rossleor asseco murr

Jste připraveni na nový zákon o kyberbezpečnosti?

Nový zákon o kybernetické bezpečnosti, který obsahuje mj. změny vyplývající z evropské bezpečnostní směrnice (tzv. NIS2) a měl by vstoupit v účinnost v říjnu 2024, kdy končí transpoziční lhůta pro přijetí unijního právního aktu, přinese firmám celou řadu nových povinností.

 

Firmy budou muset splnit všechny požadavky nových předpisů a může být pro ně obtížné určit, kterými částmi se mají zabývat přednostně a čemu se lze věnovat později. Odborníci z technologické společnosti ANECT proto vytipovali devět nejdůležitějších oblastí, které jsou z pohledu praktické ochrany proti kybernetickým útokům klíčové. Cílem je ukázat, co jednotlivé požadavky pro firmy znamenají, jak náročná může být jejich implementace, jak zásadní jsou pro ochranu před sofistikovanými kybernetickými útoky – a samozřejmě čím nejlépe začít, aby vše potřebné stihly do nástupu účinnosti zákona, s níž se počítá od října příštího roku.

První kroky: vzdělávání managementu a bezpečnostní politiky
Prováděcí vyhlášky k novému zákonu stanovují, že za přijetí vhodných opatření k minimalizaci kybernetických hrozeb bude zodpovědné vedení firem, které zároveň musí zajistit pro sebe i zaměstnance potřebná školení. Jelikož finální schvalování jednotlivých opatření a rozhodnutí, do jakých opatření budou firmy investovat, je zodpovědností vedení, je vhodné začít právě jeho školením. Management tak bude lépe rozumět jednotlivým rizikům a získá přehled o možnostech, jak je lze snižovat.
Vytvoření bezpečnostních politik je z firemního pohledu nejen užitečné, ale i účinné a nízkonákladové řešení. Jde o soubor základních pravidel, která definují to, co chce firma chránit a jak. Už jen zjištění, zda na určitou oblast existují firemní pravidla, případně jestli jsou někde popsaná, posouvá úvahy o firemní bezpečnosti kupředu. Zvlášť u menších firem tak v řadě případů odpadá nutnost provádět tzv. GAP analýzu, tj. vyhodnocení toho, v jakých oblastech firmy plní nové normy, a v jakých nikoli. Tak je možné prakticky ihned zjistit, jaké oblasti má daná společnost vyřešené dobře, a jaké nikoli.
Jedním ze základních předpokladů ochrany proti jakémukoli sofistikovanějšímu kybernetickému útoku je tzv. segmentace firemní sítě neboli její rozdělení do menších celků oddělených dostatečnou bariérou. Pokud totiž spolu zařízení mohou komunikovat bez jakýchkoli omezení, stačí útočníkovi pro napáchání nevratných škod získat kontrolu nad jakýmkoli zařízením, z něhož se může dostat ke všem firemním datům. Když je však firemní síť rozdělená na menší celky a do částí, kde se nachází citlivá firemní data, je omezený přístup (např. se k nim lze dostat jen z některých počítačů umístěných přímo ve firmě), mají útočníci svoji práci mnohem těžší a zároveň se zvyšuje šance, že napadení firemní sítě bude odhaleno dříve, než dojde k výraznějším škodám.

U specializovaných nástrojů pozor na licence
Dalším z důležitých bezpečnostních opatření, které nový zákon skrze prováděcí vyhlášky vyžaduje, je detekce kybernetických a bezpečnostních událostí. Firmy by zjednodušeně řečeno měly využívat nástroje, které jim umožní zjistit, že se v jejich síti děje něco, co by se dít nemělo.
Tato část je z pohledu praktického dopadu pro firmy jednou z nejvýznamnějších, zároveň jde o opatření, které není příliš drahé a které je možné aplikovat poměrně rychle. Řešením je v tomto případě např. nasazení speciálních aplikací (XDR, Extended Detection and Response), které monitorují chování koncových bodů (nejčastěji počítačů, ale i mobilních zařízení, serverů apod.) a v případě, že se chovají nestandardně, samy reagují nebo upozorní správce sítě nebo dohledové centrum.
Skutečně pokročilé nástroje typu XDR dokážou řešit až 80 % takových incidentů a nabízí je celá řada renomovaných výrobců. Firmy by si ale měly dát pozor na to, zda řešení, které si objednávají, skutečně tuto pokročilou ochranu poskytuje. Většina dodavatelů tyto nástroje nabízí jako licencovanou službu, což má pro firmy řadu výhod, ale může to skrývat i určitá rizika, kdy jedním z nich je právě forma licence a to, co je v jejím rámci skutečně dodávané, aby si např. v domnění, že si objednávají komplexní ochranu své firemní sítě, ve skutečnosti nepořídily jen o něco pokročilejší antivir.
Společnosti budou muset také zaznamenávat relevantní bezpečnostní a provozní události, kdy už nebude stačit, že mají přehled o komunikaci v síti, ale klíčové části této komunikace je nutné archivovat. Subjekty spadající pod režim vyšších povinností budou muset tyto záznamy ukládat 18 měsíců, v režimu nižších povinností potom 12 měsíců. Správné nastavení rozsahu monitorovaných dat ale nemusí být pro firmy jednoduché. Pokud budou monitorovat a ukládat příliš mnoho informací, může se to kvůli vysokému objemu dat zbytečně prodražit, když naopak rozsah monitorovaných informací nebude dostatečný, ztrácí celá aktivita a vynaložené náklady smysl.
Firmy by zároveň měly dobře zvážit, jak s těmito záznamy budou nakládat, vzhledem k tomu, že jde často o extrémní objemy dat, která je potřeba nejen ukládat, ale i nepřetržitě vyhodnocovat. To znamená zvážit např. to, zda budou ukládána na veřejných cloudových úložištích, nebo část z nich v interních datových centrech, protože každé řešení má řadu výhod i nevýhod a záleží proto na situaci každé firmy, jaké si zvolí.

