Analytici predpokladajú, že v roku 2027 bude až 75 percent zamestnancov získavať technológie, upravovať ich či dokonca vytvárať riešenia mimo viditeľnosti IT oddelenia.

Shadow AI

K tieňovému IT sa pridáva nový fenomén – tieňová umelá inteligencia, teda používanie AI nástrojov a agentov mimo kontroly organizácie.

Podľa analýzy spoločnosti Gartner dnes väčšina zamestnancov využíva AI nástroje mimo oficiálne schváleného prostredia organizácie a firmy majú často o tom len minimálny prehľad.

Shadow AI sa preto už teraz radí medzi hlavné bezpečnostné riziká a do roku 2027 bude patriť k najkritickejším výzvam v riadení IT a kybernetickej bezpečnosti.

Bezpečnostný lapsus

Podstata kybernetickej hrozby v prípade shadow AI spočíva v strate kontroly. IT oddelenie nevie, aké nástroje zamestnanci používajú, kam odosielajú firemné dáta ani kto má k nim prístup.

Čiže ak iniciatívni zamestnanci do neschválených AI aplikácii natlačia zmluvy a osobné údaje, zdrojový kód alebo firemné know-how, tak faktor kybernetickej hrozby vyletí na škále naliehavosti až na úroveň 9 z desiatich.

Ohrozenie graduje

V prípade agentickej AI je situácia ešte závažnejšia, pretože nejde len o spracovanie dát, ale o rozhodovanie a vykonávanie úloh.

Klasická generatívna AI ako ChatGPT či Copilot vytvára odporúčania a text, ale nič nemení bez pokynov od človeka. Agentická AI funguje inak. AI agent plánuje kroky, rozhoduje sa, vykonáva viacstupňové akcie a prispôsobuje sa v reálnom čase.

AI agenti tak dokážu autonómne vykonávať úlohy, generovať odpovede zákazníkom či zasahovať do procesov. Ak sú nasadené bez dohľadu, môžu spôsobiť chyby s reálnym dopadom – od nesprávnych rozhodnutí až po narušenie prevádzky.

Prečo zapnúť alarm

Trend agentickej AI totiž opúšťa vývojársky svet. Na scénu prichádza generácia no‑code a low‑code platforiem, ktoré možňujú aj osobám bez programátorských znalostí vytvoriť plnohodnotného AI agenta.

Používateľ si vyberie šablónu, poskladá bloky vo vizuálnom editore a v prirodzenom jazyku napíše, čo má agent robiť, od správy e‑mailov až po prístup do CRM či cloudových úložísk. Nástroje cielia na bežného, problematiky neznalého používateľa. Laikovi tak stačí iba účet, pár minút času a nápad, čo chce automatizovať.

Ako vyzerá útok

V prípade útoku cez AI agenta už nestačí sledovať, či útočník ukradol jednotlivé údaje. Dôležitý je rozsah škôd, na ktoré agent dosiahne svojím prístupom. V tomto prípade úspešná prompt injekcia neznamená iba únik konkrétnej informácie.

Útočníkovi sa otvára cesta k automatizovanému pohybu v celej infraštruktúre.  Agent, ktorý má povolenia k API rozhraniam, databázam a interným systémom, sa okamžite mení na nástroj útočníka.

Agentická AI má všetky znaky explozívneho rastu a zároveň krátkodobého chaosu. Vykazuje veľmi rýchly rast, či už ide o investície alebo adopciu ale zároveň aj vysokú mieru zlyhaní projektov. K tomu sa začína pridávať prebytok riešení na trhu, nehovoriac o tom, že často vznikajú s nižšou mierou alebo zanedbaním kybernetickej bezpečnosti.

Zákazy nefungujú

Firmy stoja pred zásadnou výzvou ako umožniť inovácie a zároveň si zachovať kontrolu a bezpečnosť. Jednoduché zákazy nefungujú, pretože zamestnanci si budú vždy hľadať cesty, ako si zjednodušiť prácu.

Kľúčom je zavedenie jasných pravidiel, riadeného používania AI a bezpečných nástrojov, ktoré budú dostupné oficiálne. Shadow IT a shadow AI totiž nevznikajú zo zlého úmyslu, ale z potreby pracovať rýchlejšie a efektívnejšie. Práve preto sa ich zvládnutie stáva jednou z najdôležitejších úloh v riadení kybernetickej bezpečnosti.

