Veľký rozhovor s odborníčkou na kybernetickú bezpečnosť našej partnerskej spoločnosti Top privacy s.r.o. k dôležitej a aktuálnej téme - kybernetická bezpečnosť. Ako spoločnosti zistia, či musia mať zabezpečenú kybernetickú bezpečnosť? Aký je postup pri riešení kybernetickej bezpečnosti? Všetky dôležité informácie sa dozviete v rozhovore s pani Barborou Plavcovou Gombárskou, špecialistkou a odborníčkou na GDPR a oblasť kybernetickej bezpečnosti.
Ako zvyknú mať spoločnosti zabezpečenú kybernetickú bezpečnosť?
Vzhľadom na to, že legislatíva je pomerne nová, prišla v roku 2018, mnoho firiem na to nie je dostatočne pripravených. Veľa firiem ani nevie, že má nejakú kybernetickú bezpečnosť mať spracovanú, nakoľko si nespracovali vnútornú analýzu toho, či spadajú do zoznamu základnej služby definovaným zákonom o kybernetickej bezpečnosti. Čo sa týka technického zabezpečenia, aj keď sa začína blýskať na lepšie časy, stále sa nájdu spoločnosti, ktoré vo veľkej miere kybernetickej a informačnej bezpečnosti nevenujú veľkú pozornosť, takže oblasť IT majú veľmi slabo zabezpečenú. Je potrebné prijať určité opatrenia, aby sa zamedzilo a znížilo riziko hrozieb. Je dôležité si uvedomiť, že digitalizácia stále napreduje a tým, že napreduje, tak sa čoraz častejšie stretávame s útokmi kybernetického charakteru, kde v prípade závažného bezpečnostného incidentu často dochádza ku kolapsu celého systému v rámci firiem.
Aký je stav kybernetickej bezpečnosti aktuálne v praxi?
Ako sme si hovorili už pred tým je potrebné prijať určité opatrenia, aby sme zamedzili - prípadne aspoň znížili - riziká, ktoré tu budú vždy. Tieto opatrenia sa prijímajú na základe analýzy rizík, ktorá nám ukáže najzraniteľnejšie miesta. Z takejto analýzy vám vždy vyjde ako najväčšia hrozba ľudský faktor, a to nech si dáte vypracovať akúkoľvek analýzu, či na kybernetickú bezpečnosť, informačnú bezpečnosť, objektovú bezpečnosť alebo protipožiarnu ochranu. A práve preto by prijaté opatrenia nemali byť len technického, ale i personálneho charakteru.
Ľudia (zamestnanci) často nie sú pripravení potýkať sa s hrozbami kybernetického charakteru a často na to nemajú ani patričné vzdelanie. Veľakrát sa stretávame s tým, že spoločnosti zanedbávajú školenia zamestnancov v oblasti kybernetickej bezpečnosti. Tým, že ľudia vo veľkej miere nemajú znalosti ako bezpečne pracovať v digitálnom priestore, tak v práci s digitálnymi technológiami sú práve oni častou bránou kybernetického útoku.
Je nejaká zákonná povinnosť, aby všetky firmy mali zabezpečenú kybernetickú bezpečnosť?
Jedna vec je povinnosť mať zabezpečenú kybernetickú bezpečnosť z pohľadu Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len Zákon o kybernetickej bezpečnosti) – tu spoločnosti buď zo zákona majú alebo nemajú. V rámci Vyhlášky Národného bezpečnostného úradu č. 164/2018, ktorou sa určujú identifikačné kritériá prevádzkovanej služby je definované kto spadá a kto nespadá do základnej služby, pričom na základe tejto vyhlášky a jej prílohy je možné si určiť jednotlivé sektorové a dopadové kritériá prevádzkovateľa základnej služby vzhľadom na oblasť (segment), o ktorý sa jedná.
