nápravných opatření včetně vyhodnocení účinnosti,
    • nutná včasná reakce na jakoukoliv změnu mající dopad na kyberbezpečnosti / ISMS.
  • V neposlední řadě kybernetická bezpečnost potřebuje dostatek profesionálů s odpovídajícími skutečnými znalostmi současné problematiky kybernetické bezpečnosti – proto je nutné dodržovat pravidlo odpovídající rozvoje bezpečnostního povědomí a to na všech úrovní organizace od uživatelů po administrátory a managery.

Výše uvedený výčet základních pravidel je skutečně jen základní výčet, ale při jeho splnění a dodržování se vydáte po nejlepší cestě jak se ochránit největšímu nebezpečí, které nám hrozí. Pozitivní na této skutečnosti je fakt, že ochrana před největším nebezpečím je poměrně snadná s porovnáním s ochranou před ostatními nebezpečími, kterým musíme čelit – přírodní katastrofy, pandemie, konvenční války, apod.


Autor: Ing. Miroslav Tůma, Ph.D., Tech Data AS Czech s.r.o.
Foto: Freepik


[give_form id=“36″]
Košík
vše o kybernetické bezpečnosti

Máte zájem o spolupráci?

Pošlete nám kontakt, my se Vám v blízké době ozveme.