Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.
Názor odborníka: Kde nám hrozí největší nebezpečí a jak se můžeme chránit?
Odjakživa si chceme zjednodušovat život, a to je zásadní důvod rychlého vývoje našich „pomocníčků“, ale rychlý vývoj a rychlé nasazení sebou neodmyslitelně přináší důraz na vlastní funkcionality a velmi malý až žádný prostor na ostatní záležitosti, jako například kybernetická bezpečnost. Řešení kybernetické bezpečnosti v takovém obrovském množství zařízení a aplikací a při jejich závratné rychlosti vývoje a inovací, kterou si žádá trh – my, a bez které by výrobci na současném trhu neuspěli, je nesmírně náročné a bez dodržování jasných pravidel v podstatě nemožné.
Ano žijeme dynamický a turbulentní digitální život a skoro se neohlížíme se na jeho hrozby. Digitální život otevírá neomezené prostory pro usnadnění našich činností, ale také pro činnosti, které nám můžou život výrazně znepříjemnit a již znepříjemňují. Orientačně si uveďme základní statistiky:
- Počet kybernetických útoků roste meziročně geometricky.
- Kyberkriminalita od začátku roku v Česku trojnásobně vzrostla.
- Každých 39 sekund probíhá hackerský útok.
- Malé organizace (méně než 500 zaměstnanců) utratí v průměru 7,68M USD za incident.
- V průměru stál únik dat u veřejně obchodované společnosti 116M USD.
- 95% porušení kybernetické bezpečnosti je způsobeno lidskou chybou.
- Více než 77% organizací nemá plán reakce na incidenty v oblasti kybernetické bezpečnosti.
- Více než 54% společností uvedlo, že za posledních 12 měsíců zažili jeden nebo více útoků.
- Většině společností trvá detekce narušení dat, a to i velkých, téměř 6 měsíců.
- Připojená zařízení IoT dosáhnou do roku 2025 zhruba 75 miliard.
Náš digitální život se odehrává v kyberprostoru, který se automaticky stává i bojištěm skutečných válek jako té poslední. Od vypuknutí rusko-ukrajinské války obě strany bojují v kyberprostoru. Ukrajina trpí stále větším počtem kybernetických útoků, od vládních agentur přes ozbrojené síly až po civilní infrastrukturu, která se stala terčem kybernetických útoků. Využívají se zejména následující metody útoků:
- distribuce malwaru a botnetů,
- útoky distribuovaného odmítnutí služby (DDoS),
- phishingové podvody,
- exploity,
- útoky na dodavatelský řetězec a další „kybernetické síly“,
- použití ransomwaru k útokům na informační infrastrukturu.
Kyberprostor, který nemá žádné hranice a už vůbec ne ty fyzické (mezi státy) umožňuje díky tomu i kyber válčit nejen mezi konvenčně válčícími stranami, ale i s jejich spojenci a podporovateli, a to se stejným nasazením. Je politováníhodné, že od vypuknutí války na Ukrajině i Česká republika zažívá nárůst kybernetických útoků. Podle Národního úřadu pro kybernetickou a informační bezpečnost – NÚKIB byly některé české weby vystaveny vážným DDoS útokům hackerů (České dráhy, letiště Karlovy Vary a Pardubice a několik dní nefunkční portál veřejné správy a další). Oficiální webová stránka Evropské National Cyber and Information Security Agency – NCISA byla terčem DDoS útoku, který způsobil, že webová stránka byla nedostupná ze zahraničí.
Žijeme digitální život v kyberprostoru ve světě pokrytém internetem. V příštích pěti letech, od domů a aut po kávovary, bude vše kolem nás připojeno k internetu. Je jen otázkou času, kdy budou všichni připojeni k internetu a stanou se terčem kybernetických útoků. A právě to je to největší nebezpečí, které nám hrozí Jsme skutečně připraveni tomuto nebezpečí účelně a efektivně čelit? Odpověď je, jak jednoznačně ukazuje skutečnost, rozhodně ne.
