Co je to kybernetická bezpečnost
Naše společnost, firmy a jakákoliv organizace potřebuje informace pro své fungování. Bez informací nemůže management rozhodnout, výroba nemůže rozjet výrobní linky, nemocnice nemohou diagnostikovat nebo zajistit správnou medikaci, energetické společnosti nemohou předejít blackoutu apod. Řízení informací v rámci organizace je naprosto klíčovou záležitostí. Jejich zveřejnění, ztráta, poškození, odcizení může znamenat konec organizace nebo obrovské ztráty.
Kybernetická bezpečnost je systém bezpečnostních opatření, která chrání před zneužitím informací a infrastruktury, která umožňuje jejich sdílení. Cílem je chránit všechna zařízení v organizaci, které jsou připojena do sítě a díky tomu je potřeba u nich kybernetickou bezpečnost řešit. Není důležité, jen to, jestli dané zařízení obsahuje citlivá data. Na všechna zařízení je potřeba se v případě kybernetické bezpečnosti dívat v kontextu všech ostatních zařízení a celé organizace. Příkladem může být například stroj ve výrobě, který je připojen k interní síti. Tento stroj sice neobsahuje žádná citlivá data, ale pokud by byl poškozen kybernetickým útokem může dojít k velkým ztrátám ve výrobě (odstávka výroby, výroba zmetků a pod.)
Kybernetická bezpečnost vznikla především s rozvojem informačních technologií, internetu a propojování informačních systémů. Vznikl tak zcela nový pojem kyberprostor, jehož součástí jsou nyní všichni. Kybernetická bezpečnost není jen otázkou pro specialisty z oblasti informačních technologií (IT), ale každého uživatele. Všichni používáme internet, přihlašujeme se na bankovní účty, do sociálních sítí, kde máme řadu osobních citlivých informací. Všichni jsme tedy pocítili vliv bezpečnosti na nutnosti např. Silnější hesla do systému a jejich neustála aktualizace, dvou-faktorové ověření identity, šifrování disků apod.
Co je to kyberprostor |Cyberspace
Kyberprostor je virtuální prostředí vzájemně propojených informačních systémů a elektronických zařízení, která jsou schopna si předávat data. Jedná se např. o počítače, notebooky, telefony, tablety, chytré hodinky, televize, ledničky, auta, zařízení virtuální reality a dalších zařízení. Zařízení, která jsou schopna sbírat data/informace, přenášet ke zpracování a sdílet s dalšími zařízeními nebo datovými úložišti. Kyberprostor vznikl pro sdílení informací, nápadů. Smyslem byla dostupnost, otevřenost, ale bohužel také minimální odpovědnost. Tím se vytvořila možnost dostat se k jakýmkoliv datům, nejsou-li dostatečně zabezpečena.
Co je to kybernetický útok
Kybernetický útok je úmyslné jednání útočníka, skupin na systém firmy s cílem získat informace, nebo poškodit danou firmu z hlediska konkurenčního boje nebo dosáhnout jiného cíle. Někdy jsou kybernetické útoky motivované zvědavostí mladých hackerů zjistit, zda jsou schopni se dostat do zabezpečených systémů. Předmětem kybernetického útoku mohou být tyto důvody:
- Získat důvěrné informace
- Prolomit nastavené zabezpečení
- Vnést chaos do informací v systému firmy
- Ukrást know how, obchodní tajemství - firemní ceníky, osvědčené postupy, ekonomické informace
- Poškodit důvěryhodnost firmy, že data jejich zákazníků nejsou v bezpečí
- Přetížení serverů a následné havárie systému firmy
- …
Kritická infrastruktura
Kritická infrastruktura je infrastruktura, která významně ovlivňuje chod státu, společnosti, ekonomiky. Její kolaps by způsobil celospolečenské ztráty, ochromení ekonomiky, prostě významné krizové situace s velkými následky. Česká Republika má kritickou infrastrukturu definovanou:
