Vyzpovídali jsme auditora Kybernetické bezpečnosti!
- Datum: 29.06.2015
- Autor: Vít Lidinský
Přinášíme vám otisk zajímavého rozhovoru s vedoucím auditorem kybernetické bezpečnosti. Zákon č. 181/2014 Sb. a vzdělání bezpečnostních manažerů.
Kybernetické útoky jsou stále sofistikovanější a jejich počet neustále roste díky naší závislosti na moderních technologiích. Jedno výrazně podmiňuje druhé.
Role hackera se také mění. Mnohem více se zaměřuje na vaší komunikaci s bankami, finanční transakce, zasílání citlivých informací elektronickou poštou, vykrádání uživatelských účtů..
Příklad, který mluví za vše: celkový objem obchodu prostřednictvím Internetu neustále roste, ve státech G20 bude v roce 2016 tento objem činit více než 105 bilionů korun. Ve Velké Británii došlo k nárůstu obchodu prostřednictvím Internetu o 10% jen mezi roky 2010 a 2016. 94% společností s více než 10 zaměstnanci celosvětově je na Internetu.
Hacker má dnes několikanásobně vyšší příležitost k vykradení osobní identity za účelem finančních zisků. Stačí si uvědomit, kde všude se vaše citlivá data nacházejí: banky, pojišťovny, nemocnice, úřady, operátoři. Informace jsou pro ně klíčovým generátorem zisku, ale také obrovské riziko.
Ztráta, nebo cílené zveřejnění takových dat může znamenat ztrátu důvěry uživatelů a reálný konec podnikání společnosti.
Nárůst kybernetických útoků se nevyhýbá ani České republice. Už dávno neplatí, že jde o problém pouze velkých nadnárodních firem. Také stát se začal kybernetickou bezpečností intenzivně zabývat.
Samozřejmě, zde se navíc vyskytují data různé klasifikace, ať jde o utajované informace, osobní a citlivá data, dále data systému kritické informační infrastruktury nebo významného informačního systému.
- V roce 2014 došlo ke zvýšení počtu kybernetických incidentů o 48% oproti roku 2013. Jejich celkový globální počet je více než 40 milionů. Více než 95% těchto incidentů je úspěšných z důvodů nedostatečné ochrany.
- Veřejná správa si bezpečnostní rizika uvědomuje, proto na situaci zákonodárci reagovali schválením zákona č. 181/2014 o kybernetické bezpečnosti.
- Ten se v mnohém inspiroval z mezinárodního standardu norem řady ISO/IEC 2700 - systému řízení informační bezpečnosti – Information Security Management System (ISMS).
- Aplikace do zákona pomáhá především tím, že vynucuje povinnost se kybernetickou bezpečnostní zabývat. Navíc definuje technologické, organizační a také personální požadavky.
Organizace mají 1 rok na zavedení kybernetické ochrany
V současné době běží roční „přípravná“ lhůta, požadavky zákona tak veřejná správa musí plnit od 1.1.2016. Do té doby má veřejná správa mnoho povinností, se kterými se musí vypořádat. Nutno podotknout, že zákon o kybernetické bezpečnosti se nevztahuje pouze na veřejnou správu, ale i další komerční organizace (např. významné poskytovatele telekomunikačních služeb nebo vybrané společnosti, jejichž podnikatelské aktivity spadají do kritické infrastruktury státu).
Kdo se bude zodpovídat za faktické zavedení kybernetické ochrany?
Aplikaci bezpečnostních opatření mají podle zákona č. 181/2014 na starost tři hlavní „role“. Manažer, Architekt a Auditor kybernetické bezpečnosti. Tito hlavní odpovědné osoby po povinném proškolení zavedou systém řízení bezpečnosti informací. Ten sestává z množství procesních a administrativních opatření, školení zaměstnanců a také z implementace vybraných bezpečnostních nástrojů a zajištění jejich provozu.
Ze všech stran slýcháme, že skutečný problém č. 1 je nedostatek bezpečnostních expertů.
To je obrovská příležitost pro kariérní růst. Např. certifikační orgán TAYLLORCOX má v portfoliu akreditované kurzy pro budoucí bezpečnostní konzultanty a manažery. Nově také kurzy pro role šité na míru podle zákona č. 181/2014 Sb.: Manažer – Auditor – Architekt kybernetické bezpečnosti.
Kromě školení, se snažíme společnostem i veřejné správě pomoci formou odborných workshopů. Jako certifikační orgán máme dlouholetou zkušenost s tím, co všechno organizaci v rámci kybernetické ochrany čeká. Předáváme dál zkušenosti s implementací systému řízení bezpečnosti, upozorňujeme na problémy, odpovídáme na otázky, oponujeme návrhy atd..
Není výchova bezpečnostních odborníků časově náročná?
Vůbec ne, možnosti pro rozvoj tu jsou obrovské. Platí zde pravidlo, že nepotřebujete vědět odkud útok přiletí, nebo jak bude proveden, ale kam bude mířit a jak jej rozpoznat. To je obrovský rozdíl.
Hacker musí investovat roky svého času, než se naučí realizovat profesionální útoky a získávat citlivá data. Ale např. v kurzu Certified Ethical Hacker vás naučíme za 3 dny jak rozpoznat a ochránit 95% nejzranitelnějších míst. Znalosti využijete jako firma, stát, ale i občan.
Problém č. 2 Software a mobilní aplikace, se kterými pracujeme.
Na první příčce zranitelností je bezpochyby lidský faktor, který bývá nejslabším místem kybernetické bezpečnosti. Druhým nejčastějším problémem je zranitelnost programů, mobilních aplikací a databází. Statisticky počet nových zranitelností se dramaticky zvyšuje každý týden.