Analytický tím ALISON Slovakia

V  kyberbezpečnostnom svete je zraniteľnosť slabé miesto, cez ktoré môže útočník preniknúť do siete. Môže ísť o neaktualizovaný program, slabé heslo, chybu v softvéri, v zariadení, v aplikácii alebo nedostatočné prístupové práva.

Od zneužitia zraniteľnosti už vedie priama cesta k uloženým citlivým údajom, zašifrovaniu systému alebo nasadeniu škodlivého softvéru do siete.

Existuje protiliek, len ho treba pravidelne užívať

Ak sa tieto slabiny včas opravia, zaplátajú, alebo “patchujú”, sieť je bezpečná. Ak sa však zanedbajú, kyberodolnosť siete slabne. Inými slovami, zraniteľnosť nie je útok, ale je niečo ako vstupná brána pre útočníka.

Vyhľadávanie zraniteľností je samostatná, nesmierne profitabilná oblasť. Výrobcovia majú rovnako nastavený program, ako tieto zraniteľnosti oznamujú a vydávajú opravy.  Organizovaný kyberzločin však kozmickou rýchlosťou skenuje internet a zariadenia, ktoré sú do neho pripojené, vyhľadáva zraniteľnosti a útočí.

Manažment zraniteľností je prevencia

“Som presvedčený, že manažment zraniteľností by mal byť súčasťou bezpečnostnej stratégie každej nemocnice,” vysvetľuje Benjamín Würfl zo spoločnosti Eviden Slovakia. Takzvaný vulnerability management je jedna z najefektívnejších foriem prevencie proti kybernetickým útokom.

Zdravotnícke zariadenia si uvedomujú stále viac ohrozenia, ktoré pre predstavuje nízka úroveň kyberbezpečnosti. A zároveň si celá spoločnosť uvedomuje aj bariéry.

Benjamín Würfl ti zhrnul stručne: „Ako najväčší problém v slovenských nemocniciach vnímame popri finančných limitoch aj nedostatok kvalifikovaného personálu, ktorý by dokázal zabezpečovať jednotlivé IT a bezpečnostné služby interne.”

Príbeh z praxe

Aj služba manažment zraniteľností môže mať viacero podôb. V jednej zo slovenských nemocníc poskytuje Eviden Slovakia túto službu už viac ako dva roky.

Na začiatku si nemocnica zakúpila vlastné licencie na systém pre manažment zraniteľností a dodávateľ zabezpečoval profylaktické opatrenia a pravidelné skenovanie zraniteľností v rámci jej IT infraštruktúry.

Po dvoch rokoch sa však vzhľadom na nedostatok finančných prostriedkov nemocnica rozhodla nepokračovať v predĺžení licencií. Namiesto toho zvolila model, pri ktorom sa skenovania zraniteľností poskytuje formou služby – VMaaS (Vulnerability Management as a Service).

Ide o plne spravovaný model, ktorý poskytuje Eviden Slovakia viacerým zákazníkom a ktorý sa v praxi ukázal ako efektívny najmä pre zdravotnícke zariadenia.

Ked’služba pláta aj personálne nedostatky

Služba VMaaS šetri interné kapacity IT pracovníkov, ktorých je v nemocniciach dlhodobo nedostatok. V rámci projektu pravidelne realizuje skeny zraniteľností dodávateľ a výsledky prezentuje priamo na stretnutiach s IT tímom nemocnice.

Na základe týchto výstupov následne vykonávajú samotní zamestnanci nemocnice záplaty a opravy v systémoch. V prípade potreby následne dodávateľ realizuje overovacie  skeny, ktoré potvrdzujú, že opravy boli aplikované správne.

Náročné nálezy zvládajú experti

Stáva sa, že niektoré nálezy identifikované manažmentom zraniteľností nevedia pracovníci v nemocnici odstrániť vlastnými silami. V tom prípade si môžu na konkrétne technológie najať ďalších expertov a podľa potrieb riešiť nedostatok kvalifikovaných zdrojov.

Práve tu je najväčšia pridaná hodnota projektu. Nemocnica si dokáže vlastnými silami priebežne zvyšovať úroveň kybernetickej bezpečnosti a zároveň udržiava prehľad o stave svojich IT systémov.