Povedzme farmaceutický priemysel – tento segment je definovaný ako výrobca liekov podľa Zákona č. 362/ 2011 Z. z. o liekoch a zdravotníckych pomôckach a o zmene a doplnení niektorých zákonov (ďalej len Zákon č. 362/2011 Z. z.). Všetci takýto výrobcovia liekov, by mali spozornieť a mali by si spracovať vnútornú analýzu/audit, v rámci ktorých posúdia špecifické sektorové a dopadové kritériá určené prílohou tejto vyhlášky. Keďže pre farmaceutický priemysel nie sú vyhláškou stanovené špecifické kritériá, budú sa v rámci analýzy posudzovať výhradne dopadové kritériá. Ak výrobca liekov spĺňa aspoň jedno dopadové kritérium je povinný prihlásiť sa na NBÚ (Národný bezpečnostný úrad – pozn.) do zoznamu základných služieb.
Mnoho spoločností, ktoré nemajú povinnosť mať zabezpečenú kybernetickú bezpečnosť v súlade so Zákonom č. 69/2018 Z.z. o kybernetickej bezpečnosti sa aj tak rozhodne v rámci zlepšovania procesov a zabezpečenia kontinuity zabezpečiť súlad s normami informačnej bezpečnosti rady ISO:27 000, čo im vždy prinesie značné benefity.
Ako funguje táto analýza, čo všetko sa musí zanalyzovať, aby firmy zistili, či spadajú pod tento zákon?
Ako som už hovorila, zákon vymedzuje, že prevádzkovateľ základnej služby, aby bol zaradený do zoznamu základných služieb, musí spĺňať jedno špecifické sektorové kritérium a jedno dopadové kritérium. Tieto kritériá sú definované v rámci prílohy spomínanej vyhlášky. Pokiaľ spoločnosť spĺňa aspoň jedno špecifické kritérium, v takom prípade sa presúva k analýze dopadových kritérií, z ktorých ak spĺňa taktiež aspoň jedno, automaticky spadá medzi prevádzkovateľov základnej služby a musí sa nahlásiť na NBÚ. To znamená, že pokiaľ spĺňa špecifické kritérium, ale nespĺňa žiadne dopadové kritérium, nespadá do tejto základnej služby. Špecifické sektorové kritériá majú popísané každý jeden segment prevádzkovateľov samostatne. Napríklad pre farmaceutický priemysel nie je definované špecifické sektorové kritérium, ale dodávateľ a distribútor pitnej vody špecifické sektorové kritériá definované má. Špecifickými sektorovými kritériami pre distribútora pitnej vody je napríklad, ak vyrába a dodáva alebo distribuuje pitnú vodu, prevádzkuje čističku odpadových vôd, prevádzkuje úpravovňu vôd, prevádzkuje vodovod alebo kanalizácie. Toto je to špecifické kritérium, ktoré bude poukazovať na to, či sa spoločnosť má analyzovať dopadové kritériá.
Vrátim sa späť na farmaceutické spoločnosti – v prvom kroku sa u nich iba posudzuje, či sú podľa Zákona č. 362/2011 Z. z. výrobcovia liekov alebo nie. Následne sa posudzujú dopadové kritéria a v rámci nich sa rozoberá aký dopad by mal kybernetický bezpečnostný incident na poskytovanú základnú službu.
Je dôležité si uvedomiť, že každé jedno dopadové kritérium je potrebné skúmať z hĺbky. Robí sa podrobná analýza na každé jedno kritérium vzhľadom na spoločnosť, keďže je každá spoločnosť z hľadiska spracovávania dát iná. V rámci dopadového kritéria sa posudzuje dopad kybernetického bezpečnostného incidentu v rámci informačného systému alebo sietí, na ktorých fungovanie je závislé poskytovanie danej služby.
