Soubor zákonů kyberbezpečnosti je zaměřený na vyvracení převládajících mýtů v dnešním světě všudypřítomných rizik kybernetické bezpečnosti. Od vydání původních neměnných zákonů v minulosti se informační bezpečnost rozrostla z technické disciplíny na obor řízení kybernetických bezpečnostních rizik, který zahrnuje cloud, internet věcí (IoT) a provozní, často kritické technologie (OT). Následujících deset zákonů kyberbezpečnosti popisuje různé oblasti oboru, které jsou platné bez ohledu na čas nebo dodavatele bezpečnostních řešení.
kyberbezpečnost zákony IT deset zákonů
1. Úspěch kybernetické bezpečnosti znamená ruinování ROI útočníka
Existuje stav absolutní bezpečnosti a nenapadnutelná organizace? Docílení takového stavu je spíše iluzí a snem každého pracovníka odpovědného za stav kybernetické bezpečnosti v organizaci. V reálném světě vždy existuje alespoň jedna možnost, jak společnost více či méně úspěšně napadnout. Ať už velmi sofistikovaným phishingem, nezabezpečeným zařízením s přístupem do internetu apod. To, o co nám v kybernetické bezpečnosti ve skutečnosti jde, je být natolik drahým cílem z pohledu vynaloženého úsilí pro útočníka, aby se o útok nepokoušel. Je to podobné, jako když Z á k o n y k y b e r b e z p e č n o s t i kyberbezpečnost zákony IT deset zákonů budou na veřejném parkovišti stát vedle sebe dvě identická auta a zloděj se má rozhodnout, kterému z těch dvou prohodí kámen oknem a pokusí se s autem odjet. Pokud jedno auto bude mít alarm, GPS sledování a zámek řadicí páky, zatímco druhé auto jen klasické zámky, hádejte, které auto si zloděj vybere. Samozřejmě to, u kterého bude úsilí. Ze stejného důvodu se v kybernetické bezpečnosti vrství různé metody obrany od identity přes data až po zabezpečení operačního systému dat s cílem zvyšovat útočníkovy náklady na úspěšný útok. Hackerské skupiny jsou dnes mnohem více klasickými firmami, které si hlídají tzv. návratnost investice stejně jako každá jiná firma. U útočníků v kybernetice jde samozřejmě o investice do úsilí, nástrojů, technik a taktik, které musejí použít, aby útok úspěšný byl. A právě tuto návratnost investice ničíme, pokud máme vícevrstvé zabezpečení v organizaci.
2. Kdo chvíli stál, už stojí opodál
Zabezpečení je nepřetržitou cestou, musíte se neustále posouvat vpřed, protože pro útočníky je stále levnější úspěšně ovládnout vaši organizaci. Ta je reprezentována uživatelskými identitami, tedy jejich účty, přihlašovacími údaji, vašimi počítači, servery, daty – vším, co je digitální. Je zcela klíčové neustále implementovat bezpečnostní záplaty, bezpečnostní strategie, povědomí o hrozbách, inventáře technologií, bezpečnostní nástroje, bezpečnostní hygienu, monitorování zabezpečení, modely oprávnění, pokrytí platforem a vše ostatní, co se v průběhu času mění. Ruku na srdce, kdy naposledy jste aktualizovali metodiku, jak se má řešit bezpečnostní incident nebo strategie kybernetické bezpečnosti? Kdy naposledy jste se podívali, v jakém stavu jsou všechna zařízení připojená do vnitřní sítě a jaké slabiny se na nich nacházejí? Rada „aktualizujte své počítače, servery a další“ může znít jako banální nebo samozřejmá, ale většina útoků se spoléhá na fakt, že firmy neimplementují bezpečnostní záplaty a mnohdy jsou zneužívány chyby v programech, které mají od výrobce zdarma dostupnou aktualizaci klidně i několik let. Ne vždy dokonce pomáhají pravidelné audity IT. Proč? Audit se mnohdy pouze ptá, jestli daný dokument či postup existuje a je někde popsaný. Neřeší však, zda je daný postup pravidelně zkoušen, jestli je aktuální a jestli jsou s ním odpovědné osoby seznámeny. Ale v auditní zprávě „svítí zelená“, protože zjišťovaná položka „společnost má strategii kybernetické bezpečnosti“ byla uspokojena právě tím, že nějaký dokument existuje. Avšak neřeší se jeho kvalita ani aktualizace. A tak řada firem nechtěně „lže“ sama sobě.