Liek na slabú kondíciu

Od obdobia pandémie COVID-19 počet ransomvérových útokov výrazne narástol. Útočníci často využívajú slabý článok organizácie – nevyškolených zamestnancov. Tí aj v dobrej vôli môžu napríklad otvoriť škodlivú prílohu e-mailu alebo kliknúť na podozrivý odkaz.

V nemocniciach, kde pracujú ľudia rôznych profesií a technickej zdatnosti, je preto veľký priestor na e-learning a školenia kybernetickej bezpečnosti, doplnené o testovanie znalostí a praktické simulácie útokov.

Školenia, ktoré dávajú zmysel

Školenie nemá byť povinná jazda na intranete a preto sme ho postavili na reálnych príkladoch. Komunikujeme bez žargónu, s príbehom, v krátkych 20-minútových dávkach a s presahom do osobného života.

Ukázali sme si, ako vyzerá podvodný e-mail, čo robiť pri podozrení na incident, ako nešíriť paniku a ako nenaletieť.

A aby si to ľudia naozaj zapamätali, urobili sme aj simulovaný phishingový test. Výsledky? Prvé prekvapenia, ale aj zvedavosť a dobré otázky.

A čo je tu najdôležitejšie

Školenie nie je jednorazová aktivita. Vytvárame si kultúru, kde sa o kybernetickej bezpečnosti hovorí prirodzene, nie formálne. Pridali sme pravidelné pripomienky, nástenky a kvízy – nie ako povinnosť, ale ako pripomienku, že každý môže byť prvou aj poslednou líniou obrany.

S našimi IT špecialistami vedieme workshopy na témy bezpečnej správy IT infraštruktúry, s vývojármi diskutujeme pravidlá bezpečného vývoja a v celej firme sa venujeme pravidlám používania umelej inteligencie s dôrazom na bezpečnosť.

Dodávateľ nie je cudzí. Je to naša rozšírená firma

Preto venujeme pozornosť našim externým partnerom. Kybernetický incident u dodávateľa môže mať dosah aj na nás.

Začali sme od základnej vety: Náš dodávateľ je naša zodpovednosť.

Nastavili sme hlavné princípy riadenia dodávateľov:

• Vyberáme ich aj na základe analýzy rizík.
• Overujeme  ich bezpečnostnú úroveň (certifikácie, testy, skúsenosti).
• Zaväzujeme ich zmluvne k ochrane údajov, mlčanlivosti a k spolupráci pri incidentoch.
• Trváme na možnosti kontrolovať a auditovať ich úroveň bezpečnostných opatrení a to aj u ich subdodávateľov.

Zmluvy nie sú len kus papier

Zmluvy sú bezpečnostným nástrojom. A keď sa niečo pokazí, je dobré mať v nich jasne napísané, čo od koho očakávame.

Prešli sme všetky aktívne zmluvy, určili zoznam povolených osôb a vyžiadali si kontaktné osoby pre riešenie incidentov. Tak sme nastavili a podpísali bezpečnostné doložky,

Dodávateľov sme zároveň informovali o našich očakávaniach a bezpečnostných štandardoch. Nechceme ich kontrolovať, ale spolupracovať s nimi ako s partnermi, ktorí chápu, že ak sa niečo stane, ideme v tom spolu.

Takto to robím ja.

Každý mesiac sa s vami delí o svoje praktické skúsenosti skúsený manažér kybernetickej bezpečnosti. Sme svedkami spoločnej cesty bezpečáka a firemného manažmentu vo fiktívnej potravinárskej firme, ktorá buduje svoju kyberbezpečnosť od základov

Andrej Mišura má dvadsať rokov skúsenosti v oblasti IT, bol vyhlásený za manažéra kybernetickej bezpečnosti roka 2024. V súčasnosti je riadiacim partnerom skupiny Cyllium

Od základky po univerzitu

Organizácie si v súčasnosti objednávajú penetračné testy podľa náročnosti a toho, čo si chcú overiť. Základné testy preverujú konkrétne systémy, aplikácie či infraštruktúru. Sofistikovanejší scenár, ako je red teaming, simuluje komplexný hackerský útok zo všetkých smerov. Špeciálna kategória penetračných testov overuje aj splnenie zákonných smerníc a noriem.