Evropská unie má kyberbezpečnost za prioritu, připravovaná směrnice EU o kybernetické bezpečnosti – tzv. NIS2 – má za cíl zlepšit odolnost zemí EU. Členské státy EU podle nových předpisů zavedou přísnější regulační opatření v oblasti kybernetické bezpečnosti a opatření k jejich vymáhání. Implementace nových předpisů v České republice nebude jednoduché, neboť současná směrnice NIS aplikovala pravidla kybernetické bezpečnosti na provozovatele základních služeb a poskytovatele digitálních služeb, tj. služby cloud computingu, internetových vyhledávačů nebo online tržišť, a organizace působí v odvětví dopravy, bankovnictví, zdravotnictví, veřejné správy, digitální infrastruktury, energetiky, infrastruktury finančních trhů a distribuce pitnou vodu. Navrhovaná legislativní aktualizace však tento rozsah dále rozšiřuje a rozděluje organizace do dvou samostatných skupin:
- Subjekty zásadního významu:
- energetika (elektřina, dálkové vytápění a chlazení, ropa, plyn a vodík)
- doprava (letecká, železniční, vodní a silniční)
- bankovnictví a infrastruktury finančních trhů
- zdravotnictví a výroba farmaceutických a zdravotnických prostředků – referenční laboratoře EU, subjekty provádějící výzkum a vývoj léčivých přípravků, subjekty vyrábějící základní farmaceutické výrobky a přípravky a zdravotnické prostředky považované za kritické v případě ohrožení veřejného zdraví
- pitná voda a odpadní vody
- digitální infrastruktura, výměnné uzly internetu, poskytovatelé služeb DNS, registry internetových domén nejvyšší úrovně (TLD)
- poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, sítě pro doručování obsahu
- poskytovatelé služeb vytvářejících důvěru a veřejné sítě elektronických komunikací a služby elektronických komunikací
- veřejná správa – ústřední subjekty veřejné správy, orgány samosprávy
- vesmír – pozemní infrastruktury podporující využívání kosmického prostoru
- Důležité subjekty:
- poštovní a kurýrní služby
- nakládání s odpady
- výroba, produkce a distribuce chemických látek
- výroba, zpracování a distribuce potravin
- výroba (zdravotnických prostředků a diagnostických zdravotnických prostředků in vitro; počítačů, elektronických a optických přístrojů a zařízení; elektrických zařízení; strojů a zařízení j.n. (tj. strojů a zařízení, které mechanicky nebo tepelně působí na materiály nebo na materiálech provádějí výrobní procesy); motorových vozidel; přívěsů a návěsů a ostatních dopravních prostředků a zařízení)
- digitální poskytovatelé (internetová tržiště, internetové vyhledávače a platformy služeb sociálních sítí)
Směrnice NIS2 přidává také kritérium velikosti subjektu. Z něho vyplývá, že do působnosti směrnice budou zahrnuty všechny střední (méně než 50 – 250 zaměstnanců) a velké podniky (nad 250 zaměstnanců) ve vybraných výše uvedených odvětvích. Návrh směrnice NIS 2 by se primárně neměl vztahovat na malé podniky a mikropodniky, nejde-li o subjekty výslovně uvedené v ust. čl. 2 odst. 2 návrhu směrnice NIS2, na které se má úprava směrnice vztáhnout bez ohledu na jejich velikost. Má jít zejména o subjekty, které plní klíčovou úlohu pro hospodářství či společnost, nebo pro konkrétní odvětví či druhy služeb. Nová úprava tedy dopadne na rozsáhlý okruh subjektů, jimž přinese významnou finanční a administrativní zátěž. Povinné subjekty budou zejména muset přijmout technická a organizační opatření k řízení bezpečnostních rizik. Povinné subjekty se budou muset zaměřit zejména na:
- analýzu rizik a politiku bezpečnosti informačních systémů
- řešení incidentů (prevence a odhalování incidentů a reakce na ně)
- řízení kontinuity provozu a krizové řízení
- zabezpečení dodavatelského řetězce
- zabezpečení pořizování, vývoje a údržby sítě a informačních systémů, včetně zveřejňování informací o zranitelnostech a jejich řešení
- politiky a postupy (testování a audit) za účelem posouzení účelnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti
- kryptografie a šifrování
Za nedodržení některých pravidel stanovených směrnicí (zejména přijetí opatření k řízení bezpečnostních rizik a plnění oznamovací povinnosti) má hrozit pokuta ve výši minimálně 10.000.000 eur (nebo 2 procenta z celkového celosvětového ročního obratu podniku, ke kterému patřil subjekt v předchozím rozpočtovém roce – podle toho, co je vyšší).
