Prevence bude hrát v bezpečnosti prim, říká Irena Hýsková (Thein Security)

V poslední době se stále častěji mluví o nové evropské bezpečnostní směrnici NIS2. Co mohou firmy od ní očekávat?

Irena Hýsková (IH): NIS2 navazuje na předchozí evropskou normu NIS z roku 2016. Cílem je zvýšit kybernetickou odolnost firem kritické infrastruktury a také dalších významných podniků, a to zejména v oblasti prevence. Lze čekat, že se dotkne přibližně šesti tisíc soukromých i státních subjektů.

Mezi možná preventivní opatření patří např. kontinuální školení zaměstnanců, kvalitní firewally, zabezpečení koncových zařízení, vícefaktorové ověřování nebo produkty antiDDoS. Řešení existuje celá řada, a naše firma má tým, který je dokáže aplikovat.

NIS2 také představuje vyšší odpovědnost statutárních orgánů jednotlivých společností a na rozdíl od NIS se zaměřuje právě na zmíněnou prevenci. Doporučuji každému zodpovědnému manažerovi sledovat stránky úřadu NÚKIB pro nejaktuálnější vývoj.

Hrozí v rámci NIS2 firmám nějaké sankce?

IH: Určitě ano, směrnice navíc stanovuje maximální hranice pokut poměrně vysoko (v max. výši deset milionů eur nebo dvě procenta ze světového obratu). NÚKIB na svých stránkách také uvádí, že lze očekávat proporcionální pokuty zohledňující povahu porušení, hrozící škody apod. Firmy by se tedy měly zamyslet nad tím, co jim může nesplnění požadavků NIS2 přinést. Nejde jen o finanční sankce, ale především o dopad případného kybernetického útoku na samotnou organizaci (ztráta firemní reputace, dat, výpadek provozu výrobních kapacit aj.)

Jsou firmy podle vás schopné požadavkům NIS2 vyhovět svépomocí?

IH: K NIS2 budou určitě vydané metodické pokyny k jejímu naplňování. Jde však stejně jako u účetnictví o složitou problematiku. Firmy mají zákonnou povinnost účetní agendu vést a zároveň ji potřebují ke svému podnikání. A podle složitosti účetní agendy volí, jestli se jí budou zabývat samy, zaměstnají interního specialistu nebo najmou externí, specializovaný subjekt.

Ne každá společnost si ale může dovolit vlastní tým odborníků na kybernetickou bezpečnost, tak aby si mohly všechny oblasti tohoto oboru pokrýt vlastními silami. V každém případě tedy doporučuji kontaktovat specializované firmy, které se kybernetickou bezpečností zabývají, a přinejmenším s nimi zkonzultovat vlastní plány na implementaci NIS2.

Existují nástroje, které by firmám pomohly splnit zvýšené požadavky na ochranu dat, aniž by musely zaměstnávat množství bezpečnostních expertů?

IH: Je zjevné, že na trhu práce právě tato specializace dlouhodobě chybí. Automatizace v oblasti detekce a reakce na bezpečnostní události  – systémy SOAR –  je dnes jedna z mála šancí, jak potřebu na velké množství lidí v oblasti kybernetické bezpečnosti nějak snížit.

Naštěstí existují firmy, mezi něž patří i ta naše, které nedostatek expertů dokážou vhodně doplnit nástroji renomovaných společností.

Thein Security spolupracuje například s Palo Alto Networks, u níž je držitelem nejvyšší dodavatelské certifikace Diamond Innovator a je jediným autorizovaným servisním centrem pro ČR/SR, dále s firmami Netscout, Microsoft a dalšími. A od společnosti PANW máme v portfoliu například Cortex XDR, což je produkt, který detekuje i vyšetřujte případné hrozby a nežádoucí aktivitu dokáže zastavit v reálném čase.

Dalším vhodným řešením je NGFW, proaktivní nástroj umožňující hloubkovou kontrolu provozu včetně šifrované komunikace na úrovni síťového provozu, aplikací, uživatelů a obsahu přenášených dat. Umožňuje tak předcházet známým i neznámým hrozbám. A od společnosti Netscout pak nabízíme řešení antiDDoS Arbor, které se globálně používá v malých i velkých firmách.

Organizační bezpečnost ale může mít na celkové zabezpečení firem větší vliv než použité technologie, je to tak? 

Ondřej Remeš (OR): To je pravda, ale systémy řízení informační bezpečnosti – ISMS – jsou výsadou převážně velkých firem, případně organizací, které potřebují prokázat soulad se standardy ISO 27000 nebo se zákonem o kybernetické bezpečnosti (ZoKB). V menších firmách je bohužel zatím dobrovolná adopce těchto standardů spíše výjimkou. Často je to také doprovázeno nedostatkem bezpečnostního personálu. Zároveň však vnímáme trend stále častějšího vzdělávání zaměstnanců a následného ověřování znalostí pomocí simulovaných phishingových kampaní. I to je aktivita, kterou se snažíme u našich zákazníků adresovat a pomoci vyřešit.

Osvěta je určitě klíčem k lepší bezpečnosti – co ale kromě školení může zlepšit obecné povědomí o kybernetické ochraně?

