Kybernetické hrozby na denní pořádku. Firmy musí stavět na třech pilířích

Kyberbezpečnost stojí na třech nosných pilířích: technologie-lidé-procesy. Aby fungovala tak, jak má, potřebujete technologii. Tu ale ovládají lidé, kteří k tomu potřebují procesy, podle nichž jednají. Obecně jsou povinnosti typu zavedení evropských směrnic o kyberbezpečnosti vnímány negativně. Firmy si však musí uvědomit, že kybernetické hrozby jsou na denním pořádku. Pokud to společnost vezme za správný konec, může to jejímu byznysu i pomoct, řekla v rozhovoru pro Roklen24 spoluzakladatelka konzultantské společnosti Cybrela Kateřina Hůtová. Kde dělají české firmy v oblasti kyberzabezpečení chyby? A jak probíhá kybernetický risk management. Dozvíte se v rozhovoru!

Cybrela je společnost s konzultanty s právnickým vzděláním. V čem je tato specializace jiná oproti ostatním firmám, které se zabývají kybernetickou bezpečností?

Přestože většinou jsou naši konzultanti vystudovaní právníci, právnickou praxi již neděláme. Ale v tom, jakým způsobem přistupujeme k řešení problémů či k plnění organizačních opatření, se náš právnický background nezapře. A to myslím v tom nejlepším. Kyberbezpečnost vnímáme hodně prakticky i díky zkušenostem u ostatních zákazníků a balancujeme zavádění kybernetické bezpečnosti a byznys zákazníka tak, aby k sobě vzájemně ladily a byly si ku prospěchu.

Na co české firmy v otázce kyberbezpečnosti (nejen) z hlediska práva obvykle zapomínají?

Nejčastěji bývají nedostatky v dokumentaci, chybějící zodpovědní lidé nebo nejsou dostatečně definované procesy. Po právní stránce bývají velké nedostatky ve smlouvách s dodavateli, s jejich odpovědností za outsourcované služby, vzdělávání zaměstnanců dodavatele nebo i to, když dodávají pro zákazníka kritickou službu, tak aby měli vyřešené BCM (business continuity management) a DRP (disaster recovery plan). Celá kyberbezpečnost obecně stojí na 3 nosných pilířích: technologie-lidé-procesy. Aby kybernetická bezpečnost fungovala tak, jak má, tak potřebujete technologii (např. firewall, antivir, SIEM atd.) tu ale ovládají lidé, kteří k tomu potřebují procesy, podle kterých jednají.

Klientům poskytujete kybernetický risk management. Jak tento proces probíhá od začátku do konce? Ve kterých oblastech mají firmy největší trhliny?

Prvním krokem je definování aktiv, tedy procesů a informací, bez kterých by společnost nemohla fungovat. Následně probíhá ohodnocení aktiv z pohledu důvěrnosti, dostupnosti a integrity. Následuje asi nejtěžší krok pro klienty, protože vyžaduje velkou míru upřímnosti. Je třeba definovat, co ve vaší společnosti nefunguje tak, jak má, a na to navazující mentální cvičení, ve kterém modelujeme příklady, jak lze potenciálně těchto nedokonalostí využít. Je zapotřebí být upřímný, protože jedině pak má risk analýza smysl. Tyto hrozby jsou následně vyhodnoceny a navrhneme adekvátní způsoby, jak jim předcházet. Je dobré nezkoumat zranitelnosti a hrozby jen pouhým výběrem s předem vydefinovaného seznamu, ale opravdu se zamyslet nad tím, jak to funguje v dané společnosti, protože jen vybíráním ze seznamu častou uniknou zranitelnosti a hrozby, které jsou nejreálnější.

Vaše společnost má v portfoliu služeb i přípravu na budoucí implementaci evropské směrnice NIS 2 o kyberbezpečnosti. Co tato směrnice obsahuje a kterých firem se týká?

NIS2, která se v ČR promítá do návrhu nového zákona o kyberbezpečnosti a příslušných vyhlášek, přináší určité povinnosti, které musí společnost, na kterou bude tato legislativa spadat, zavést. Jsou to zejména technické a organizační opatření (životní cyklus zaměstnance, povinné role v rámci kybernetické bezpečnosti, risk analýza, fyzická bezpečnost, šifrování, školení atd.) a týká se to společností nad 50 zaměstnanců (připočítá se do součtu i mateřská či sesterská společnost), které poskytují některou ze služeb, které jsou vyjmenované v návrhu vyhlášky o poskytovatelích regulovaných služeb (potraviny, výroba, energie atd.)

Jak proces přípravy zmiňované směrnice vypadá a co zahrnuje?

Co v této fázi zákazníkům doporučujeme je, udělat si GAP analýzu (rozdílovou analýzu toho, co již nyní ve společnosti mají a co budou muset připravit). Poskytne jim to jasný přehled, co kdy a jak budou muset zavést, připravit na to zdroje (jak finanční, tak lidské) a vše si v klidu naplánovat.

Rozumí podle vás české firmy kybernetickým hrozbám? Nevnímají věci typu směrnice NIS 2 jako něco byrokraticky nastaveného, co jim přidělává práci a náklady s implementací?

Jakékoliv takovéto povinnosti, které zasahují do chodu společností, jsou většinou brány negativně. Ani případ NIS2 není výjimkou. Nicméně je důležité se na to dívat i z jiného pohledu a to, že kybernetické hrozby jsou již na denním pořádku a pokud to společnost vezme za správný konec, může to ve výsledku jejímu byznysu i pomoct. Jen je potřeba jí uchopit prakticky a aby z toho společnost neměla jen řadu nových směrnic bez reálného využití.