Najnáročnejšou kategóriou sú TLPT testy (Threat-Led Penetration Testing), nazývané ako ultimátny test bezpečnosti. Vykonávajú sa najmä vo finančných inštitúciách a v segmentoch kritickej infraštruktúry. Trvajú aj niekoľko mesiacov a simulujú útoky, ako ich robia vysoko organizované APT skupiny. Testovací tím sa tu snaží preniknúť do systému akýmkoľvek spôsobom, vrátane sofistikovaných kombinovaných útokov, sociálneho inžinierstva a dlhodobej infiltračnej činnosti.

Je to jasné

Cieľ etického hackingu však zostáva stále rovnaký - nájsť zraniteľnosti skôr, ako ich objavia útočníci. A tak testujú aplikácie, riešenia alebo systémy v extrémnych podmienkach. Etickí hackeri skúšajú, ako sa systém správa pri neočakávaných situáciách, či obsahuje nezdokumentované chyby a ako by sa dal zmanipulovať.

Tento proces je hľadanie niečoho, čo ešte nebolo objavené. Hackeri sa snažia donútiť systém, aby sa správal inak, než bol naprogramovaný.  Ak sa im to podarí, majú v rukách prienikový bod.

Nástroje sú výborné, ale

Na trhu už existujú nástroje, ktoré dokážu automaticky identifikovať známe zraniteľnosti. Sú naprogramované na vykonávanie konkrétnych útokov, takzvaných exploitov. Čiže v podstate majú v sebe predpripravené zraniteľnosti, ktoré sa dajú využiť. Každý, kto si kúpi nástroj, môže vykonať útok.

Pridaná hodnota kvalitného testovacieho tímu sa však začína tam, kde sa končí výkon týchto nástrojov. Rozdiel medzi automatizovaným útokom a prácou etických hackerov je v kreativite a schopnosti objavovať nové slabiny.

Jadro toho, čo robia kvalifikovaní profesionáli, je vytváranie nových techník a exploitov pre systémy, kde ešte existujú zraniteľnosti, ktoré doposiaľ neboli odhalené a zdokumentované.

Správa z odvrátenej strany

Ak sa dnes niekto rozhodne, že chce byť kybernetický zločinec, nemusí mať hĺbkové znalosti. Kriminálne gangy už fungujú ako organizované podniky, kde si delia prácu. Niektorí programujú malvér, iní ho šíria, ďalší kradnú databázy kreditných kariet a niekto iný ich dokáže speňažiť.

Umelá inteligencia posúva tento model ešte ďalej. Znižuje bariéru vstupu do kybernetickej kriminality a umožňuje menej skúseným útočníkom vykonávať činnosti, ktoré si kedysi vyžadovali roky skúseností. S rozvojom AI bude bezpečnosť ešte komplikovanejšia a obrancovia sa musia, pochopiteľne,  prispôsobiť.

AI aj tu

Umelá inteligencia už dnes dokáže analyzovať kód, hľadať zraniteľnosti, generovať phishingové útoky, dokonca vykonávať autonómne útočné operácie. No zároveň pomáha pri obrane – zlepšuje detekciu útokov, opravuje chyby v systémoch a chráni dáta.

Či sa dostaneme do bodu, kde umelá inteligencia bude hackerom aj obrancom zároveň, je otázka času. No jedno je isté – kybernetická bezpečnosť sa už nikdy nebude riadiť len pravidlami ľudí. Rozmachom umelej inteligencie vstupuje do tejto hry niečo oveľa rýchlejšie a nepredvídateľnejšie.

Zraniteľnosť najvyššej priority

Kybernetická bezpečnosť sa posúva od útokov na zariadenia k útokom na dáta. A tam už čoraz menej záleží na tom, kde sa nachádza samotný používateľ. Útočníci sa už nepotrebujú „vlámať“ do konkrétneho počítača. Potrebujú sa dostať k vašim súborom. A pokiaľ sú tieto súbory niekde v cloude, cesta môže byť napríklad cez phishingové útoky.

Sociálne inžinierstvo tak zostáva jednou z najefektívnejších zbraní útočníkov. Riziká na bežných používateľov číhajú na webových stránkach, v e-mailoch, na sieťach aj v neznámych médiách.

