Na začátku roku 2020 bych rád věnoval tento prostor bilanci roku předešlého. Změny v ICT oblastech a kybernetické bezpečnosti vidím z mého úhlu pohledu tak, že se tyto oblasti vyvíjí a že se konečně začíná upírat zrak i na zabezpečení nejenom kritické infrastruktury státu, na kterou koncem roku 2019 zaútočili hackeři. Hovořím zde samozřejmě o Benešovské nemocnici a OKD.
Zde na těchto veřejnosti známých případech je vidět, že to není jenom o vytvoření a zprovoznění zákona o kybernetické bezpečnosti, kterým se zde pyšníme, ale hlavně o investicích na zajištění jednotlivých prostředků a procesů v daných organizacích. Obzvláště pak v organizacích jako jsou třeba menší nemocnice, nebo polikliniky. V těch je bezpečnost ICT tak říkajíc na chvostě z pozice dané organizace. Přitom za zdravotní data pacientů, se ve světě temné strany platí nejvíce.
Již teď se zpětně za pár let funkčnosti zákona o kybernetické bezpečnosti ukazuje, jak je to nebezpečí neviditelné, až do doby kybernetického útoku. A bezpečnostní specialisté dobře ví, že tyhle útoky jsou mnohdy pouze tzv. kouřová clona pro jiné typy útoků, které následně nejsou tak veřejně viditelné a obvykle se o nich veřejnost vůbec nedozví. Spílat nad neutěšeným stavem zde však nemá smysl. Co smysl má je jasně viditelná strategie kybernetické bezpečnosti státu, která má zcela jasně řečené záměry a nastavené postupné procesy změn ve veřejné i komerční sféře, která je na kritickou infrastrukturu navázána.
Když se aktuálně podíváte na návrh strategie kybernetické bezpečnosti a digitalizace státu, vidíte pouze obecné proklamace, jak by to mělo vypadat. Konkrétní kroky a dlouhodobé vize, když už nebudeme hovořit o nějakém konkrétním detailu záměru, by byly určitě ku prospěchu všem, kdo směřují své zraky směrem ke zlepšení a zefektivnění, nebo zrychlení fungování stavu veřejné správy. Dal jsem si tu práci a prošel investice do aplikovaného výzkumu v oblasti kritické infrastruktury státu, které jsou veřejně přístupné na webu ministerstva vnitra.
Dobrým znamením zde je, že v obecném pohledu se investice na aplikovaný výzkum v této oblasti, kde vidím projekty s délkou trvání mezi roky 2015-2022, které spravuje ministerstvo vnitra, jsou každým rokem vyšší. Otázkou je zde jen to, kolik z těchto projektů v investicích v řádech desítek milionů korun se následně podaří dostat do procesů a využít v reálném procesu ve státní správě či veřejném sektoru.
Držím všem na této cestě palce, jelikož cesta rozvoje v kybernetické bezpečnosti v ČR není jednoduchá a vyžaduje faktické investice v delším horizontu. Které oblasti jsou stálicí v pohledu na kybernetickou bezpečnost pro rok 2020?
1 – Ochrana údajů a GDPR: Jednou jako nikdy
Provádění obecného nařízení Evropské unie o ochraně osobních údajů (GDPR), které vstoupilo v platnost dne 25. května 2018, stále představuje pro mnohé podniky velkou výzvu. Poté, co byly v listopadu 2018 uvaleny první pokuty, čelí podniky rostoucímu tlaku, aby zvýšily svoje investice do bezpečnosti IT. Neměly by se již nadále spoléhat na izolované audity ochrany údajů prováděné na základě pohovorů, neboť integrované monitorování si žádá přijetí systematického přístupu. Udržitelná ochrana údajů vyžaduje průběžné investice do bezpečnosti IT.
2 – Sociální inženýrství: Lidé jsou tím nejslabším článkem
Mnoho společností používá sofistikované technologické metody, jako jsou služby poskytující informace o hrozbách a testy průniku, k identifikaci zranitelných míst v oblasti IT, avšak naneštěstí opomíjejí školení ohledně
bezpečnosti IT pro své pracovníky. Nicméně „sociální inženýrství“ se již dávno stalo standardní zbraní v arzenálu každého kyberzločince. Podívejme se například na podvodné e-mailové zprávy typu „CEO fraud“, kdy se někdo vydává za ředitele, jakožto údajného odesílatele zdánlivě realistické phishingové e-mailové zprávy. Toto riziko pomáhají alespoň zmírnit účelné informace, vzdělávání a školení, například v podobě nabízené společností TÜV SÜD. Podvody s použitím sociálního inženýrství je relativně snadné připravit a v roce 2020 budou dál na vzestupu.
3 – Vzestup „stínového IT“: Učiňte tomu přítrž
Investice do nového prostředí IT nebo podnikových akvizic představují složité a často velmi náročné projekty. V této situaci společnosti často zapomínají odpojit zařízení, které je zastaralé nebo které již nadále není potřeba. Toto staré zařízení, označované jako „stínové IT“, používá nepodporované operační systémy a nemá aktuální bezpečností záplaty a tudíž nabízí kyberzločincům pohodlné mezery v zabezpečení, které jim umožňují průniky do podnikových sítí. Rizika lze minimalizovat průběžným monitorováním bezpečnosti IT infrastruktury a tím, že se zbavíte zastaralého zařízení a softwaru.
