Rozhodne najlepšie je začať mapovaním toho, čo podnik vlastní. Teda to, aké aktíva by som mal chrániť. Preto hneď na úvod zisťujem, aké sú v podniku informácie a procesy potrebné pre výrobu, alebo či sú citlivé. Následne to, na akých technologických prvkoch sú uložené, alebo kde s nimi pracujeme, či už ide o server, úložisko, počítač alebo databázu.
Zároveň potrebujem vedieť, pomocou ktorých sieťových prvkov komunikujú zariadenia, kde je naše prostredie prepojené s okolitým svetom a ktoré IT služby nám naši dodávatelia poskytujú.
V priemyselných prostrediach je častým zvykom, že aktíva nie sú zmapované vôbec. To však znamená, že by som nebol schopný vidieť „diery“ v našej obrane a ani by som nevedel vyhodnotiť najvýznamnejšie riziká, ktorým čelíme.
Ak som teda dôsledne zmapoval cennosti, teraz potrebujem zistiť, kde sú v tomto prostredí najväčšie diery, čiže zraniteľnosti. Zistím to hneď z dvoch zdrojov. Prvým sú známe zraniteľnosti pravidelne publikované výrobcami technológií alebo jednotkami CSIRT.
Tým druhým sú nesprávne nastavenia bezpečnostných prvkov. Špeciálne v prípade výrobného podniku sa to dozviem porovnaním našich nastavení bezpečnostných prvkov s odporúčaním tzv. benchmark. Najčastejšími zraniteľnosťami sú napríklad nezmenené výrobné nastavenia, staré deravé verzie softvéru či zlá heslová politika. Každý podnik čelí nedostatku prostriedkov, preto potrebuje priorizovať kroky svojej ochrany. Presne na tento účel nám slúži výsledok analýzy rizík. Vyjadrenie najvýznamnejších rizík vypočítame napríklad podľa noriem ISO27005 alebo ISA62443.
Ak som teda už zobrazil rizikový profil, je čas porozprávať sa o ňom s manažmentom firmy. Práve vyšší manažment je totiž priamo zodpovedný za to, ako sa bude k rizikám pristupovať a do akej miery ich bude akceptovať.
Je úplne bežné, že jeden manažér je úplne rezistentný voči riziku a druhý je ochotný ho podstúpiť iba do nevyhnutnej miery. Jeden sa voči riziku poistí a druhý si na jeho riešenie zavolá externú pomoc.
Výsledkom dohody manažmentu by mal byť plán opatrení, ktoré sú pre mňa ako kybermanažéra niečím ako cestovnou mapou. Na ceste k odstraňovaniu rizík nám môže pomôcť aj externý dodávateľ, avšak je veľmi dôležité, aby som „za volantom stále sedel ja“. Čiže určujem cieľ cesty i to, kde sa cesta končí.
Skúsený manažér zároveň vie, že kde sa jedna cesta končí, tam sa zvykne začínať ďalšia. Podmienky v kyberbezpečnosti sa totiž veľmi rýchlo menia. A ja rozhodne plánujem v tomto zamestnaní zotrvať čo najdlhšie. No nie? A to je úlohou aj nášho výrobného podniku – udržať všetky predošlé činnosti v pravidelnom opakovaní a reagovať tak na všetky zmeny, ktorými sa opäť stávame zraniteľnejšími.
David Dvořák,
audítor kybernetickej bezpečnosti Auditori.it
Elitné autorské informácie čítajte v špeciálnom projekte HN Kybernetická bezpečnosť .