OR: Podle naší zkušenosti má smysl jen průběžné školení zaměstnanců, které posouvá jejich znalosti, ale zároveň nevyžaduje hodiny před monitorem. Důležitá je i zpětná vazba formou testů, kvízů nebo simulovaných phishingových kampaní, které prokážou aktuální úroveň znalostí a mohou ovlivnit strukturu a cílení školicího plánu. Stěžejní je také komunikace v organizaci. Motivace pro jednotlivce je různá a je důležité pochopit, že znalosti jsou k užitku také v soukromí. Pro širokou veřejnost pak existují formy testů nebo školení pořádané neziskovými nebo profesními organizacemi. Příkladem může být Kybertest.cz organizovaný Českou bankovní asociací, který za přispění Thein Security cílí na bezpečné používání elektronického bankovnictví.

Proč ale i vyškolení lidé útokům kyberzločinců dokážou podlehnout?

OR: I když člověk prochází takovým školením – a jak jsem zmínil, to je kontinuální proces – tak se může stát, že nerozpozná pokus o hackerský útok. Nicméně toto riziko se s pravidelnou edukací výrazně redukuje. V kyberbezpečnosti bohužel žádné opatření nedává jistotu, že k úspěšnému útoku nedojde. Právě dobře nastavené firemní procesy, existující bezpečnostní monitoring v rámci střediska bezpečnostních operací (SOC) a kontinuální vzdělávání s velkou pravděpodobností zaručí, že útok bude buď neúspěšný, nebo se včas a rychle objeví i vyřeší.

Právě phishing a sociální inženýrství představují hrozbu, proti kterým se špatně brání. Jaké by měly být zásady, jak jí čelit?

Oldřich Gosman (OG): Na phishingovou kampaň nepotřebujete žádné sofistikované nástroje, zjednodušeně řečeno vám stačí jen e-mail. Je mnohem snazší a levnější při útocích překonávat „běžný“ lidský faktor a namísto prolamování bezpečnostních technologií si o citlivé informace jednoduše říct. Phishing se ale v dnešní době už netýká jen e-mailu, stejné riziko číhá i v případě tzv. instant messagingu, např. skrze Facebook Messenger, WhatsApp apod. Přes tyto platformy se šíří podvodné zprávy – i zdánlivě od přátel – vyzývající třeba k přeposlání citlivých informací, kliknutí na falešný odkaz či přílohu.

Phishing využívá známé životní situace, kdy útočník chce od uživatele získat cenné informace. A ty zásady? Vzdělávejte se – naučíte se, jak chránit sebe a svoji firmu. Sdílejte na internetu co nejméně informací. Dnešní útoky jsou vizuálně bezchybné, gramaticky správné a mají cílený, přesvědčivý obsah jak z hlediska technického, tak i psychologického. Chraňte své účty a zařízení silnými hesly – používejte MFA,tedydvoufázová ověření pomocí kódu v SMS nebo otisku prstu.

Firmám, které mají problémy s vlastním zajištěním bezpečnosti, mohou pomoci SOC – střediska bezpečnostních operací. Co všechno může SOC zajistit a jak je to finančně náročné?

OG: SOC zájemcům doručí komplexní dodávku školených odborníků – SOC analytiků, technologií – dohledové nástroje typu XDR, EDR, SIEM, XSOAR a procesů. Také definují spolupráci a formalizují postupy v případě nálezů, incidentů  a detekcí. Je to vlastně takový mix organizačních a technických opatření s cílem snížit útočnou plochu a detekovat anomálie. Finanční náročnost je pak závislá na požadavcích – některé firmě stačí dohled v pracovní dobu v režimu 5 × 8, jiná zase požaduje plný dohled 24 × 7 × 365, a to je cenově jiná služba.

Není pro firmu složité využít služby SOC?

OG: Složité to není, ale nejde o prostou „instalaci“ technologií. Je to proces, který se vyvíjí s měnícími se potřebami zákazníka a bezpečnostní situací. Podle mne je klíčové prvotní rozhodnutí. V ideálním případě je k dispozici technická role, např. jde o architekta bezpečnosti a bezpečnostního ředitele, někoho s rozhodovací kompetencí.

V rámci našeho standardního postupu je klíčový tzv. onboarding, kdy se udělá vstupní analýza, definuje výchozí stav a zmapují aktiva firmy. Na to navazuje pilotní provoz SOC, definují se bezpečnostní alerty a jejich řešení. Tato fáze je na součinnost obou stran nejnáročnější. Ve všech těchto činnostech jsme v rámci best practice schopní firmám pomoci, ale finální rozhodnutí bude vždy na vlastníkovi. Výsledná opatření musejí podporovat procesy firmy a zároveň respektovat bezpečnostní požadavky – ani jeden ze zmíněných pohledů by neměl převažovat.

Irena Hýsková zastává pozici CEO ve společnostech Thein Security a Cybersecurity Guard, kde má na starosti naplnění bezpečnostní strategie, zavedení bezpečnostního dohledového centra SOC, finanční a provozní řízení a definici prodejní strategie.