Firmy na GDPR ještě připraveny nejsou...

... říká Petr Aksamit, Cyber Security Client Adviser ze společnosti ICZ.

Firmy na GDPR ještě připraveny nejsou...


Jak hodnotíte vývoj v oblasti bezpečnosti v posledním roce? Jaké typy hrozeb jsou podle vaší zkušenosti aktuálně nejrozšířenější nebo nejnebezpečnější?

Kybernetická bezpečnost, ochrana dat a informací je velmi aktuálním tématem. Státní instituce, komerční společnosti i jednotlivci si v posledním období více uvědomují, že zcizené informace mohou být zneužity a každý systém může být napaden na mnoha úrovních, od operačních systémů serverů, webových aplikací až po uživatelský prohlížeč.

Za aktuálně nejzávažnější hrozby z technického pohledu můžeme označit tzv. zero-day útoky, tedy útoky využívající bezpečnostní mezery a chyby v systémech, na něž v danou chvíli neexistuje oprava. Zero-day chyb pak využívají útočníci, kteří pomocí šíření škodlivých kódů, např. malwaru, napadají prostředí IS organizací či jednotlivců a získávají přístup k datům a aplikacím, kde potom mohou působit i dlouhodobě a skrytě.

Další nejnebezpečnější hrozbou současnosti je tvz. phishing, jedná se zpravidla o krádež přístupových údajů, duševního vlastnictví a průnik k citlivým informacím za nevědomé asistence oběti metodami oklamání uživatelů. Ti pak svou chybou sami napomohou bezpečnostnímu incidentu, např. návštěvou podvodného webu, nechtěným spuštěním bankovního trojského koně pro přístup k cizím účtům či instalací ransomwaru, tedy SW šifrující uživatelská data, za jejichž opětovné zpřístupnění pak může útočník požadovat od své oběti, ať už po jednotlivci či podniku zaplatit.

Tím jak stále přibývá nejrůznějších aplikací provozovaných v cloudu a přístupných přes WWW prohlížeč tak dále stojí za zmínku ještě třeba XSS (Cross Site Scripting) a CSRF (Cross Site Request Forgery) útoky na webové aplikace a prohlížeče. Zkrátka je velmi důležité zajistit, aby celá aplikace prošla pečlivou explicitní kontrolou a neměla bezpečnostní chyby.

Jsou uživatelé připraveni se hrozbám bránit? Kde jsou největší rezervy v informovanosti popř. v dodržování bezpečnostních pravidel?

Většina uživatelů připravena není a oblast kybernetické bezpečnosti podceňují. Problematika bezpečnosti dat a aplikací je pro jednotlivce příliš složitá a jde často proti jejich primárním uživatelským zájmům a pohodlnosti – tedy požadavkům na rychlé a jednoduché používaní služby (málokdo chce před zahájením používání služby číst 15stránkový manuál o jejím bezpečném používání). Zajištění bezpečnosti informací se bezesporu týká všech, liší se pouze rozsah konkrétních požadavků na bezpečnost informací s ohledem na typ dat jejich bezpečné uložení a zpracování.

Požadavky na ochranu a zajištění bezpečnosti dat u právnických subjektů vyplývají z legislativy, ale i smluvních závazků či z interní potřeby podniků, které si uvědomují jejich hodnotu více než jednotlivec. S ohledem na nyní velmi aktuální GDPR direktivu, související hrozbu i finančních postihů a díky tomu vyšší míru informovanosti si dnes podniky uvědomují mnohem více, že zpracování dat v elektronické podobě a vzhledem k neustálému nárůstu hrozeb vůči těmto datům je nezbytné data a informace chránit.

Podniky by měly věnovat pozornost tomu jakým způsobem dosáhnout kvalitně a komplexně zajištění bezpečnosti svých informací a v tomto ohledu je nejlepší postupovat ve fázích: V analytické fázi jsou identifikovány potřeby organizace, zjištěn aktuální stav prostředí z pohledu bezpečnosti a identifikována existující bezpečnostní opatření. V návrhové části, která často obsahuje provedení hodnocení (analýzu) rizik, jsou navržena dodatečná bezpečnostní opatření k pokrytí potřeb organizace. Během navazující implementační fáze jsou navržená organizační a technická opatření zaváděna. Jsou vytvářeny politiky a navazující bezpečnostní dokumentace, školení a procesy. Pořizují se nové nebo se konfigurují stávající nástroje. V provozní fázi jsou bezpečnostní opatření spravována, kontrolována a zlepšována, aby reflektovala vývoj v oblasti hrozeb, zranitelností a zákonných požadavků.

Jsou na kyberhrozby připraveny podniky? S tím, jak digitalizují své procesy, zajišťují mobilitu pracovníků, čelí tlakům na využívání vlastních zařízení uživatelů pro práci, složitost zajištění bezpečnosti roste. Kde mají podniky aktuálně největší slabiny?

Podniky poměrně podceňují možnosti kyberhrozeb i jejich možných dopadů a připraveny na ně komplexně a důkladně prostě nejsou. Pro detailnější posouzení a doporučení „na míru“ by si měly pravidelně nechat kvalifikovaně zpracovat Analýzu a hodnocení rizik bezpečnosti informaci svých ICT systémů s expertním návrhem ošetření těchto rizik.