Tomáš Horváth

kyberbezpečnostný konzultant Citadelo

Dojmy nestačia, potrebujeme dáta. Skutočný obraz bezpečnosti dokáže poskytnúť len detailné technologické a procesné overenie stavu, čo odhalí silné a aj slabé stránky našej ochrany.

Naša fiktívna firma Chrum&Chrum spĺňa identifikačné kritéria Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti. Sme prevádzkovateľ základnej služby (PZS).

Overovanie úrovne stavu bezpečnosti má jasný postup a je to niečo ako zdravotná prehliadka firmy.

Zdravotná prehliadka

Presne pochopíme stav a nakreslíme štartovaciu čiaru, nech je akákoľvek. Cieľom nie je hľadať vinníkov, ale reálne zistiť, kde máme slabé miesta a ako ich odstrániť skôr, než spôsobia reálne škody.

Overovanie je rozdelené do troch kľúčových oblastí

1. GAP analýza – kde máme medzery

Porovnali sme aktuálny stav firemnej bezpečnosti s požiadavkami zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, Vyhlášky č. 362/2018 Z. z. o bezpečnostných opatreniach a osvedčenými medzinárodnými štandardmi, napríklad ISO 27001.

Identifikovali sme oblasti, kde chýbajú procesy, dokumentácia alebo technologické riešenia v kybernetickej bezpečnosti.

Vytvorili sme základný zoznam prioritných zistení.

2. Technologické overenie úrovne bezpečnosti – ako sú na tom naše systémy

Testovanie zraniteľností

Použili sme špecializovaný nástroj na skenovanie zraniteľností. Zisťujeme, či naše servery, sieťové prvky a koncové stanice obsahujú kritické zraniteľnosti. Výsledky ukázali, či sú zariadenia pravidelne aktualizované a či tam nie sú zraniteľnosti z predchádzajúcich rokov.

Hardening a bezpečné nastavenie

Na overenie konfigurácie systémov sa používajú bezpečnostné implementačné príručky STIG, pričom k dispozícií sú aj iné príručky zo zdrojov CIS alebo ENISA. Kontrola tu ukáže, že viaceré platformy, technológie a sieťové zariadenia majú aplikované aspoň minimálne bezpečnostné opatrenia.  Sem patrí politika hesiel, kontrola deaktivácie nepoužívaných sieťových služieb alebo protokolov pre vzdialený prístup.

Kontrola zabezpečenia Microsoft Active Directory Domain Services

Active Directory je srdcom firemnej infraštruktúry a nesprávne nastavenie predstavuje kritické riziko.

Aj tu sme použili príručky STIG určené pre Active Directory a navyše aj obľúbený komunitný nástroj PingCastle. Oboje slúži na to, aby sme odhalili dizajnové a bezpečnostné problémy.

Bezpečnosť cloudovej infraštruktúry v Microsoft 365

Firma Chrum&Chrum používa Microsoft 365 na e-maily, dokumenty a firemnú spoluprácu, takže preverujeme nastavenia. Naša biznis verzia licencií umožňuje použiť Microsoft Secure Score, ktorý vyhodnocuje úroveň ochrany. Dá sa takto identifikovať chýbajúca viacfaktorová autentifikáciu (MFA) pre vybrané privilegované účty a aj slabé zabezpečenie zdieľania citlivých dokumentov.

3. Procesné overenie – ako je bezpečnosť riadená

Overujeme spôsob, akým firma riadi bezpečnostné procesy a hľadáme slabé miesta.

Riadenie zmien

Každá firma musí mať systematický proces riadenia zmien v IT infraštruktúre. Zmeny v konfiguráciách serverov, siete alebo aplikácií sa musia vždy schvaľovať a zaznamenávať.

Manažment záplat

Servery a koncové zariadenia si vyžadujú inštaláciu najnovších bezpečnostných aktualizácií. Pravidelný mechanizmus kontroly a aplikácie záplat znižuje riziko zneužitia známych zraniteľností.

Kontinuita prevádzky a zálohovanie

Kontrolujeme existujúce zálohovacie mechanizmy a preverujeme ich súlad s požiadavkami manažmentu. Ak sa kritické databázy zálohujú iba raz týždenne, pri výpadku by to znamenalo stratu cenných dát. Test obnovy zo zálohy sa musí robiť pravidelne, aby firma vedela rýchlo reagovať v prípade výpadku.

