Kybernetická obrana nie je len vonkajším štítom. Začína sa vnútri firmy
1.2.2022 – Hoci ostatné dva roky boli pre väčšinu sveta veľmi nepríjemné, jedno sa pandémii uprieť nedá. Nasmerovala ľudí i celé firmy k tomu, aby začali fungovať digitálne, a to i tam, kde to predtým bolo nepredstaviteľné.
Plány na digitalizáciu, ktoré sa mali pôvodne naplniť vo vzdialenejšej budúcnosti, bolo treba realizovať hneď. Firmám tak nezostalo nič iné, len vyjsť v ústrety technologickému pokroku. S každým takým posunom vpred však prichádzajú i hrozby. Tou zásadnou sú kyberútoky a krádeže dát, ktorým súčasný trend práce z domu jednoznačne nahráva. Podľa niektorých štúdií uniklo len v roku 2020 až dvanásť miliárd záznamov do nesprávnych rúk. Dá sa tomu nejako vyhnúť? A ako?
Možno by ste okolo svojich IT systémov a dátových úložísk najradšej postavili vysokú stenu s ostnatým drôtom, ktorá by dovnútra nevpustila ani jedného narušiteľa. To však pochopiteľne nie je možné – či už doslova alebo ani obrazne. Neustále pripojenie k internetu je nielen nenahraditeľným spojením s okolitým svetom, ale aj bránou pre hackerov, pripravených dostať sa k citlivým údajom jednotlivcov i firiem. Ako veľmi túto pomyselnú bránu otvoríme, záleží len na nás. Jedno je ale isté, všetky naše snahy by mali smerovať k tomu, aby sme sa nebránili len pred útokmi zvonka, ale predovšetkým vnútri. „Základom je dôkladné školenie všetkých zamestnancov, ktorí môžu nevedome či úmyselne kybernetickú škodu spôsobiť. Len pri školeniach by sa to však skončiť nemalo,“ hovorí Jiří Bavor, Head of Manufacturing SEE zo spoločnosti Atos s tým, že existuje i množstvo ďalších poistiek.
Data Leakage Prevention
Jednou z možností ochrany sú takzvané Data Leakage/Loss Prevention riešenia (DLP). Už z názvu je zrejmé, že ide o preventívne opatrenie, ktoré pracuje so správnou identifikáciou a nastavením oprávnení jednotlivých používateľov. „Vďaka DLP jednoducho nenastane situácia, že by mal niektorý z používateľov prístup k citlivým dátam, s ktorými priamo nepracuje a ku ktorým sa nemá dostať,“ vysvetľuje odborník Atosu.
Nehovoríme tu ostatne len o kybernetickej obrane, ale i o dodržiavaní európskeho nariadenia GDPR a z neho vychádzajúceho zákona o ochrane osobných údajov. V rámci DLP však zďaleka nejde len o osobné údaje, ale i o finančné údaje firmy, výrobnú dokumentáciu, obchodnú komunikáciu a čokoľvek ďalšie, čo má pre organizáciu nejakú hodnotu.
Ďalšou funkciou DLP je ochrana citlivých dát pred ich zdieľaním. V každej firme sú totiž zamestnanci, ktorí s danými citlivými dátami musia pracovať, a preto sa môže stať, že sa cez nich hoci i neúmyselne dostanú do nepovolaných rúk. „Pre také prípady sú citlivé dáta chránené tak, aby sa nedali napríklad stiahnuť do externých úložísk alebo odoslať mailom. I keby ich teda niekto chcel dostať von, nepodarí sa mu to,“ dodáva expert spoločnosti Atos.
Hľadaniu vhodného riešenia na kybernetickú bezpečnosť by malo predchádzať zodpovedanie dôležitých otázok: aké dáta sú pre nás najdôležitejšie, ktoré údaje chceme chrániť, kde ich budeme uchovávať a kto k nim bude mať prístup. Niekedy totiž môže stačiť zabezpečiť nedostupnosť dát, inokedy je zase potrebné samotné zaistenie proti ich krádeži.
Zvláštnu pozornosť si zaslúžia takzvané PLM systémy, cez ktoré zdieľa citlivé informácie o výrobe produktov viacero firiem alebo ich pobočiek, v rámci svojho dodávateľského reťazca a to veľmi často i medzinárodne. V tomto prípade by mali firmy na kybernetickej bezpečnosti spolupracovať a zabezpečiť i odovzdávanie týchto dát medzi sebou.
Ochrana od rysovacej dosky po výrobný stroj
Už sme sa zmienili, že okrem dát v informačných systémoch môže ísť i o ďalšie citlivé údaje. Čo je však v súčasnosti najväčšia výzva? „Ide o komplexnú bezpečnosť všetkých súčastí organizácie proti kyberútokom. Už dávno totiž netreba chrániť len takzvanú kancelársku časť. Vo väčšine firiem sú k sieťam pripojené i výrobné a ďalšie stroje či prístroje, ktoré sú na útoky náchylné úplne rovnako ako počítače a notebooky. V súčasnosti teda často pomáhame s ochranou celých organizácií, teda aj ich výrobných oddelení a výrobných technológií,“ hovorí odborník Atosu o prepojení takzvanej OT (prevádzkové technológie) a IT (informačné technológie) bezpečnosti. O tieto dve oblasti sa navyše vo firmách typicky starajú dve rôzne oddelenia manažmentu, čo prináša ďalšiu výzvu.
Pod komplexnou ochranou si zároveň môžeme predstaviť celý proces od vypracovania metodiky kybernetickej ochrany a implementácie príslušných technických a organizačných opatrení, školení používateľov, cez zabezpečenie citlivých dát až po prípravu pre prípad útoku a tiež na minimalizáciu škôd po takom útoku.
Takú komplexnú ochranu môžu zabezpečiť nástroje Security Information and Event Management (SIEM), ktoré vytvárajú záznamy o všetkých činnostiach v IT aj v OT a následne ich analyzujú, hľadajú potenciálne riziká a včas o nich informujú IT oddelenia. Prepojenie s ďalšími systémami potom umožní i presnú lokalizáciu problému a poskytne návrh jeho riešenia. Podobne fungujú aj takzvané Security Operation Centrá (SOC), ktoré sú strediskom všetkého, čo vo firme slúži na ochranu pred ohrozením firmy a ktoré si možno prenajať ako službu.
Kto je pripravený, ten nie je prekvapený
V rámci komplexnej ochrany je dôležité počítať s tým, že útok skôr či neskôr príde a vhodnou prípravou možno minimalizovať škody. „Firmám v rámci kompletného zabezpečenia kyberbezpečnosti pomáhame aj so zostavovaním Business Recovery plánov, ktoré pomôžu sa rýchlo zorientovať v prípade útoku a následne sa z neho zotaviť,“ hovorí Jiří Bavor zo spoločnosti Atos.
Počítať treba so stratou či krádežou dát, ich zneužitím alebo nedostupnosťou, prípadne zastavením výroby, škodami na majetku alebo dokonca i s rizikom zranenia zamestnancov. V každom prípade ide zároveň o reputačné riziko, ktoré môže firmu na dlhý čas očierniť v očiach zamestnancov, obchodných partnerov, či celej verejnosti. Ak existuje možnosť takým škodám zabrániť alebo aspoň ich riziko minimalizovať, musí sa ňou manažment firmy rozhodne vážne zaoberať.
Informačný servis