Kybernetická bezpečnost

Kybernetická bezpečnost a nová legislativa

Kybernetická bezpečnost již není (a ve skutečnosti nikdy nebyla) vlastní jen velkým společnostem, státním organizacím a bezpečnostním složkám. Ohroženi jsou všichni uživatelé informačních systémů a výpočetní techniky obecně. Každý rok proběhnou tisíce útoků způsobujících škody v řádech desítek až stovek milionů korun. 

Bezpečnostní hrozby

Bezpečnost podnikového IT je klíčovým faktorem pro ochranu důvěrnosti, integrity a dostupnosti informací v organizaci. Bezpečnostní hrozby, jako jsou hackerské útoky, phishing, malware a sociální inženýrství, mohou mít devastující účinky na podnikové systémy a procesy, což může vést nejen k již zmíněné finanční ztrátě, ale také velmi často ke ztrátě dobré pověsti a mohou mít i právní důsledky.

V České republice se kybernetickou bezpečností zabývá Zákon o kybernetické bezpečnosti č. 181/2014 Sb (ZKB) a Vyhláška č. 82/218 Sb. Tyto závazné dokumenty korespondují s evropskou směrnicí NIS (Directive on Security of Network and Information Systems) z roku 2016 a týkají se provozovatelů základních služeb a poskytovatelů digitálních služeb jako například zdravotnictví, veřejné správy, digitální infrastruktury, energetiky, infrastruktury finančních trhů a podobně. Ukázalo se, že tento rozsah je nedostatečný a celkově je nutné požadavky na kybernetickou bezpečnost aktualizovat.

Koncem loňského roku byla na evropské úrovni vydána nová norma NIS2, která bude v České republice zavedena v polovině roku 2024 formou novelizace ZKB. Nová norma NIS2 je vcelku logickým pokračováním již aplikované směrnice NIS a reaguje na potřebu zajistit dostatečnou úroveň kybernetické bezpečnosti u podstatně rozšířeného okruhu povinných subjektů.

Nová směrnice si klade za cíl zejména:

  • zajištění dostatečné míry kybernetického zabezpečení podniků a institucí působících v EU,
  • vyrovnání rozdílů v odolnosti mezi jednotlivými členskými státy a odvětvími,
  • zavedení jednotné strategie členských států proti nejvýznamnějším hrozbám a útokům,
  • umožnění společné reakce na případné krize,
  • podstatné rozšíření okruhu institucí, které ji budou muset povinně splnit.

Během roku 2023 a první poloviny roku 2024 mají firmy z veřejného a soukromého sektoru čas na přípravu plnění nových povinností. Konkrétně se odhaduje, že počet povinných organizací stoupne ze stávajících několika stovek na šest až sedm tisíc. Je ale důrazně doporučeno se kybernetickou bezpečností na podnikové úrovni velmi zabývat i v případě, že daná organizace nebude pod NIS2 spadat a využít nový zákon jako doporučení pro realizaci podnikových bezpečnostních opatření.

Zde naleznete novou směrnici EU o kybernetické bezpečnosti „NIS2“ a návrh NOVÉHO ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI, plánovaná platnost změn v kybernetické bezpečnosti od 2024.

Společnost OR-CZ je v současné době ve finální fázi přípravy na certifikaci dle ZKB a vyhlášky 82/2018 Sb, to znamená dle původní směrnice NIS. V procesu zavádění požadavků ZKB jsme získali značné znalosti a zkušenosti se zaváděním kybernetické bezpečnosti. Naše společnost je také poskytovatelem celé řady bezpečnostních prostředků a technologií jako jsou firewally, antiviry, zálohování, bezpečnostní dohled, etický hacking. Vítáme tedy novou směrnici a jsme připraveni poskytnout našim zákazníkům plnou podporu se zaváděním nejnovějších bezpečnostních standardů a účinných bezpečnostních postupů, aby minimalizovali riziko útoků a ochránili své důležité informace a operace.

Směrnice NIS2 stanoví řadu požadavků na výrobní podniky různých odvětví, poskytovatele digitálních služeb, výzkumné organizace a provozovatele kritické infrastruktury. Některá z nejdůležitějších požadovaných opatření:

  1. Zabezpečení sítě: Organizace budou muset zajistit, aby jejich sítě a informační systémy byly chráněny proti neoprávněnému přístupu, útokům a zneužití. To zahrnuje implementaci bezpečnostních opatření jako jsou firewall, antivirové programy, šifrování a další.
  2. Identifikace a ověřování: Organizace budou muset implementovat identifikační a ověřovací mechanismy pro uživatele, zařízení a aplikace. To zahrnuje dvoufaktorovou autentizaci, hesla s vysokou úrovní komplexity a další.
  3. Zabezpečení dat: Organizace budou muset zajistit, aby citlivá data byla chráněna proti neoprávněnému přístupu, zneužití a ztrátě. To zahrnuje použití šifrování, zálohování dat a další bezpečnostní opatření.
  4. Kontinuální monitoring: Organizace budou muset provádět pravidelný monitoring svých informačních systémů a sítí, aby mohly rychle identifikovat a reagovat na bezpečnostní incidenty.
  5. Plánování a pravidelné testování: Organizace budou muset mít plán pro řízení bezpečnostních rizik a pravidelně testovat svá bezpečnostní opatření.
  6. Zprávy o bezpečnostních incidentech: Organizace budou muset informovat relevantní orgány o bezpečnostních incidentech, které mohou mít dopad na ochranu kritické infrastruktury nebo digitálních služeb.