Toto je kybernetická bezpečnosť z pohľadu zákona. Máme aj druhú, tzv. informačnú bezpečnosť, ktorú si často firmy zavádzajú preto, aby boli v bezpečí a aby predišli rôznym kybernetickým útokom, ale nemajú povinnosť spadať podľa Zákona o kybernetickej bezpečnosti do zoznamu základných služieb. Takéto spoločnosti si riešia túto problematiku v súlade s normami radu ISO: 27000. V rámci ISO noriem si sami nastavia pravidlá, opatrenia a usmernenia, ktoré príjmu a budú dodržiavať ako celá firma, pričom v rámci týchto opatrení sa snažia chrániť pred jednotlivými hrozbami v digitálnom svete. Celá kybernetická bezpečnosť je odrazom zavedených bezpečnostných štandardov a noriem a väčšina audítorov, ktorí vykonávajú audity kybernetickej bezpečnosti vychádzajú a požadujú preukázanie prijatých opatrení nie len zo zákona a vyhlášok určujúcich požiadavky na kybernetickú bezpečnosť, ale aj podľa zaužívaných bezpečnostných štandardov (ako napr. ISO/IEC, CIS, NIST..).
Zaznelo tu viacero pojmov. Začneme pojmom audit kybernetickej bezpečnosti, predpokladám, že je to pre firmy dôležité z hľadiska toho či to robia dobre, či kybernetickú bezpečnosť majú nastavenú dobre...
Pokiaľ je prevádzkovateľ zaradený do základnej služby je pre neho audit kybernetickej bezpečnosti (nie informačnej) povinný. Každý jeden subjekt, ktorý bol zaradený do zoznamu prevádzkovateľov základnej služby, musí do dvoch rokov od zaradenia vykonať vo svojej spoločnosti audit kybernetickej bezpečnosti. Na tento audit je potrebná príprava. Zákon o kybernetickej bezpečnosti nám vymedzuje nejaký rámec toho, čo všetko je potrebné mať splnené. Keď sa pozrieme na Vyhlášku č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení, máme presne definované, ktoré bezpečnostné opatrenia musí spoločnosť prijať. Takže predtým, ako sa rozhodne prijať tieto opatrenia, vykoná prvý vnútorný audit, ktorý hovorí o tom, že či je zaradená alebo nie je zaradená do základnej služby (kybernetickej bezpečnosti), v rámci ktorého posudzuje špecifické a dopadové kritériá. Následne je dôležité vykonať analýzu stavu – posudzuje sa technický charakter už zavedených prvkov bezpečnosti v spoločnosti a riešia sa klasifikácie informácií a kategorizácie sietí a informačných systémov a analýza rizík. V rámci tejto klasifikácie sa posudzujú napríklad jednotlivé výrobné procesy alebo to, či dáta, ktorými daná spoločnosť disponuje, sú citlivého charakteru (či už verejné, interné, chránené alebo prísne chránené – tieto dáta môžu mať rôzne stupne ochrany). Na základe tejto klasifikácie vieme definovať, ktoré opatrenia musí mať spoločnosť podľa zákona prijaté.
Analýza rizík je ďalším krokom, kedy sa v procese zavádzania kybernetickej bezpečnosti (na základe klasifikácie informácií a kategorizácií sietí a toho skutkového technického stavu, v akom sa nachádza spoločnosť) vieme odraziť a prijať primerané opatrenia takým spôsobom, aby boli priamo šité na mieru klienta. Analýza rizík nám zhodnocuje riziká a to, aká veľká miera hrozieb hrozí v prípade bezpečnostného incidentu. V prípade, že miera rizika je vysoká, je potrebné prijať určité opatrenia na jej zníženie.
V procese implementácie jednotlivých opatrení, smerníc a pravidiel, sa nedá vychádzať z dokumentov, ktoré sú tvorené šablónovito. Vždy sa analyzuje daný stav a na základe toho stavu sa prijímajú jednotlivé opatrenia. Keď je už stav známy, vypracovávajú sa bezpečnostné politiky a smernice, ktoré nám určitým spôsobom zadávajú aplikačnú časť, v rámci ktorej už prijímame opatrenia do chodu prevádzky.
