Prostor pro nástup budoucích kyberútoků se exponenciálně zvětšuje

Kyberprostor zahrnuje komunikační zařízenía, úložné prostředky i osoby, které přicházejí do kontaktu s daty a informacemi v nich obsaženými. Část hrozeb jsme se naučili rutinně řešit. Závažné jsou zejména nenápadné útoky, které nejsou dlouhodobě detekovány.

V běžném životě jsou součástí kyberprostoru veškeré mobilní telefony, počítače, počítačové aplikace, digitální média a cloudová prostředí. Výčet není úplný, ale již jen z uvedeného je patrné, že se jedná o velkou část předmětů, které v každodenním životě používáme. Část hrozeb jsme se naučili již rutinně řešit. Ztráta mobilního telefonu je dnes spíše nepříjemností, než vážným problémem. Obnova ztracených či poškozených dat je rovněž rutinní operací.

Co je však z našeho pohledu závažné jsou nenápadné útoky, které jsou dlouhodobě nedetekovány. Nedetekované průniky do našich osobních počítačů jsou jistě osobně velmi nepříjemné, ale nedetekovaný průnik do průmyslových, energetických, či zdravotnických infrastruktur má potenciál ohrozit množství lidských životů a způsobit finanční a materiální ztráty značného rozsahu.

V této souvislosti je patrný nárůst i vysoké organizovanosti a nárůst záběru kyberkriminality. Přičemž s nezadržitelným nárůstem propojování elektrických spotřebičů (ledničky, televize, domácí spotřebiče) do větších celků se exponenciálně zvětšuje i prostor pro nástup budoucích kyberútoků.

Eliminace dopadů kybernetických útoků

Situace ohledně prevence versus eliminace dopadů ohledně kyberkriminality má aktuální příměr v situaci ohledně uprchlíků z Afriky, či blízkého východu. Celospolečenská diskuze, politická prohlášení a mediální obraz se téměř výhradně zaměřuje na dopady této situace, vyjmenovává a rozebírá rizika, která v souvislostí s touto situací vyvstávají. Minimum ohlasů se zabývá příčinou této situace a téměř nikdo není schopen navrhnout reálné řešení příčin této uprchlické situace.

S kyberkriminalitou je to podobné. Společnosti, vlády, úřady i jednotlivci mají povědomí o tom, co je třeba dělat v případě kyberzločinu/kyberútoku. Ať již se bavíme o virech, malware, DDoS útocích, phishingu, či fyzických ztrátách dat. Virů a malware se zbavit umíme, DDOS útoky jaktakž zvládáme, následky Phishingu, je-li zjištěn, pokrýt také zvládneme. Přijdeme-li o data, obnovíme je ze záloh apod.

V čem však tápeme je prevence, vzdělávání a dlouhodobý systematický přístup. Technologicky prevence není obtížná. IPS, IDS systémy, DLP (Data Leakage Prevention) řešení, SIEM (Security Incident Event Management) sestavy, to vše jsou řešení dlouho známá a velmi účinná. Pracují však s těmito systémy spolehliví a proškolení lidé? Jsou technologická opatření v souladu s procesy, nařízeními a realitou naší firmy, našeho úřadu? Je bezpečnostní projekt, který nyní realizujeme jednorázovým opatřením, nebo budeme bezpečnost budovat dlouhodobě?

Zde je nutno čelit nepříjemné pravdě a tou je, že bezpečnost dat a informačních aktiv musí vycházet od vedení organizace. Ať je to management firmy, vedení úřadu, ministerstva či jiné instituce, je nutné, aby bezpečnost informací byla vyžadována vedením organizace. Bez podpory vedení je zavádění bezpečnosti (personální, procesní, fyzické, technologické) odsouzeno nutně k neúspěchu.

Bezpečnostní řešení ATOS

Nevnucujeme firmám, úřadům a jednotlivcům naše řešení. Nasloucháme, co v oblasti ochrany dat a informací potřebují. Nemáme pocit, že bychom potřebám našich zákazníků rozuměli lépe než oni. Ale ano, pakliže porozumíme potřebám zákazníka v oblasti kybernetické bezpečnosti, jsme díky velikosti naší firmy, mezinárodnímu přesahu a interdisciplinárním záběru schopni nalézt, navrhnout a dodat řešení, které zákazníkovu potřebu pokryje.

Na prvním místě je však vždy, vždy a vždy systematický přístup. Tedy neohýbat zákazníkovy procesy a prostředí do souladu s naším technologickým řešením, ale naopak ohnout naše řešení tak, aby zapadlo do procesů a prostředí zákazníka.

Takový přístup si žádá určitou standardizaci a zde se krom legislativních omezení řídíme i mezinárodními standardy (v oblasti bezpečnosti např. rodina norem IS 27000) a v neposlední řadě i vnitřními politikami a předpisy konkrétního zákazníka.

Mohou firmy získat náskok před kyberzločinci?