OR-CZ může být nápomocna při implementaci NIS2 a zajištění bezpečnosti vašeho IT:

  1. Zavedení silných hesel: Používání silných a unikátních 8 hesel pro všechny uživatele, včetně administrátorů, je klíčovým prvkem zabezpečení podnikového IT.
  2. Zavedení vícefaktorové autentifikace: Autentifikace s více faktory vyžaduje, aby uživatelé dokázali svou identitu (mimo hesla) pomocí několika různých metod, například PINu, biometrických informací, bezpečnostních tokenů a jiných předem stanovených informací.
  3. Používání firemního antivirového softwaru: Antivirový software pomáhá chránit počítačovou síť před virovými útoky a jinými bezpečnostními hrozbami.
  4. Šifrování dat: Šifrování dat je důležitou součástí ochrany datových souborů před neautorizovaným přístupem.
  5. Zabezpečení sítě: Síťové bezpečnostní opatření, jako jsou firewally, VPN a další, pomáhají chránit počítačovou síť před neautorizovaným přístupem a útoky.
  6. Pravidelné aktualizace softwaru: Pravidelná aktualizace softwaru je důležitá pro odstranění chyb a zajištění, že podnikové IT je v bezpečí.
  7. Monitorování sítě: Monitorování sítě pomáhá odhalit potenciální bezpečnostní hrozby a pomůže IT oddělení na ně rychle reagovat.
  8. Omezení a logování přístupu: Omezení přístupu umožňuje přidělit uživatelům přístup pouze k těm zdrojům, které potřebují k práci a veškeré přístupy a požadavky centrálně logovat.
  9. Udržování záloh dat: Udržování záloh dat pomáhá obnovit data po malware útoku nebo jiném poškození.
  10. Vzdálený přístup: Vzdálený přístup poskytuje uživatelům přístup k síti a souborům z jakéhokoli místa po celém světě. Je důležité zajistit, aby vzdálený přístup byl bezpečný.
  11. Zavedení principu Zero Trust.

Poslední bod má zásadní důležitost, neboť ve zkratce říká: Každý je nepřítel a tedy:

  • každý zdroj je hrozba,
  • každá komunikace je potencionálně nebezpečná,
  • nikdo nikam nesmí a pokud ano, musí být jasně zdůvodněno proč a co tam bude dělat,
  • o všem musí být záznamy,
  • neexistují žádné boční a neautorizované cesty, každý přístup musí být autorizován.

Princip Zero Trust odráží skutečnost, že 80-90 % všech kybernetických bezpečnostních incidentů způsobují tzv. oprávnění uživatelé. Zero Trust je možno chápat jako bezpečnostní model, který se soustředí na to, aby se žádný uživatel, zařízení nebo aplikace nedomnívali, že mají automaticky důvěryhodný přístup k jakékoliv části sítě nebo systému. To znamená, že každý uživatel, zařízení a aplikace musí být ověřeni a autorizováni před tím, než jim bude kamkoliv povolen přístup a tento přístup musí být zaznamenán. Zero Trust předpokládá, že každá část sítě, každý server, stanice nebo aplikace může být ohrožena a soustředí se na minimalizaci rizika a ochranu každého prvku sítě zvlášť.

Koncept Zero Trust klade důraz na identitu a ověření uživatele nebo zařízení, ne na to, kde se nachází nebo jakým způsobem se připojují k síti. Z tohoto důvodu se Zero Trust často označuje jako „identity-centric“ přístup.

Organizace by měla přijmout Zero Trust jako jeden z bezpečnostních modelů pro plnění požadavků NIS2 a minimalizovat počet lidí, kteří mají přístup k citlivým informacím a systémům a měla by vytvořit protokoly pro detekci a reakci na bezpečnostní incidenty.

Při budování této koncepce lze vycházet z principů nulové důvěry amerického Národního institutu standardů (NIST) a výsledkem uplatnění těchto principů je a mělo by být výpočetní prostředí se značnou odolností proti většině typů napadení. Principů dle NIST je obvykle uváděno sedm následujících:

  1. Všechny zdroje dat a výpočetní služby jsou považovány za zdroje.
  2. Veškerá komunikace je zabezpečena bez ohledu na umístění v síti.
  3. Přístup k jednotlivým organizačním zdrojům je poskytován na základě relace.
  4. Přístup ke zdrojům je určen dynamickou politikou, včetně pozorovatelného stavu identity klienta, aplikace/služby a požadujícího aktiva a může zahrnovat další atributy chování a prostředí.
  5. Organizace monitoruje a měří integritu a bezpečnostní postavení všech vlastněných a přidružených aktiv.
  6. Před povolením přístupu je veškerá autentizace a autorizace prostředků dynamická a přísně vynucená.
  7. Organizace shromažďuje co nejvíce informací o aktuálním stavu aktiv, síťové infrastruktuře a komunikaci a využívá je ke zlepšování své bezpečnostní pozice.

Implementace těchto principů je, jak již bylo uvedeno, velmi rozdílná a neexistuje produkt, který by ji komplexně zajistil. Například společnost Microsoft vidí jako klíčový krok k zajištění Zero Trust migraci do cloudu.

V OR-CZ stavíme na dokonalém zmapování všech zdrojů a stanovení stupně rizika s cílem indikované nepřijatelné hodnoty pokud možno odstranit.

V praxi navrhujeme a používáme osvědčená a doporučená řešení, která jsme připraveni implementovat u našich zákazníků. Rozhodně ale nemůže jít o statickou záležitost. Naopak je nutno, aby principy nulové důvěry byly neustále aktualizovány a přizpůsobovány nový skutečnostem. V poslední době jde například o internet věcí, umělou inteligenci, vysoké dekryptovací výkony grafických karet a další skutečnosti.