Kyberbezpečnost by se dala definovat jako soubor konkrétních postupů a technologických řešení, které dohromady vedou k ochraně firemních dat a zajištění kontinuity byznysu. Ačkoliv se statutáři mnoha firem domnívají, že se oblastí informační a kybernetické bezpečností nemusejí zabývat detailně, protože mají IT oddělení, opak je pravdou. Manažer kybernetické bezpečnosti, který je odpovědným za systém řízení bezpečnosti informací, je ve firmě důležitou postavou.
Malé a střední podniky, jejichž podnikání nespadá pod současný ani budoucí zákon o kybernetické bezpečnosti, nenutí v podstatě žádné oficiální nařízení zabývat se kybernetickou bezpečností, zahrnující i ochranu vlastních firemních dat. Je tedy zcela na jejich svobodné vůli, na jaké úrovni své zabezpečení udržují, záleží více méně jen na vedení a jeho osvícenosti. Ze zkušenosti odborníků však vyplývá, že situace bývá mnohde velmi neutěšená a je jen otázkou času, kdy dojde k bezpečnostnímu incidentu.
V roce 2020 proto vznikla expertní organizace CyberSecurity Hub, kterou společně založily tři české univerzity: ČVUT, VUT a MU Brno. Tímto počinem se však podařilo vytvořit celý ekosystém organizací zaměřených na podporu výzkumu a digitální transformace. A jednou z hlavních oblastí, kterým se toto konsorcium věnuje, je kyberbezpečnost a pomoc firmám a institucím veřejné správy se zaváděním kyberbezpečnostních standardů.
Delegujte řízení bezpečnosti a odpovídající pravomoci
Podle Jiřího Sedláčka, výkonného ředitele organizace Network Security Monitoring Cluster, který s hubem úzce spolupracuje, bývá zejména v menších, ale i středních firmách problém s řízením bezpečnosti a delegováním pravomocí.
„Management, majitelé či statutární orgány i z důvodu zahlcenosti vlastními agendami vůbec netuší, o čem kybernetická bezpečnost je. Myslí si, že je čistě záležitostí IT oddělení. Jenomže pokud se bude ajťák zabývat kyberbezpečností, bude vlastně ve schizofrenní roli. Bezpečnost totiž znamená restrikce, zatímco IT oddělení zajišťuje udržení ICT organizace v provozu,“ říká a dodává příklad ze své vlastní praxe.
Když před lety působil jako IT administrátor v soukromé firmě, dostal od vedení za úkol upgradovat firmware v diskovém poli. Věděl ale, že nemá k dispozici dostatečný prostor pro zálohu dat, a pokud by upgrade nedopadl, firma by přišla o všechna data. „Proto jsem zcela logicky upgrade firmwaru odmítal, byť z pohledu bezpečnosti jej bylo nutné provést.“
Jiří Sedláček také hovoří o pravidle „tří N“, které se naučil, když se věnoval projektovému řízení. Znamená „Nikdy Nic Nepředpokládat“. Tím má na mysli snahu vyhnout se situaci, kdy různé složky ve společnosti předpokládají, že zodpovědnost má kdokoliv jiný, případně, že všichni uvažují stejně a v dané situaci se budou nějak chovat. Ovšem bez toho, že by existovala nějaká pravidla, byly stanoveny odpovídající role, s nimi související odpovědnosti a komunikační matice.
„Typicky vedení předpokládá, že bezpečnost má v gesci IT oddělení, to je ale svázáno svým provozním pohledem a mnohdy nemá jasno v tom, co od něj vedení v bezpečnostní oblasti vlastně očekává. Nevyjasnili si to. Vedení taktéž předpokládá, že zaměstnanci důsledně chrání informace a v krizových situacích se budou odpovídajícím způsobem chovat, ovšem bez toho, že by někdo stanovil nějaká pravidla a postupy. A v případě, že nastane incident, nikdo neví nic a probíhá takzvaný průzkum bojem.“
Nastavte pravidla
V kyberbezpečnosti jde také o stanovená pravidla. Proces jejich zavádění je náročný, ale vyplatí se.
Prvním krokem k nápravě stavu, kdy se o bezpečnost ve firmě fakticky nikdo nestará, je uvědomění si, že role manažera kybernetické bezpečnosti je v současnosti nezbytnou součástí řízení firmy. Pokud firma nespadá takzvaně pod zákon, nemusí mít takový člověk legislativou stanovené znalosti a zkušenosti.
„Pro začátek tedy postačí, když bude mít alespoň základní úroveň znalostí, protože zbytek se dá vždy doučit. Důležité ale je, aby byl schopen zvládat stresové situace a měl dobré organizační i řídicí schopnosti. V ideálním případě může mít k ruce ještě externího konzultanta. Manažer kybernetické bezpečnosti musí být mimo jiné schopen bouchnout do stolu, protože v době incidentu bude zodpovědný za krizové řízení a bude si muset obhájit svůj pohled na věc, i kdyby se mělo jednat například o okamžité vypnutí celé firmy,“ pokračuje Jiří Sedláček a dodává, že lepší je hledat takové lidi uvnitř firmy, případně někoho přijmout na klasický zaměstnanecký poměr než se spoléhat na outsourcing, tedy sdíleného manažera kybernetické bezpečnosti nabízeného třetími stranami.