4 – Inteligentní továrny: Bezpečnost zařaďte na pořad dne hned od začátku
Kvůli využívání příležitostí, které nabízí průmyslový internet věcí (IIoT), podniky investují do propojených výrobních zařízení. Bezpečnost by měla být součástí tohoto procesu od samého začátku, neboť pozdější ochrana těchto propojených zařízení proti kybernetickým útokům je složitý a nákladný proces. Podle Spolkového úřadu pro bezpečnost informační techniky (BSI) se v roce 2017 stalo cílem hackerských útoků zhruba 70 % všech podniků v Německu. Skenování zranitelnosti a důkladné posouzení bezpečnosti, jako jsou ta nabízená společností TÜV SÜD, pomáhají podnikům posoudit stav jejich průmyslových zařízení z hlediska bezpečnosti.
5 – Překonávání jazykových bariér: Podpora komunikace mezi odborníky a vrcholovým managementem
Stále více společností posouvá kybernetickou bezpečnost až do postavení problematiky projednávané na úrovni řízení. V důsledku toho se kybernetická bezpečnost stává ústředním tématem nejen pro manažery z oblasti IT, ale v rostoucí míře také pro vrcholový management v provozní oblasti. Nicméně vrcholový management a IT odborníci často hovoří jiným jazykem a mají na mnohé problémy diametrálně odlišný pohled. V takovém případě je užitečné používat komunikaci vhodnou pro příslušnou cílovou skupinu. Jinak mohou problémy v komunikaci zdržet nezbytné investice do bezpečnosti IT.
6 – Kryptomining versus ransomware: Těžit, nepoškozovat
Podle německého sdružení Bitkom – pro odvětví technologií, vznikly jen německým společnostem v roce 2016 a 2017 škody způsobené malwarem ve výši 43 mld. eur. V roce 2020 odborníci očekávají silnější tendenci k tzv. kryptominingu. Namísto poškození nebo krádeže dat kryptomining používá bez vědomí vlastníka infrastruktury podnikovou IT infrastrukturu k těžbě kryptoměn náročné z hlediska využívání procesoru (CPU). Jedním z možných řešení, jak se vyhnout pozdějším mezerám v zabezpečení, je používání přístupu „security by design“, tedy bezpečnost již od návrhu, kdy jsou bezpečnostní požadavky na software a hardware zohledňovány již od fáze návrhu a vývoje.
7 – Kyberzločinci také používají umělou inteligenci
Kybernetické útoky jsou v rostoucí míře prováděny s použitím strojového učení a umělé inteligence. K odražení těchto útoků již nadále nestačí porovnávání vzorů (tzv. pattern matching), tedy kontrola hodnot podle známých vzorů. Podniky by se tudíž měly zaměřit na identifikaci anomálií a rovněž používat umělou inteligenci při zajišťování kybernetické bezpečnosti. Pokud zvolí tento přístup, mohou identifikovat neobvyklé aktivity již v rané fázi.
8 – Zabezpečení cloudových služeb: Bezpečné šifrování
Podle průzkumu sdružení Bitkom, 57 % dotazovaných generálních ředitelů a ředitelů IT uvedlo, že považují uložení podnikových údajů ve veřejném cloudu za „velmi bezpečné“ nebo „relativně bezpečné“. Šifrované cloudové úložiště, jako je to nabízené společností TÜV SÜD a její dceřinou společností Uniscon, je řešení přinášející nejvyšší úroveň zabezpečení a souladu s předpisy o ochraně údajů. Přenosy a uchování dat jsou šifrované a nemá k nim přístup ani poskytovatel cloudových služeb.
9 – Útoky organizované státy
V roce 2020 budou i nadále na vzestupu rozsáhlé profesionální kybernetické útoky vedené hackery pracujícími pro vládu. Země původu dodavatele softwaru by tudíž měla být faktorem, k němuž se bude přihlížet při rozhodování o nákupu softwaru pro zajištění kybernetické bezpečnosti.
Když jsem dopisoval tento článek, právě jsem dostal informaci o útoku na Rakouské ministerstvo zahraničí. Takže tento bod č.9 již na počátku tohoto roku dostal první reálný příklad, toho, že to nejsou jenom vize.
Kybernetických hrozeb bude v roce 2020 přibývat a my bychom se měli zamyslet nad tím, jaké kroky, jak osobně, tak ve firmách a státní správě budeme podnikat. Protože bezpečnost všech systémů – nejen ta kybernetická, vždy začíná u jednotlivce a tím jsme my všichni. A tak vám do nového roku 2020 přeji hodně osobní odvahy, kterou každý z nás z pohledu KB potřebuje.
Šéfredaktor vydavatelství AVERIA LTD. Petr Smolník
Zdroje: TÜV SÜD Central Eastern Europe s.r.o. , MINISTERSTVO VNITRA ČESKÉ REPUBLIKY, odbor bezpečnostního výzkumu a policejního vzdělávání. Obrázek: artmonkey / Freepik.