Opatrenia je potrebné prijímať po segmentoch, či už riešime zabezpečenie technického charakteru, kde sa môžeme rozprávať o nejakých segmentáciách sietí, o antivírusových programoch a softvérových zabezpečeniach pre ochranu kybernetického priestoru, alebo aj k personálnej bezpečnosti kde je potrebné zabezpečiť školenia a preškoľovanie zamestnancov. Existujú rôzne tréningy na vysporiadanie sa s kybernetickými hrozbami. Existujú rôzne možnosti v rámci kybernetickej bezpečnosti, akým spôsobom vzdelávať zamestnancov tak, aby ich to zaujalo. Tu by som možno podotkla, že je naozaj dôležité aby školiteľ mal tzv. softskills, vedel sa priblížiť tým ľuďom tak, aby to bolo podané ľudským a prijateľným spôsobom. Tým, že sa bavíme o segmente IT a o segmente kybernetickej bezpečnosti, tak častokrát dochádza k nepochopeniu týchto tém u školených osôb. Zamestnanci by mali vedieť primeraným spôsobom v rámci možnosti svojho chápania porozumieť celej tej problematike a naučiť sa chrániť tieto dáta a jednotlivé systémy tak, aby to nebola pre nich len ďalšia zabitá hodina a povinné školenie.
Po tom čo sú prijaté smernice, prijali sme určité opatrenia a vyvstáva otázka, či je to všetko. A nie, nie je. Je potrebné si uvedomiť, že kybernetická bezpečnosť nie je stav, ale proces. To znamená, že neustále napreduje, neustále sa nám objavujú nové hrozby a treba tie hrozby pozorovať, treba pozorovať napríklad aktuálne zraniteľnosti, ktoré sa na jednotlivých produktoch vyskytujú a tieto zraniteľnosti treba nejakým spôsobom ošetriť, zahrnúť ich v rámci jednotlivých opatrení a tak ďalej. Berme to tak, že ten proces kybernetickej bezpečnosti sa neustále vyvíja a neustále sa v tom snažíme zlepšovať a predchádzať novým hrozbám. Vieme, že samotné hackerstvo a hackeri bývajú častokrát dva kroky pred tými, čo sa snažia brániť. Neustále vyvíjajú a vymýšľajú nové spôsoby akými môžu napádať a škodiť ostatným používateľom vo virtuálnom prostredí. Na druhú stranu je potrebné uviesť, že napr. prijatím a zavedením aspoň základných princípov kybernetickej bezpečnosti sa minimalizuje riziko narušenia triviálnymi útokmi, ktorých býva najväčší počet. Toto sa samozrejme netýka len prevádzkovateľa základnej služby, ktorý má vyhláškami určené povinné opatrenia, ale každá spoločnosť by sa problematike kybernetických hrozieb mala vo vlastnom záujme reálne a aj prakticky venovať. Preto je potrebné byť v tomto bdelý a neustále riešiť situáciu a aktuálne kybernetické hrozby.
Po prijatí opatrení nastáva proces, kedy aktualizujeme jednotlivé opatrenia vzhľadom na zraniteľnosti, hrozby, nové riziká. Po tom ako sa prirodzene vyvíja hardvérové a softvérové vybavenie u prevádzkovateľa, rozširujú a prijímajú sa nové informačné systémy, musí sa opakovane robiť analýza rizík, aby prevádzkovateľ poznal, či hrozby stále pretrvávajú a aká je ich miera.
A ten audit príde po dvoch rokoch?
Áno, príde po dvoch rokoch po nahlásení na NBÚ a prihlásenia sa do základnej služby.
Akú úlohu hrá v celom procese manažér kybernetickej bezpečnosti?