„V okamžiku incidentu je totiž klíčové mít manažera k dispozici na místě ihned a vědět, že se vzniklému problému bude věnovat naplno a tak dlouho, jak bude potřeba.“
Kyberbezpečnost v administrativním, respektive manažerském ohledu znamená zejména dokumentaci všeho, tvorbu politik, metodik či směrnic a dodržování zavedených pravidel. I proto je klíčové, aby měl manažer stanovený statut, tedy jasně definovaný soubor práv a povinností, jež musejí být spolu v rovnováze. Tak, aby nedocházelo k situacím, kdy má manažer povinnosti a odpovědnosti, kterým ale není schopen dostát, protože nemá dostatečné pravomoci.
Teprve poté, kdy je manažer oficiálně ustanoven do funkce, se může začít zabývat tím, jak ve firmě reálně situace vypadá a začít tvořit pravidla, která povedou k ochraně dat i zajištění kontinuity činností.
Zadejte externí analýzu
K informaci o tom, jaká pravidla jsou ve společnosti nastavena, která jsou zbytečná, a která naopak chybějí a je potřeba je zavést, může manažerovi pomoci externí analýza, jíž bezplatně poskytuje například CyberSecurity Hub.
V případě zvolení této služby firma nejprve vyplní zevrubný dotazník strukturovaný v souladu s Minimálním bezpečnostním standardem, který vytvořil a na svém webu zveřejnil NÚKIB. Dalším krokem je řízený pohovor konzultanta se zainteresovanými osobami uvnitř firmy.
Na základě těchto dvou vstupů pak konzultant vypracuje cca 60stránkovou srovnávací analýzu s metodickým posouzením stávajícího stavu a návrhem kroků, které je třeba učinit, aby firma sladila své chování, procesy a bezpečnostní opatření se zvoleným bezpečnostním rámcem.
Pokud se společnosti dotýká či bude dotýkat zákon o kybernetické bezpečnosti (v současné podobě či po transpozici NIS2 [Network and information security 2 — celoevropská směrnice o kybernetické bezpečnosti, jejímž cílem je zvýšení odolnosti organizací proti kybernetickým útokům — pozn. red.]), pak bude bezpečnostním rámcem příslušná legislativa.
„Pokud však pod zákonem není, může realizovat zavádění bezpečnostních opatření například v souladu s ISO 27001. Pokud firma nepotřebuje ani takovou úroveň zabezpečení, může se nechat vést právě Minimálním bezpečnostním standardem [dokument nabízející zjednodušené principy, postupy a doporučení v oblasti kybernetické bezpečnosti pro organizace, které nespadají pod regulaci zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Tento zákon vznikl za spolupráce Národní agentury pro komunikační a informační technologie a Ministerstva vnitra ČR a je dostupný na stránkách nukib.gov.cz — pozn. red.] a podle něj zavádět buď všechna bezpečnostní opatření, nebo opatření podle své vlastní potřeby a v závislosti na oblasti svého podnikání.“
Vytvořte a zaveďte bezpečnostní pravidla
Asi nejsložitější prací manažera kybernetické bezpečnosti je podle Jiřího Sedláčka vytváření a zavádění nových pravidel, protože v momentě, kdy s tím začne, zvedne se zcela logicky vlna odporu napříč odděleními.
„Když se utahují šrouby a po zaměstnancích se najednou vyžaduje jiný způsob práce, nespokojenost roste. V tuto chvíli je velice důležitá podpora vedení, a to nejen deklaratorně. Změna také spočívá v potřebě evidence mnoha činností včetně řízeného vstupu do režimových prostor. Musejí se revidovat přístupové údaje, vzdělávat zaměstnanci, používat nové postupy… Je potřeba upravit své chování v souladu s nově stanovenými bezpečnostními požadavky. Přibývají nové činnosti a odpovědnosti. Začne platit jiná hierarchie a tomu všemu se zaměstnanci už z principu brání,“ vysvětluje s tím, že zavedení nových pravidel vede k odporu i z jiných důvodů.
„Pokud je vše jasně sepsané a dokumentované, je nesporná i odpovědnost každého zaměstnance. V případě incidentu se pak začne řešit, kdo měl jakou pravomoc a odpovědnost a jaké kroky měl udělat, aby incidentu zabránil či zmírnil jeho dopady. Bez dokumentace jasně stanovená odpovědnost chybí a vinu je možné přehazovat na ostatní kolegy.“
I proto, aby se předešlo chybám, které by mohly vést k bezpečnostnímu incidentu, je potřeba zaměstnancům na všech úrovních stanovit jasná pravidla a všechny bez rozdílu neustále proškolovat. Lidský faktor řeší Politika bezpečnosti lidských zdrojů a Politika bezpečného chování uživatelů.
Vzdělávejte zaměstnance na všech úrovních
A jelikož je manažer kybernetické bezpečnosti odpovědným za celý systém řízení bezpečnosti informací dané organizace, na jeho bedrech taktéž leží povinnost zajistit, aby měl každý pracovník k dispozici školení, která jsou odpovídající jeho pracovní pozici či odpovědnosti. Musí zároveň zajistit personální kapacitu, metodiky testování i vyhodnocování.
„Obecná školení pro zaměstnance napříč pozicemi mohou provádět externisté ze CyberSecurity Hubu. Odborná technická školení pak nabízejí v rámci platformy univerzity, které mají k dispozici laboratoře pro kyberbezpečnostní cvičení. Jsou schopni simulovat infrastrukturu i útoky a hodnotit, jak si se situací lidé poradí,“ říká na závěr Jiří Sedláček.