Získali jsme akreditaci a otevřeli nový obor: Secure Programming. V kurzu se vývojáři, software architekti i testeři naučí zásady vývoje software, který není plný bezpečnostních chyb a děr, který jsou zneužitelné např. pro zjištění osobních informací.
Přitom existují jednoduché triky, jak stávající zranitelnosti „zneviditelnit“. Ty společnosti, které budou nové kybernetické útoky podceňovat ohrožují sebe i své klienty. Otázkou pak není, zda k incidentu dojde, ale kdy k tomu dojde a co to způsobí.
Jaký by měl být první krok organizace, která se rozhodne zvýšit svoji bezpečnost v informačním a kybernetickém prostoru?
Aplikace zákona č. 181/2014 je samozřejmě obrovská obchodní příležitost pro poradenské, ale i technologické společnosti. Proto doporučuji z pozice nezávislého auditora nepodléhat různým službám, nebo řešením „na klíč“, které jsou většinou podle stejné šablony. Nákup skvělého řešení vás odpovědnosti nezbaví.
Jako první krok vidím zcela jistě investici do vzdělání interních zaměstnanců. Pokud procesní postupy a technická řešení vymýšlejí pracovníci uvnitř organizace, nejenom že taková řešení odrážejí skutečné potřeby, ale navíc zanechávají znalost nastavených procesů a bezpečnostní know-how uvnitř organizace. Takový postup je právě pro oblast bezpečnosti efektivnější a v důsledku též levnější.
Na otázku jak má organizace nastavit systém řízení kybernetické bezpečnosti, odpoví nezávislý audit.
Audit kybernetické bezpečnosti není v ČR žádnou novinkou, upozorňuje zástupce mezinárodně akreditovaného certifikačního orgánu TAYLLORCOX. Realizovali jsme více než sto auditů u firem, nebo orgánů veřejné správy dávno předtím, než vyšel v platnost zákon č. 181/2014 Sb.
Nejčastějším důvodem k tomuto kroku byla snaha o zajištění maximální bezpečnosti a ochrany dat, se kterými nakládají.
Nejvhodnější forma auditu kybernetické bezpečnosti je od akreditovaného certifikačního orgánu, který je z technologicky nezaujatý. Na organizace není vyvíjen tlak, aby si zakoupili konkrétní řešení, ale spíše co by mělo splňovat.
Investice do dalších technologií totiž většinou problém nevyřeší. Mnohem více jde o to, jak jsou systémy nastaveny. Audit má navíc svá přísná kritéria: od složení auditního týmu, až po faktickou realizaci a kontrolu všech procesů.
Jak moc je finančně náročné zavést opatření, odpoví audit.
Samozřejmě je potřeba alokovat zdroje pro své zavedení, provoz, vyhodnocování i zlepšování systému řízení kybernetické ochrany. Nejedná se přitom pouze o finanční prostředky na externí služby, ale též pracovníky vlastní organizace a finance na materiálně technické zabezpečení požadovaných procesů.
Konkrétní částka se vždy odvíjí od velikosti organizace, jejího zaměření a též existujících bezpečnostních opatření a vyspělosti používaných informačních technologií. Investice do zavedení by také měla odpovídat hodnotě chráněných informací pro společnost.
Jak vnímáte návaznost současné legislativy na standard ISO/IEC 27000?
Osobně jsem velmi rád, že Česká republika zvolila standardní a vyzkoušené řešení v podobě ISO normy. Aplikace již vyzkoušených postupů a technických řešení skýtá minimum rizik, současně již prokázala své přínosy.
Dalším pozitivem je návaznost naplnění požadavků zákona na certifikát ISO/IEC 27001. Organizace, která úspěšně absolvuje I. a II. stupeň certifikačního auditu získá mezinárodně platný certifikát.
Stávají se tak transparentnější, důvěryhodnější směrem k občanům, zákazníkům, obchodním partnerům, nebo akcionářům či investorům.
Díky tomu, že zákon č. 181/2014 doporučuje certifikaci zavedeného systému kybernetické ochrany podle ISO 27001 nastavil povinnost absolvovat každý rok audit vedený nezávislým certifikačním orgánem. Z pohledu orgánů veřejné správy nejde o „revoluci“, ale aplikaci vyzkoušených postupů s prokazatelnými výsledky.
Z praxe můžeme potvrdit, že systémy, které jsou již několik let certifikované mají mnohem vyspělejší přehled o aktuálních bezpečnostních incidentech. Jsou schopny proaktivních činů, namísto reaktivního chování, kdy už většinou jen hasíte požár a přejete si, aby rozsah škod byl co nejmenší.
Máte pro nás nějaká doporučení?
Rozhodně nenechávat implementaci zákona č. 181/2014 na poslední chvíli. Zejména v organizacích, kde dosud nejsou implementovány systémy Security Information and Event Managementu, nemají ochranu perimetru sítě nebo anti-DDOS ochranu jsou technické implementační práce související s kybernetickou bezpečností značně náročné a to i časově v délce nejméně několika měsíců.
O autorovi: Ing. Vít Lidinský, Ph. D. je Cyber Security ISO/IEC 27001 Lead Auditor v mezinárodním certifikačním orgánu TAYLLORCOX. Informační a kybernetickou bezpečností se zabývá více než 10 let a to ve veřejné i soukromé sféře. Většinu času působil jako bezpečnostní manažer, nebo ředitel. Nyní se věnuje rozvoji Cyber Security portfolia. Působí jako Lead Auditor ISO/IEC 27001 Information Security Management System u mezinárodního certifikačního orgánu TAYLLORCOX. Současně je znalcem v oboru oceňování informačních systémů.