Riadenie nasadzovania zmien

Nasadzovanie nových verzií aplikácií, aktualizácií alebo zmien v konfiguráciách systémov musí byť jednotný proces. Ak by sa nové verzie softvéru alebo kritické aktualizácie nasadzovali ad hoc bez dostatočného testovania, zvyšuje to riziko výpadkov a bezpečnostných problémov. Absencia testovacieho prostredia a nejasná zodpovednosť za nasadzovanie a schvaľovanie zmien situáciu nezlepšila.

Výsledky sú na stole

Výsledky hĺbkového overenia úrovne bezpečnosti som predstavil bezpečnostnému výboru. Niekedy to nie je príjemné počúvanie, no vedenie prijalo fakty.  Zložili sme si ružové okuliare.

Overenie nebolo len papierovou byrokraciou. Bol to prvý skutočný pohľad do bezpečnosti firmy a jasný signál, že je čas konať.

V marci nás čaká ďalší dôležitý krok – inventarizácia aktív a ich klasifikácia. Už vieme, kde máme slabé miesta, teraz si musíme definovať, čo je pre nás najcennejšie a ako to primerane chrániť.

Takto to robím ja.

Každý mesiac sa s vami delí o svoje praktické skúsenosti skúsený profesionál. Sme svedkami spoločnej cesty bezpečáka a firemného manažmentu vo fiktívnej potravinárskej firme, ktorá buduje svoju kyberbezpečnosť od základov

Andrej Mišura má dvadsať rokov skúsenosti v oblasti IT, bol vyhlásený za manažéra kybernetickej bezpečnosti roka 2024. V súčasnosti je riadiacim partnerom skupiny Cyllium

Poradňa 1/12, odporúčania a odpovede na otázky účastníkov webináru

 Vyhodnotenie a registrácia firmy podľa novelizácie Zákona o kybernetickej bezpečnosti.

Pre mnohých nastáva vytúžený oddych od utíšenia pandémie, a preto je možné, že strácajú obozretnosť v súvislosti s kybernetickou bezpečnosťou. Či už ide o podvodné maily, ktoré ponúkajú online check-in, alebo neodolateľné zľavové ponuky na hotely a letenky. Hackeri kradnú identitu známych spoločností a skúšajú, ktorý nedočkavý dovolenkár klikne na phishingový e-mail.

Šírka dostupných zariadení a technológií, ktoré často využívame bez uváženého zabezpečenia, zároveň významne zjednodušuje kybernetické útoky kedykoľvek a kdekoľvek. Hackeri sú si aktuálnych zraniteľností veľmi dobre vedomí a neváhajú ich využiť.

Asi málokto si želá počas dovolenky získať suvenír v podobe „vybieleného účtu“, nabúraného telefónu a straty prihlasovacích údajov do mailov, sociálnych sietí a iných aplikácií.

Nehovoriac už o situácii, ak máte ešte aj nainštalované pracovné aplikácie v súkromnom telefóne, čím pravdepodobne porušujete interné smernice a zároveň aj ohrozujete zamestnávateľa.

Na to, aby ste sa chránili pred kybernetickými hrozbami, nemusíte byť certifikovaný bezpečnostný expert. Tieto základné odporúčania vám pomôžu znížiť pravdepodobnosť, že sa stanete obeťou kybernetického útoku.

Čo odporúčame ako jednoduchú bezpečnostnú prevenciu

• Vypnutie automatického pripojenia na WiFi aj bluetooth. Tým sa zariadenie automaticky nepripojí do verejne dostupnej nezabezpečenej siete.
• Zálohu všetkých súborov. Ak sa stanete obeťou kybernetického útoku, stále budete mať prístup k svojim dôležitým súborom.
• Zmenu často používaných hesiel. Vyhnite sa používaniu jednoduchých fráz, osobných informácií alebo číselných sekvencií 123.
• Nastavenie platobných limitov na bankových kartách a pohybov na účte. Bankové aplikácie už poskytujú klientom možnosť prispôsobiť si v aplikácii limity na kartách a notifikácie o pohyboch na bankových účtoch.