V ČR dosud nebylo schváleno finální znění směrnice NIS2, proto je nutné široké zapojení jednotlivých odvětví do diskusí nad toto důležitou právní normou pro:
- správné pochopení a úpravu jednotlivých požadavků na kybernetickou bezpečnost
- plánování a přípravu nutných investičních nákladů na vybudování odpovídající a nutné kybernetické bezpečnosti a provozních nákladů.
České firmy z pohledu společnosti neustále zvyšují povědomí o kybernetických bezpečnostních rizicích a přijímají opatření ke zlepšení své odolnosti. Podle průzkumu Svazu průmyslu a dopravy ČR – SPCR se dvě třetiny z téměř 100 dotázaných českých firem domnívají, že největší hrozbou v digitální oblasti je riziko kybernetických útoků a více než 80% společností dotazovaní přijímají opatření na kybernetickou ochranu svých systémů a infrastruktury.
Riziko kybernetických útoků je největším nebezpečím, které nám hrozí a kybernetická bezpečnost by se měla stát nejdůležitější prioritou celé společnosti, a to jak na úrovni států a jejich odpovídajících předpisů, tak i na úrovni jednotlivých firem a výrobců a v neposlední řadě na úrovni jednotlivců. Kybernetickou bezpečnost je nutné nejen zavádět a dodržovat, ale především vyžadovat, tzn. požadovat, aby jednotlivá zařízení byla kyberbezpečná a integrálně zapadala do již vytvořené kybernetické bezpečnosti na jednotlivých úrovní společenských i infrastrukturních. Je tedy nutné odstranit tak zvaný kybernetický paradox viz následující obrázek:
Zdroj: vlastní tvorba
Jak tedy správně zavést, provozovat a rozvíjet kybernetickou bezpečnost na všech již zmíněných úrovní a správně kyberbezpečnost dodržovat a vyžadovat – vymáhat není triviální úloha. Je nutné si uvědomit, že kybernetická bezpečnost:
- se týká každého z nás, a to jak v práci, tak doma, a to jak na PC, notebooku tak i tabletu, mobilu,
- vyžaduje maximální podporu a akceptace top managementu a zapojení všech stakeholderů,
- potřebuje neustálý rozvoj bezpečnostního povědomí,
- není vidět a čím více do ní investujete tím více není přímo vidět,
- už ne potenciálně, ale skutečně ochraňuje před obrovskými ztrátami (finanční, reputace, …),
- vyžaduje neustále nové přístupy a řešení a kontinuální rozvoj,
- je komplexní a velmi dynamická,
- musí být ucelená, systémová, smysluplná, účelná a efektivní,
- každý už byl „napaden“ – buď to přiznává, nebo nepřiznává, v nejhorším případě o to neví.
Z výše uvedených důvodů je si musíme ujasnit základní pravidla pro vybudování odpovídající, účelné a efektivní kybernetické bezpečnosti:
- Kybernetická bezpečnost se musí budovat kontinuálně s využitím moderních bezpečnostních metod.
- Kybernetická bezpečnost se musí budovat komplexně na základě jasného integrálního konceptu.