3. Produktivita vždy vítězí
Pokud bezpečnost není pro uživatele jednoduchá, budou se ji uživatelé snažit obejít. Cílem lidí ve firmách a organizacích není naplňovat procesy bezpečnosti a chápat, že nejde poslat např. obchodní dokument dodavateli nebo stáhnout z internetu pracovní obsah. Jejich prací je být marketingovým specialistou, účetním, vrátným, IT a mnoha dalšími rolemi. Dejme si krátký příklad. Nadřízená manažerka Tereza zadá úkol panu Petrovi, že se má rozeslat uchazečům výběrového řízení dokumentace k projektu. IT bezpečnost však nastavila striktně, že se dokumenty určitého formátu nesmějí rozesílat poštou ani jinak řízeně sdílet, např. přes OneDrive for Business. Ale úkol paní Terezy zněl jasně. Co bude cílem pana Petra? Dostat dokument k uchazečům nebo vysvětlit paní Tereze, že to nejde kvůli IT bezpečnosti. Samozřejmě udělá to, že se pokusí nahrát dokument např. na veřejné portály určené ke sdílení dokumentů. Nebo ho rozešle skrze soukromý e-mail. Pokud bezpečnost nebere v úvahu komfort uživatele, nevysvětluje, jak se mají věci dělat správně, nemůže se pak divit, že si uživatelé hledají svoje vlastní cesty. Protože Petr potřebuje odeslat dokument, jak mu paní Tereza řekla, nikoli vyhovět jakési virtuální kyberbezpečnosti. Krásným příkladem, kdy se potká zvýšená bezpečnost s uživatelským komfortem, je funkce Windows Hello, která umožňuje se do počítače hlásit pomocí PINu namísto hesla, otisku prstu nebo skenu obličeje. Stejně jako to známe u mobilních telefonů. Zajímavé je, že tento typ přihlášení je mnohem bezpečnější než klasické heslo a zároveň je pro uživatele při použití biometriky mnohem komfortnější se do počítače přihlásit. Počítač se na vás „podívá“ a jednoznačně určí, že vy jste vy a ne jen někdo, kdo zná vaše heslo.
4. Útočníci nemají svědomí
Útočníci využijí jakéhokoli místa a prostředku, aby se dostali do prostředí organizace a k co nejvyššímu počtu zařízení, která tam jsou. A nemusí jít jen o klasické počítače a notebooky. Útočník útočí a je jedno, skrze co se do organizace dostane. Napadnout lze různé typy zařízení či služeb od klasických počítačů, notebooků, termostatů, síťových tiskáren, internetových služeb, mobilních telefonů nebo obelhat uživatele. Způsobů a metod je velké množství a útočníci to dobře vědí. Cílem kyberbezpečnosti je porozumět nejjednodušším a nejlevnějším možnostem útoku a také těm nejužitečnějším (např. všem, které vedou ke správcovským právům v mnoha systémech). Z pohledu svědomí jako takového je útočníkovi vážně jedno, jestli útočí na komerční firmu, státní správu nebo dětskou nemocnici. I když existují ojedinělé a vzácné případy, kdy útočník poskytl své oběti dešifrovací klíč poté, co se dozvěděl, že pomocí ransomwaru právě napadl dětskou nemocnici, ale to jsou extrémně vzácné situace. Svědomí v kyberprostoru neexistuje.