Manažér kybernetickej bezpečnosti by mal nezávislé postavenie v rámci spoločnosti. Z pohľadu hierarchie mal by byť navrchu organizačnej štruktúry samozrejme riaditeľ. Manažér kybernetickej bezpečnosti podáva návrhy na zlepšenie a prezentuje stav kybernetickej bezpečnosti práve tomu riaditeľovi a vrcholovému manažmentu spoločnosti, pod ním je už len výkonný orgán a „vykonávači“ kybernetickej bezpečnosti. Manažér kybernetickej bezpečnosti je teda naozaj ten, ktorý len dohliada, kontroluje, podáva návrhy na opatrenia a informuje o stave kybernetickej bezpečnosti. Kontroluje hrozby, zraniteľnosti a jednotlivé iné záležitosti.
Tento manažér kybernetickej bezpečnosti musí byť internista alebo to môže byť aj externý človek?
Môže to byť internista, ale môže to byť aj externista.
V čom sú výhody nevýhody?
Externista, pokiaľ má skúsenosti z rôznych iných spoločností, vie a má obsiahlejšie znalosti a kompetencie v rámci manažmentu kybernetickej bezpečnosti. Výhoda toho interného je, že pozná lepšie vnútornú infraštruktúru podniku – samotné pozadie tej spoločnosti a mal by vedieť lepšie navrhovať jednotlivé opatrenia, vzhľadom na to, že firmu pozná. Tam však môže byť problém s vysporiadaním sa s hrozbami – externý manažér sa môže lepšie vysporiadať s hrozbami kybernetickej bezpečnosti ako ten interný, ktorý má obmedzené možnosti vzdelania a obvykle aj menej skúseností.
Čo teda môžu spoločnosti urobiť, aby boli chránené v kybernetickom priestore? Aby kybernetická bezpečnosť bola na dobrej úrovni? Začať analýzou, zistiť či vôbec patria, či sú prevádzkovateľom základnej služby?
Je dôležité si uvedomiť jednu vec, v prípade, že dôjde ku kybernetickému bezpečnostnému incidentu a nebudú prijaté dostatočné opatrenia, pričom incident je natoľko rozsiahly, že nám zamedzí prevádzku a zastaví napríklad výrobný proces alebo zamedzí poskytovaniu služieb, tak môže byť otázkou to, či je vôbec spoločnosť schopná svoju prevádzku znovu obnoviť. Aby sme si to mohli povedať na príklade – mnoho výrobných spoločností funguje na určitom software-i, povedzme, že v rámci bezpečnostného incidentu dôjde k úplnému obmedzeniu toho softwaru. To znamená, že okrem toho, že nefungujú linky, neexistujú výrobné procesy (postupy), v podstate nám prestane fungovať celá spoločnosť a zastaví sa proces výroby. Tu sa bavíme napríklad o ransomvérovom útoku (pozn. - škodlivý kód, ktorý vedie k zašifrovaniu dát, následne útočník vydiera obeť a žiada vyplatenie určitej sumy), kedy sú zablokované počítače aj samotná sieť a nedá sa dostať k dátam. Samotné počítače sú iba nástroj, ale celé know-how je v dátach, na základe ktorých spoločnosť funguje. Akonáhle dôjde k obmedzeniu týchto dát, aj napriek tomu, že vymeníte počítače, nainštalujete znovu tento software, nemáte správne zálohované dáta, nedokážete znovu obnoviť prevádzku spoločnosti. Obvykle sa pri ransomvérových útokoch rozprávame o tom, že dochádza k zablokovaniu tohto systému, jednotlivých počítačov, v takomto prípade si útočníci žiadajú výkupné a po zaplatení výkupného vám môžu poskytnúť kódy na ich odblokovanie. Avšak to tak nefunguje vždy. Aj keď zaplatíte výkupné, tie kódy a celé systémy sú mnohokrát natoľko poškodené, že sa nedajú obnoviť. Teda spoločnosť pri takomto útoku jednak zaplatí za výkupné a aj tak má nefunkčný systém, čo môže byť skutočne veľký problém. Preto je potrebné prijať opatrenia, ktoré sú prijaté na základe analýzy rizík. Doba pokročila, digitalizácia napreduje a všetko závisí od technológií. Je potrebné brať kybernetickú bezpečnosť a informačnú bezpečnosť vážne.