Firemní sítě pod stálým dozorem
Zejména pro režim vyšších povinností stanovuje prováděcí vyhláška také povinnost nepřetržitě vyhodnocovat kybernetické bezpečnostní události a v případě potřeby na ně adekvátně reagovat. Zde už jde o aktivní monitoring, který řada firem outsourcuje do externích dohledových center, jež nepřetržitě monitorují sítě zákazníků a v případě potřeby jsou schopné reagovat a podezřelou aktivitu prošetřit nebo zastavit. Z praktického pohledu je bezpečnostní monitoring základním kamenem firemní bezpečnosti, musí mu ale předcházet celá řada již zmíněných aktivit, aby firma měla přehled o tom, jaká zařízení se ve firemní síti vyskytují, a mohla si také správně určit, co konkrétně v síti chce monitorovat, aby tento monitoring byl funkční, ale také ekonomicky akceptovatelný.
Ukládat data jen kvůli splnění povinností vyžadovaných zákonem nedává z pohledu praxe smysl - když už firmy musejí do nich investovat, měly by to využít i k zajištění skutečně účinné ochrany před útoky. Protože ačkoli už mohly investovat podstatné částky do sběru dat z provozu své sítě a jejich ukládání na nějaké centrální místo, pokud útočník pronikne do jejich sítě, bez aktivního monitoringu o tom stále nemusí vědět. Proto je doporučováno zavedení aspoň minimální úrovně bezpečnostního monitoringu, která nemusí být ani příliš nákladná.
Zákon firmám také přikazuje svoji kybernetickou bezpečnost pravidelně testovat. Ale zatímco v režimu nižších povinností postačí skenování zranitelností, tj. automatický test s upozorněním na to, že se ve firemní síti vyskytují už známé a popsané zranitelnosti, v režimu vyšších povinností to už vyžaduje použití tzv. penetračních testů, tedy aktivní snahy o napadení firemní sítě. Z praktického pohledu však tento požadavek dává smysl – podniky i organizace sice mohou investovat do své bezpečnosti nemalé prostředky, ale dokud si reálně neotestují, že vše funguje tak, jak má, nevědí, zda tyto investice k něčemu byly. Problémem však může být kritický nedostatek odborníků, kteří jsou schopní penetrační testy provádět. Řešením proto může být jejich automatizace – na trhu jsou již dostupné speciální automatizované nástroje, které se chovají přesně jako etický hacker, schopné vyzkoušet veškeré možnosti kompromitace sítě.

Nezapomínejte na kvalitní zálohy dat
Zákon firmám ukládá i celou řadu dalších povinností, jak organizačních, tak technických. Z těch hlavních lze zmínit např. kvalitní zálohování, případně řízení rizik, na které se nový zákon zvláště zaměřuje. Firmy by měly identifikovat svá hlavní aktiva, zjistit, co je může ohrozit a jakým způsobem, jak jsou proti těmto ohrožením chráněné, a následně přijmout příslušná opatření.
Ze zkušenosti expertů, kteří se touto problematikou zabývají, však vyplývá, že řízení rizik ve firmách často končí excelovou tabulkou, která neříká nic o tom, jaká je reálná úroveň zabezpečení firmy, a nepomůže ani v prioritizaci investic do kybernetické bezpečnosti. Proto doporučují v prvních fázích začít i s výše popsanými kroky, které by firmy měly tak jako tak podniknout. Pozornost by měly věnovat zejména mandatorním požadavkům prováděcí vyhlášky, které jsou doporučeny i nejlepší praxí a jsou časově a finančně (zdrojově) náročnější.

Petr Mojžíš
Foto: Shutterstock

 
Publikováno: 16. 10. 2023 | Počet zobrazení: 242 článek mě zaujal 44
Zaujal Vás tento článek?
Ano