5. Bezohledná prioritizace je dovedností pro přežití
Nikdo nemá dostatek času a prostředků na to, aby eliminoval všechna rizika pro všechny zdroje. Vždy začněte tím, co je pro vaši organizaci nejdůležitější a pro útočníky nejzajímavější, a tuto prioritizaci průběžně aktualizujte. Stejně tak to platí pro vztahy s dodavateli či zákazníky. Z pohledu kybernetické bezpečnosti musí organizace myslet hlavně sama na sebe. A pokud se má opravdu efektivně bránit, musí sama sebe chápat. Co jsou tzv. business critical systémy? Tedy takové, bez kterých samotná firma není schopná plnit potřeby zákazníků? Jaké systémy jsou podpůrné? Jaké slabiny tyto systémy mají? Jaká je jejich váha a důležitost? Existuje plán obnovy systémů, když by je někdo napadl? Kdy byly podobné dokumenty naposledy aktualizovány? To vše a mnohem více je zcela zásadní pro kybernetickou bezpečnost, a proto není podstatné, aby takové materiály vznikly jednou a splnila se podmínka auditu, ale aby byly pravidelně aktualizovány a byly vždy platné a funkční.
6. Kybernetická bezpečnost je týmový sport
Nikdo nemůže dělat všechno, proto je vždy důležité se zaměřit na věci, které může organizace pro ochranu svého poslání udělat. Věci, které mohou lépe nebo levněji udělat jiní, by měli udělat oni. To jsou dodavatelé zabezpečení, poskytovatelé cloudu, komunita. Např. není ideální, když se organizace snaží zamezit využití cloud technologií, a tedy nevyužít např. sdílené databáze hrozeb, které jsou dnes právě díky cloud technologiím dostupné. Je to méně efektivní, méně bezpečné a rozhodně to nezvyšuje celkovou odolnost organizace, jak by někteří mohli namítat. Další příklad může být z pohledu lidských zdrojů. Často se dá setkat s názorem, že za kybernetickou bezpečnost je odpovědné oddělení kybernetické bezpečnosti, pokud takové v organizaci existuje. Není tomu tak. Za úroveň kybernetické bezpečnosti ve firmě jsou na konci dne odpovědní úplně všichni. Od uživatele přes IT oddělení až po nejvyšší vedení organizace. Všichni jsou nějakou měrou odpovědní a přispívají k celkovému stavu kybernetické bezpečnosti. Stejné je to s vozovým parkem. Oficiálně bude odpovědný pracovník „carfleet“, ale ke kvalitě vozového parku budou přispívat všichni, kdo s auty v dané organizaci jezdí.
7. Vaše síť není tak důvěryhodná, jak si možná myslíte
Strategie zabezpečení, která se spoléhá na hesla a důvěřuje jakémukoli zařízení, které je v interní síti, je jen nepatrně lepší než žádná strategie zabezpečení. Útočníci se podobným ochranám snadno vyhnou, takže úroveň důvěryhodnosti každého zařízení, uživatele a aplikace musí být průběžně prokazována a ověřována. To vše řeší i princip kybernetické bezpečnosti nazývaný jako Nulová důvěra(Zero trust). V jednoduchosti to znamená, že když uživatel zná svoje uživatelské jméno a heslo, neznamená to, že má být automatický brán jako důvěryhodný. Stejně tak např. notebook, který je připojen do interní sítě a je součástí identitního systému, tak nemá být automaticky považován jako důvěryhodný. Při přihlášení pomocí uživatelského účtu, i když je jméno a heslo správně, dokonce i další faktor ověření (např. PIN na telefonu) bude správně, musejí se zároveň vyhodnotit další průvodní znaky, které takové přihlášení má. Např. z jaké země daný pokus o přihlášení je? Odkud bylo předešlé přihlášení? Je to typické pro daného uživatele, že se snaží přihlásit zrovna v takovou dobu, z dané lokality vůči dané službě? Pro zařízení může zase být zajímavé pracovat s informacemi, jako je rizikovost daného zařízení z pohledu aktivních hrozeb, kterým zařízení čelí, a na základě toho pomocí systému podmíněného přístupu automaticky umožnit či naopak znemožnit přístup z daného zařízení k některým či všem službám dané organizace. Automatizace je budoucnost a i v kybernetické bezpečnosti platí „důvěřuj, ale prověřuj“.
