KYBERBEZPEČNOST


Kybernetická obrana není jen vnějším štítem. Začíná uvnitř firmy

I když byly pro většinu světa poslední dva roky střídavou hororovou poutí, jedno se pandemii upřít nedá. Nasměrovala lidi i celé firmy k tomu, aby začali fungovat digitálně, a to i tam, kde to dříve bylo nepředstavitelné.

Autor: Atos IT Solutions and Services, s.r.o.

Plány na digitalizaci, které se měly původně odehrát ve vzdálenější budoucnosti, bylo nutné realizovat hned, a tak firmám nezbylo nic jiného než vyjít vstříc technologickému pokroku. S každým takovým pokrokem však přichází i hrozby. Tou zásadní jsou kyberútoky a krádeže dat, kterým současný trend práce z domova jednoznačně nahrává. Podle některých studií uniklo jen v roce 2020 téměř 12 miliard záznamů do nesprávných rukou. Můžeme se tomu nějak vyhnout? A jak?

Možná byste okolo svých IT systémů a datových úložišť nejraději postavili vysokou zeď s ostnatým drátem, která by dovnitř nevpustila jediného narušitele. To však pochopitelně není možné. A to jak doslova, tak ani obrazně. Neustálé připojení k internetu je totiž nejen nepostradatelným spojením s okolním světem, ale také branou pro hackery připravené dostat se k citlivým údajům jednotlivců i firem. Nakolik tuto pomyslnou bránu otevřeme, záleží jen na nás. Jedno je ale jisté, veškeré naše snahy by měly směřovat k tomu, abychom útokům nebránili jen zvenčí, ale především uvnitř. „Základem je důkladné školení všech zaměstnanců, kteří mohou nevědomě či úmyslně kybernetickou škodu způsobit. Jen u školení by to však skončit nemělo,“ říká Jiří Bavor, Head of Manufacturing SEE ze společnosti Atos IT Solutions and Services s tím, že existuje i spousta dalších pojistek.

Základem je důkladné školení všech zaměstnanců, kteří mohou nevědomě či úmyslně kybernetickou škodu způsobit. Jen u školení by to však skončit nemělo.
Jiří Bavor Head of Manufacturing SEE, Atos IT Solutions and Services

Data Leakage Prevention 

Jednou z možností ochrany jsou tzv. Data Leakage/Loss Prevention (DLP) řešení. Již z názvu je patrné, že jde o preventivní opatření, které pracuje se správnou identifikací a nastavením oprávnění jednotlivých uživatelů. „Díky DLP zkrátka nedojde k tomu, že by měl některý ze zaměstnanců přístup k citlivým datům, se kterými přímo nepracuje a ke kterým se dostat nemá,“ vysvětluje Jiří Bavor z Atosu. Zde ostatně nemluvíme jen o kybernetické obraně, ale také o dodržování evropského nařízení GDPR a z něj vycházející zákon o ochraně osobních údajů. V rámci DLP však zdaleka nejde jen o osobní údaje, ale i o finanční údaje firmy, výrobní dokumentaci, obchodní komunikaci či cokoliv dalšího, co má pro organizaci nějakou hodnotu.

Další funkcí DLP je ochrana citlivých dat před jejich sdílením. V každé firmě jsou totiž zaměstnanci, kteří s danými citlivými daty musí pracovat, a tudíž se může stát, že se skrze ně dostanou, byť nezáměrně, do nepovolaných rukou. „Pro takové případy jsou citlivá data chráněna tak, aby nešla například stáhnout na externí úložiště nebo odeslat emailem. I kdyby je tedy někdo chtěl dostat ven, nepovede se mu to,“ dodává Jiří Bavor. 

Hledání vhodného řešení pro kyberbezpečnost by mělo předcházet zodpovězení důležitých otázek: jaká data jsou pro nás nejdůležitější, která chceme chránit, kde je budeme uchovávat a kdo k nim bude mít přístup. Někdy totiž může stačit zajištění nedostupnosti dat, jindy je potřeba samotné zajištění proti jejich krádeži.

Zvláštní pozornost si zaslouží tzv. PLM systémy, v rámci kterých sdílí citlivé informace o výrobě produktů více firem nebo jejich poboček uvnitř svého dodavatelského řetězce a to velice často i mezinárodně. V tomto případě by firmy měly na kyberbezpečnosti spolupracovat a zabezpečit i předávání těchto dat mezi sebou.

Ochrana od kreslícího prkna po výrobní stroj

Stále hovoříme o datech a již jsme si řekli, že kromě dat v informačních systémech může jít i o další citlivé údaje. Co je ale v současnosti největší výzvou? „Jde o komplexní bezpečnost všech součástí organizace proti kyberútokům. Už dávno totiž není třeba chránit jen tzv. kancelářskou část. Ve většině firem jsou k sítím připojeny i výrobní a další stroje či přístroje, které jsou k útokům náchylné úplně stejně jako počítače a notebooky. V současné době tedy často pomáháme s ochranou celých organizací, tedy i jejich výrobních oddělení a výrobních technologií,“ říká Jiří Bavor z Atosu o propojení tzv. OT (operační technologie) a IT (informační technologie) bezpečnosti. O tyto dvě oblasti se navíc ve firmách typicky starají dvě různá odvětví managementu, což přináší další výzvu.

Pod komplexní ochranou si zároveň můžeme představit celý proces od vypracování metodiky kybernetické ochrany, implementace příslušných technických a organizačních opatření, školení uživatelů, přes zabezpečení citlivých dat až po přípravu pro případ útoku a také pro minimalizaci škod po takovém útoku. Takovou komplexní ochranu mohou zabezpečit nástroje Security Information and Event Management (SIEM), které produkují záznamy o všech činnostech v IT i OT a následně je analyzují, hledají potenciální rizika a včas o nich informují IT oddělení. Propojení s dalšími systémy pak umožní i přesnou lokalizaci problému a poskytne návrh jeho řešení. Podobně fungují také takzvané Security Operation Centra (SOC), která jsou střediskem všeho, co ve firmě slouží k ochraně před ohrožením firmy, a je možné si je pronajmout jako službu.

Kdo je připraven, není překvapen

V rámci komplexní ochrany je důležité počítat s tím, že útok dříve či později přijde a vhodnou přípravou lze minimalizovat škody. „Firmám v rámci kompletního zabezpečení kyberbezpečnosti pomáháme také se sestavováním Business Recovery plánů, které pomohou se rychle se zorientovat v případě útoku a následně se z něj zotavit,“ říká Jiří Bavor z firmy Atos IT Solutions and Services. Je třeba počítat se ztrátou či krádeží dat, jejich zneužitím nebo nedostupností, případně zastavením výroby, škodami na majetku nebo dokonce i rizikem zranění zaměstnanců. V každém případě jde zároveň o reputační riziko, které může firmu na dlouhou dobu očernit v očích zaměstnanců, obchodních partnerů či celé veřejnosti a pokud je možnost takovým škodám zabránit, nebo alespoň jejich riziko minimalizovat, musí se tím management firmy rozhodně vážně zabývat.