Na čo dbať počas dovolenky

• Nanajvýš opatrné zaobchádzanie s verejnými sieťami. Ak je to možné, vyhnite sa verejným pripojeniam, ktoré nie sú chránené heslom. Ak nie, vyhnite sa aspoň aplikáciám, kde je nutná identifikácia.
• Obmedzenie používania verejne dostupných nabíjačiek. Tieto nabíjacie stanice môžu byť vystavené škodlivému softvéru. Môžu uzamknúť mobil a následne exportovať citlivé informácie, ako sú heslá, fotky, správy a informácie o bankových účtoch.
• Prednostne využívanie kreditnej karty pri platení. S kreditnou kartou sa dosiahne pri platení dodatočná bezpečnosť, keďže karta sa neviaže priamo na bankový účet.
• Nákup iba cez webovú stránku HTTPS. Posledné písmeno „S“ znamená bezpečnostnú funkciu, ktorá chráni vaše zariadenie pri online nákupe pred vírusmi a malvérom.

Monika Filingrová, biznis analytička Aliter Technologies, a. s.

Phishing je pre organizácie veľký postrach najmä preto, lebo zvykne stáť na začiatku závažných kybernetických útokov, zameraných napríklad na vydieranie s využitím ransomvéru, alebo na krádeže citlivých dát.

Preto prinášame najčastejšie príklady phishingu a zároveň tipy, ako ich eliminovať.

1. Kobercový nálet e-mailmi

E-mailový phishing je najznámejšia a najrozšírenejšia forma phishingu. Typickým príkladom je rozposielanie hromadných e-mailov, ktoré budia dojem, že pochádzajú od známej, dôveryhodnej značky.

Príjemcu vyzývajú k nejakému úkonu, zvyčajne podmienenému kliknutím na odkaz alebo otvorením priloženého súboru. Cieľom je však dostať do počítača adresáta škodlivý kód.

Na čo dávať pozor a ako sa brániť? Niekedy stačí venovať pozornosť gramatickým chybám a pred reakciou porozmýšľať o relevantnosti e-mailu. Rozkliknutím adresy odosielateľa môžete „preskúmať“ doménu, z ktorej e-mail prišiel.

Zvýšiť ostražitosť treba napríklad aj pri odkazoch v skrátenej podobe, tie sa totiž používajú na oklamanie bezpečnostných e-mailových brán (Secure Email Gateways). Pre vyššiu bezpečnosť je možné aplikovať systém na identifikáciu podvodných domén v kombinácii s okamžitým zablokovaním prístupov na takéto domény.

2. Telefonický phishing

Pri phishingu v angličtine označovanom ako vishing (telefonát) a smishing (SMS) zostávajú ciele útočníkov rovnaké, ale namiesto e-mailu využívajú na oklamanie obetí telefón.

Typickým príkladom je, keď sa podvodníci vydávajú za predstaviteľov dodávateľskej firmy, e-shopu, servisného strediska alebo finančnej inštitúcie a snažia sa vylákať od obete napríklad prihlasovacie údaje alebo detaily platobnej karty.

V tomto prípade si všímajte, či telefonát neprichádza z nezvyčajnej lokality, ale podozrivé by malo byť aj to, ak volajúci príliš nalieha na okamžité poskytnutie údajov a snaží sa vyvolať dojem časovej tiesne.

Väčšina organizácií navyše využíva niekoľkostupňové overovanie používateľa a nikdy nežiada o poskytnutie kompletných osobných údajov. Pravidlom by malo byť nereagovať na neznáme alebo „skryté“ telefónne čísla a na esemesky nereagovať vôbec.

3. Phishing na sociálnych sieťach

Neprekvapuje, že sociálne médiá sa stali obľúbeným miestom pre phishingové útoky. Podvodníci využívajú na zlákanie obetí cielené reklamy alebo posielajú správy priamo cez chatovacie aplikácie sociálnych médií.

Cieľom nebýva vždy iba snaha nakaziť počítač obete škodlivým kódom, ale aj nalákať ľudí na rôzne rizikové investičné schémy a podobne.