ANO i NE. Záleží, z jaké strany se na problém bezpečnosti díváme. NE, kyberzločinci budou mít z principu vždy logicky navrch nad jakýmkoliv zabezpečením. Ať již fyzickým (zámky, mříže, závory, trezory), technologickým (firewally, antiviry, IPS, SIEMy), procesním (předpisy, omezení), legislativním (zákony, vyhlášky) či personálním (selhání jednotlivce).

Nikdy v historii lidstva nebyl vyvinut systém, či opatření, které by nebylo možno překonat. Vždy se najdou lidé, kteří dříve či později naleznou slabinu a zabezpečení překonají. Bylo tomu tak vždy a bude tomu tak nadále.

Na druhou stranu ANO, lze získat náskok před kyberzločinci. Koneckonců jsou to také jen lidé. Otázka však stojí, jak moc úsilí chceme do ochrany našich hodnot investovat. Víme, která data jsou pro nás cenná a která ne? Jsme si vědomi všech rizik, která mohou naše aktiva ohrozit? A pokud ano, jsme schopni (personálně, procesně, technologicky) a ochotni (finančně) tato rizika eliminovat?

Například bankovky a mince vnímáme a máme zažity jako hodnoty, které je záhodno chránit. Ochrana platidel se vyvíjela stovky let a za tu dobu se vyvinula do té míry, že padělání bankovek je v zásadě ojedinělým a přísně postihovaným jevem. Vlády mají před zločinci náskok. Pokud vlády, společnosti a jednotlivci vyvinou podobné úsilí pro ochranu a bezpečnost informací, potom lze hovořit o minimálně náskoku před kyberzločinci.

Česká republika z hlediska kybernetické bezpečnosti

Čeká republika je v rámci Evropské unie jednou z prvních zemí, která přijala a zavádí legislativu v oblasti kybernetické bezpečnosti. Z tohoto pohledu se tedy řadíme k vyspělým zemím. V oblasti soukromých firem, domácností, akademické sféry je obecné povědomí o bezpečnostních hrozbách na obecně dobré úrovni.

Druhou stranou této mince ovšem je reálná aplikace zákonných norem v oblasti státní správy. Zde situaci komplikují zejména nízká platová ohodnocení odborníků na bezpečnost a rovněž jistá procesní strnulost. Kde z našeho pohledu Česká republika, resp. oblast státní má co dohánět je schopnost získávat, vzdělávat a především udržet bezpečnostní odborníky.

Dokud orgány, státní správy, ministerstva, úřady a státem řízené instituce nebudou schopny získat či vychovat kvalitní odborníky, tyto dlouhodobě vzdělávat a motivovat pro setrvání ve státních službách, bude se rozdíl v oblasti kybernetické bezpečnosti mezi soukromým a státním sektorem i nadále zvětšovat.

Data a práce s nimi včetně jejich bezpečnosti

Data, jejich bezpečné uchovávání, přenos a zpracování je téma, kterým se zabývají desítky firem. Pravidelně se v médiích, na konferencích i odborných časopisech prezentují odhady o budoucím nárůstu objemu dat a neustále rostoucí potřebě data ukládat.

Výrobci síťových technologií vyzdvihují čísla o přenesených datech. Výrobci bezpečnostních technologií zveřejňují neuvěřitelné počty nových hrozeb, virů, malwarů atp. Skutečně však všechna ta data, gigabitové linky a nejnovější anti malware skenery souvisí s reálnou výrobou? Tedy s tím, co společnosti, úřady, domácnosti ke své činnosti a každodenní práci potřebují.

Kolik dat reálně potřebujeme. A je doopravdy potřebné všechna naše data chránit? Jsme přesvědčeni, že na trhu vzniká určitá řekněme bezpečnostní bublina, uměle přiživovaná společnostmi, které ve snaze udržet zisk, prodeje generují a přiživují poptávku po technologických řešeních.

Skutečná potřeba bezpečnosti dat a informací spočívá v systematické a dlouhodobé práci s lidmi, kteří s data vytváření, s informacemi v nich pracují a používají je ku prospěchu svému, či svého zaměstnavatele.

Na základě této premisy ATOS staví svou strategii v oblasti bezpečnosti informací - identifikace reálné potřeby ochrany dat, práce s uživateli těchto dat, jejich vzdělávání a dlouhodobě koncipovaná technologická a procesní řešení.

Zabezpečení dat vyžaduje nové myšlení

Nové myšlení není jen "buzzwordem", termínem, který by byl marketingově umělý a přitom obsahově vyprázdněný. Zabezpečení dat, bezpečnost informací, kybernetická bezpečnost není pouze technologický problém, ale především otázka přístupu a vnímání dat a informací jako hodnoty, kterou společnosti, jednotlivci i vlády chtějí a potřebují chránit, podobně jako například chrání platidla, či komodity.

Změna myšlení celé společnosti a v první řadě odpovědných osob je proces dlouhodobý, trvající řádově roky. Velké společnosti jako ATOS na tuto změnu reagují a jsou schopny ji uchopit systémově.