8. Izolované sítě nejsou automaticky bezpečnější
Ačkoli koncepty zcela izolovaných sítí mohou při správné údržbě nabídnout silné zabezpečení, úspěšné příklady jsou velmi vzácné, protože každý uzel musí být zcela izolován od vnějšího rizika. Pokud je bezpečnost natolik kritická, že je nutné umístit např. servery do izolované sítě, musí se investovat do zmírňujících opatření, která řeší potenciální průnik a propojení s vnějším světem prostřednictvím metod, jako jsou média USB (např. potřebná pro záplaty), přístupy k intranetové síti a externí zařízení (např. notebooky dodavatelů), a vnitřní hrozby, které by mohly obejít všechny technické kontroly. Zejména různá USB zařízení nebo právě notebooky dodavatelů, které nejsou pod kontrolou organizace, představují riziko a ohrožení pro izolované systémy. Proto se v takových případech, kdy se umožňuje připojení zařízení do obou typů sítě (vnější i izolovaný), nedá hovořit o izolovaných systémech. Stejně tak nelze zcela eliminovat hrozbu vnitřního útočníka.
9. Šifrování samotné není řešením ochrany dat
Šifrování chrání před útoky tzv. mimo pásmo (na síťové pakety, soubory, úložiště atd.), ale data jsou tak bezpečná, jak bezpečný je dešifrovací klíč (síla klíče + ochrana proti krádeži/ kopírování) a další autorizované přístupové prostředky. Pokud např. budeme šifrovat pevné disky všech počítačů v organizaci, je to samozřejmě dobrý nápad a zvýšení odolnosti proti některým typům útoku na zařízení nebo proti krádeži dat. Avšak pokud klíče pro obnovu/odemknutí disku uložíme do textového souboru, ten si dáme do složky IT na souborovém serveru a nebude nijak dále chráněn, pak samotné šifrování disků a informací je tak silné, jak je slabý průnik k tomu souboru. Při ochraně dat a informací rovněž nelze spoléhat jen na přístupová práva ke složkám, kde jsou data uložena. Musíme zabezpečit data, ať jsou kdekoli a ne jen na souborovém serveru uvnitř sítě. Není zase tak těžké je kopírovat třeba na USB disk. Právě pomocí šifrování a ověření identity pokaždé, kdy se k souboru přistupuje, se bezpečnost dat značně posouvá. A i když má daný člověk právo šifrované informace číst, mělo by záležet na povaze souboru a typu informace v něm, jestli smí taková data tisknout nebo kopírovat do jiného dokumentu. Kybernetická bezpečnost je vždy vícevrstvá a vždy se musíme dívat na všechny způsoby, jak se s danými prostředky nakládá, pracuje atd.
10. Technologie neřeší problémy s procesy nebo lidmi
Ačkoli strojové učení, umělá inteligence a další technologie nabízejí úžasný pokrok v oblasti bezpečnosti (pokud jsou správně použity), kybernetická bezpečnost je výzvou pro člověka a nikdy nebude vyřešena pouze technologií. Každý, kdo tvrdí, že vše řeší pouze a jen technologie a automatizace, nemůže v oboru kybernetické bezpečnosti uspět. Stejně jako se nelze spolehnout na procesy a vnitřní předpisy organizace, které sice jasně popisují, jak se uživatel má nebo nemá chovat, ale vnitřní proces nikdy nezabrání uživateli ve škodlivé aktivitě, zejména pokud byla udělána nezáměrně. Předpis je pouze předpis. Technologie silně posouvá míru bezpečnosti, ale samotná ji nevyřeší. Musí se vždy spojit vše, co máme, je to týmový sport.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Použité zdroje:
[ 1 ] Microsoft: The immutable laws of security [Online], dostupné z: https://learn.microsoft.com/en-us/security/zero-trust/ten-laws-of-security