- zákonem č. 240/2000 Sb. - Zákon o krizovém řízení a o změně některých zákonů (krizový zákon)
- zákonem č. 181/2014 Sb. - Zákon o kybernetické bezpečnosti
Kritickou infrastrukturu můžete najít především v těchto oblastech:
- energetika
- doprava
- bankovnictví
- infrastruktura finančních trhů
- zdravotnictví
- vodní hospodářství
- digitální infrastruktura
- chemický průmysl
Analýza rizik kybernetické bezpečnosti
Jedná se o analýzu, která má za cíl odhalit potenciální rizika organizace, firmy, která by mohla vést k poškození, zcizení, zničení informací a potenciálních dopadů na aktiva firmy. Analýza rizik by měla probíhat před každou zásadní změnou, aby si management firmy uvědomil, co vše může změna způsobit firmě. Nedochází-li k zásadním změnám, je vhodné v pravidelných intervalech aktualizovat analýzu rizik a zjistit, zda nedošlo k navýšení nebo snížení míry rizika. Analýza rizik by měla obsahovat:
- Identifikaci rizik bezpečnosti informací
- Kritéria akceptace rizik
- Hodnocení rizik - stanovení úrovně rizika
- Potenciální následky rizik
- Pravděpodobnost výskytu rizika
- Úroveň rizika
- Porovnání rizik s kritérii pro akceptaci rizik
- Stanovení priorit pro ošetření rizik
- Rozhodnutí nebo opatření na snížení rizik
Existuje mnoho metod pro realizaci a hodnocení analýzy rizik. V každém případě se zaměřte na kvantitativní analýzu a naučte se vyčíslit “velikost” rizika. Základní šablonu analýzy rizik můžete získat ZDE (není orientovaná na bezpečnost informací).
Prohlášení o použitelnosti | SoA Statement of Applicability
Prohlášení o použitelnosti tzv. SoA je přehled cílů opatření a jednotlivých opatření v rámci ISMS. Je to povinný dokument z normy ISO 27001 (příloha A). Bez jeho vyplnění nemůže být žádná organizace certifikována na ISO 27001. Dokument definuje přehled hlavních politik bezpečnosti informací. Mezi ně patří například politiky vedení firmy, mobilní zařízení, práce na dálku, bezpečnost lidských zdrojů - pracovní vztahy (změna, ukončení), řízení aktiv, klasifikace informací, manipulace s médii, řízení přístupů, odpovědnost uživatelů, kryptografická opatření, fyzická bezpečnost prostředí, zařízení, bezpečnost provozu, ochrana proti malware, zálohování, monitorování logů, správa software, správa sítě, přenos informací, akvizice, vývoj a údržba systémů, proces vývoje a podpory, dodavatelské vztahy, řízení incidentů, kontinuita bezpečnosti informací, soulad s právními a legislativními požadavky.
Vlastně v jednom dokumentu popisujete opatření, která jste vybrali k řešení bezpečnostních rizik. Vysvětlujete, proč jste opatření vybrali a nebo proč některá opatření nemáte ve firmě aplikována.
Služby | nabídka kybernetické bezpečnosti
- Security Awereness - školení bezpečnosti, existující hrozby,způsoby obrany apod.
- Identity management - nastavení architektury a optimální práce s identitou uživatele ve firemním prostředí s cílem vyšší ochrany informací
- Vulnerability management - nastavení systému, procesů vč. jejich implementace pro odolání vnějším hrozbám a útokům
- Phishing Awereness - vytváření a realizace kampaní, které prověřují a zároveň vzdělávají zaměstnance proti externím hrozbám
- Security Audit - prověření nastavení systému a připravenosti zaměstnanců na incidenty
- Policy Complinace/Hardening - nastavení bezpečnostních politik a pomoc s realizací opatření z auditu
- Penetrační testy - řízené útoky na společnosti s cílem nalézt slabiny
- SIEM Security information and Event management - analýza a nasazení systému vyhodnocvoání logů
- Návrh architektury zabezpečení systému firmy