Bez celkového posouzení bezpečnostní situace a potřeb, provedeného odbornou firmou na kybernetickou bezpečnost je prakticky nemožné zajistit kvalitní zabezpečení informačních a komunikačních systémů. Stává se pak, že podniky investují do bezpečnosti poměrně hodně, ale komplexní bezpečnost systému je poměrně malá. Systém je bohužel jen tak bezpečný jako jeho nejslabší část. Společnosti často nasadí množství různých nezávislých a nepropojených opatření, bez jednotné ucelené ICT strategie provozu a celkové bezpečnosti. Je to jako místo naběračky použít cedník. Paradoxně mnohdy lépe z pohledu bezpečnosti na tom ještě stále jsou některé státní instituce, byť nedisponují tak novými technologiemi jako komerční firmy, ale mnohem více se řídí právní legislativou a zákony (např.181/2014Sb o kybernetické bezpečnosti apod.).

Pro podniky a instituce, které dříve většinou investovaly zejména do ICT infrastruktury (HW/SW), vývoje či integrací svých podnikových aplikací či většího uživatelského komfortu IS pro své pracovníky a klienty, představuje nyní nejrozšířenější hrozbu bezesporu podceňování bezpečnostních opatření už jen z pohledu procesní a organizační bezpečnosti, která vymezuje souhrn pravidel a úkonů, jejichž cílem je zajištění bezpečnosti informací, dostupnosti, spolehlivosti služeb a sítí, elektronické komunikace v kyberprostoru. Základním předpokladem v tomto ohledu je mít v celém podniku kvalitní a zavedený systém řízení bezpečnosti informací, tzv. ISMS v souladu s normou ISO/IEC 27001.

Jsou nějaké typy aplikací (sociální sítě, cloudová úložiště, …), jejichž používání byste doporučili zakázat nebo omezit ve firemním prostředí? Daří se řídit rizika při používání vlastních zařízení (BYOD)?

Ano, byly by to „free“ cloudové služby, tedy služby, které ukládají nebo přenáší data bez smlouvy s organizací upravující mimo jiné bezpečnostní záruky, jelikož ty jsou z pohledu kybernetické bezpečnosti pro podnik poměrně dost rizikové.

Nezabezpečená mobilní zařízení v podnikovém ICT prostředí představují také významnou hrozbu, kterou se nevyplatí podceňovat a není při tom rozhodující, zda notebooky, tablety či smartphony jsou ve vlastnictví podniků či zaměstnanců (označení BYOD). Přenosná zařízení bývají oblíbenou bránou útočníků, přes kterou může např. malware proniknout do celé podnikové sítě. Zabezpečení jen na úrovni koncových bodů, sítí nebo aplikací bývá jen omezeně účinné, proto by kritické informace a data mělo chránit komplexnější bezpečnostní zajištění. Tedy takové produkty a řešení, která řeší komplexně zabezpečený přístup, bezpečné řízení i zpracování na úrovni dat a souborů, i s ohledem na to kde jsou zrovna data uložena či na operace, které se s nimi mohou dít, např. kopírování, tisk, odesílat cloudovým emailem či ukládat na USB klíčenku.

V dnešní moderní době nastupujícího technologického trendu cloudu už však i z hlediska mobility a kybernetické bezpečnosti existují smluvně a technologicky garantovaná cloudová řešení (např. MS Azure, EMS), která mohou podnikům pomoci i v oblastech zlepšení jejich stávající vlastní ochrany dat, zabezpečení koncových zařízení, řízení přístupu a zabezpečení identit, nástrojů pro vysokou dostupnost, auditovatelnost či zvládání bezpečnostních incidentů.

Jak jsou aktuálně podniky a podnikové systémy připraveny na direktivu GDPR, která vejde v platnost příští rok? Čemu by měly firmy věnovat prvořadou pozornost?

Podniky v současné době většinou na nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 (GDPR) ještě připraveny nejsou. Ty, které se zajištění souladu s GDPR začaly věnovat mezi prvními, už mají za sebou většinou analytickou i návrhovou část a nyní začínají implementaci identifikovaných opatření, ostatní podniky buď ještě žádné kroky nezačaly, nebo jsou teprve jen ve stádiu analýz případně výběru kvalifikovaného partnera pro kybernetickou bezpečnost dat a zajištění souladu s obecným nařízením o ochraně osobních údajů.

Prvořadou pozornost by organizace měly věnovat zmapování zpracování, scénářům zpracování osobních údajů s podobností potřebnou pro určení účelu a titulu zpracování. Bez tohoto kroku jsou další aktivity v podstatě „hádáním na slepo“.

Podnikům, které hodlají zodpovědně řešit otázku své kybernetické bezpečnosti na úrovni technických či organizačních opatření a mají zájem řešit i svůj soulad s GDPR a právním rámcem ČR velmi rádi za společnost ICZ nabídneme naše profesionální služby a partnerský přístup.


Úvodní foto: ICZ




Komentáře