- Kybernetickou bezpečnost nelze stavět jako samostatné ostrovy technologie zapojené do infrastruktury, ale vždy jako jeden integrální celek obsahující všechny prvky ochrany a obrany, které jsou pro danou organizaci nutné a účelné.
- Kybernetická bezpečnost musí být plně funkční, ale i efektivní a účelná.
- Na každé úrovni organizace a jednotlivce je nutné dodržovat tzv. kyber hygienu:
- neklikat na vše co vidím,
- nepožívat jedno heslo pro všechny účty,
- mít odpovídající sílu hesel,
- nepsat hesla na „žluté papírky“,
- nepoužívat pracovní mail pro soukromé účely ani jako username na privátní účty (facebook, eshopy, …),
- minimalizovat používání (až striktní nepoužívání) veřejných wifi,
- naprosté nepoužívání cizích paměťových médií a vlastní „nedávat z ruky“,
- a mnoho dalších jednoduchých zásad.
- Kybernetická bezpečnost nesmí být „jednobarevná“, tzn. postavená na technologií jednoho výrobce, ale naopak musí být technologicky diverzifikovaná avšak musí tvořit homogenní integrální celek.
- Pro kybernetickou bezpečnost nezatracujte některé technologie ať již od konkrétního výrobce nebo z konkrétního kontinentu, ale vždy kontrolujte bezpečnost a vhodnost příslušné technologie do vaší “skládačky“ kyberbezpečnosti, tak aby tvořila integrální celek.
- Kybernetická bezpečnost není jen technologie, ale má základní tři části, které také musí tvořit jeden homogení integrální celek:
- pravidla – zásady – předpisy kyberbezpečnosti vždy v souladu se systémem řízení příslušné organizace,
- lidé – největší riziko kyberbezpečnosti,
- Kontinuální rozvoj kybernetické bezpečnosti musí dodržovat základních 7N:
- nutné zajištění standartního správně fungujícího provozu ICT (údržba, update, rozvoj, …)
- nutný neustálý monitoring hrozeb a zranitelností (vnitřní, vnější),
- nutná verifikace předpokladů kyberbezpečnosti / systému řízení bezpečnosti informací – ISMS (hodnocení aktiv, účinnost, …),
- nutné neustálá aktualizace pravidel dle vývoje hrozen, zranitelností, rizik, událostí a incidentů,
- nutná implementace preventivních a nápravných opatření včetně vyhodnocení účinnosti,
- nutná včasná reakce na jakoukoliv změnu mající dopad na kyberbezpečnosti / ISMS.
- V neposlední řadě kybernetická bezpečnost potřebuje dostatek profesionálů s odpovídajícími skutečnými znalostmi současné problematiky kybernetické bezpečnosti – proto je nutné dodržovat pravidlo odpovídající rozvoje bezpečnostního povědomí a to na všech úrovní organizace od uživatelů po administrátory a managery.
Výše uvedený výčet základních pravidel je skutečně jen základní výčet, ale při jeho splnění a dodržování se vydáte po nejlepší cestě jak se ochránit největšímu nebezpečí, které nám hrozí. Pozitivní na této skutečnosti je fakt, že ochrana před největším nebezpečím je poměrně snadná s porovnáním s ochranou před ostatními nebezpečími, kterým musíme čelit – přírodní katastrofy, pandemie, konvenční války, apod.
Autor: Ing. Miroslav Tůma, Ph.D., Tech Data AS Czech s.r.o.
Foto: Freepik
Malware Anatsa pro Android se dočkal přes 150 000 stažení přes Google Play
Bankovní trojský kůň Anatsa se zaměřuje na uživatele v Evropě a infikuje zařízení se systémem Android prostřednictvím malwarových dropperů umístěných na Google Play.
Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?
S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.
„AI přítelkyně” jsou noční můrou pro soukromí
Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.
4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA
Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.
Jak být anonymnější online
Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.
Nejhorší hacky roku 2023
Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.
0 Comments