Tu treba zvýšiť ostražitosť napríklad pri notifikáciách s odkazmi, ale aj v prípade neštandardných a podozrivých priamych správ. Najmä ak sa nás odosielateľ snaží presvedčiť, aby sme zdieľali svoju obrazovku, poskytli mu vzdialený prístup do zariadenia či osobné údaje.

Každá sociálna sieť navyše umožňuje bezpečnostné nastavenia profilu a v tomto prípade platí, že „menej znamená viac“.

Základom je v čo najväčšej miere obmedziť svoj profil ako verejný a na komunikáciu využívať iné, šifrované a zabezpečené aplikácie, nie tie na sociálnych sieťach.

4. Cielený phishing

Spear phishing predstavuje sofistikovanejšie sociálne inžinierstvo, keď si útočníci z voľne dostupných zdrojov na internete, výročných správ alebo médií vytypujú a oslovujú vybrané osoby alebo skupiny osôb v organizácii. Oslovia ich, vydávajúc sa za internú osobu alebo napríklad za partnerskú firmu, s konkrétnou požiadavkou.

Príkladom je uskutočnenie finančných transakcií, odcudzenie citlivých a dôverných údajov či infiltrácia s cieľom kompromitácie samotnej organizácie. Vytypovanou obeťou cieleného phishingu môže byť napríklad účtovníčka, administrátor IT, ale aj vrcholový manažment, ktorý nebýva až taký obozretný.

Obranou je zvýšená pozornosť voči nezvyčajným požiadavkám alebo nepravidelným žiadostiam, ktoré prichádzajú napríklad z iných oddelení či partnerských firiem.

Útočníci sa týmto spôsobom tiež usilujú presmerovať obete na podvodné weby, a to zahrnutím odkazov na dokumenty uložené na zdieľaných úložiskách, prípadne získať prihlasovacie údaje žiadosťou o prihlásenie používateľa.

Nápomocné sú technológie obmedzovania prístupov na nebezpečné či podozrivé webové stránky, úložiská alebo nástroje na kontrolu a riadenie prístupov do IT systémov a firemných aplikácií.

Nevyhnutné technológie

Spoločným menovateľom prevencie pred akýmkoľvek phishingom je byť prirodzene podozrievavý a ostražitý voči e-mailom, správam alebo telefonátom. Stopercentnú ochranu však ani týmto spôsobom nikto nezíska, preto je pre organizácie dôležité aj technologické zabezpečenie.

Vhodným je napríklad nástroj na monitorovaný šifrovaný prenos informácií (Secure Manage File Transfer), ktorý umožňuje bezpečne posielať aj prijímať citlivé dáta voči externým partnerom alebo systémom alebo ich zdieľať v zabezpečenom adresári, kam majú prístup iba oprávnení používatelia. Ak sa eliminuje nekontrolovaná výmena súborov, znižuje sa aj riziko phishingu.

Ak už útočník sociálne inžinierstvo zneužije a akýmkoľvek spôsobom prenikne do siete alebo kompromituje zariadenie, neostáva nič iné ako mať efektívny monitoring v reálnom čase, systém na okamžitú detekciu podozrivej komunikácie a nástroje na automatizovanú odozvu a blokovanie útokov. Teda technológie, ktoré umožnia podozrivé udalosti nielen zachytiť, ale na ne aj včas a správne reagovať.

Roman Čupka, hlavný konzultant Progress | Flowmon a CEO Synapsa Networks

Sme svetoví

Phishing bol aj minulý rok najrozšírenejšia forma kybernetického útoku. Spôsoby útočníkov sa príliš nemenia, stále používajú podobné triky, ako sú imitácie poštových a doručovateľských služieb a bánk.

„Za prvý polrok 2022 vzrástol počet phishingových útokov na Slovensku o 31 percent v medziročnom porovnaní,“ konštatuje Ján Doboš, ktorý stojí v prvej línii ochrany kybernetického priestoru štátu. Celkovo bolo evidovaných 176 396 phishingových útokov, čo zahŕňa útoky „odrezané“ bezpečnostnými prvkami, pokusy aj reálne incidenty.

Na toto zabudnite

Pred rokmi sa predpokladalo, že vlny phishingu súvisia so sezónnosťou, čiže s prázdninami, so sviatkami alebo s výpredajmi. Väčšina používateľov ešte stále naivne predpokladá, že nie sú pre útočníkov zaujímaví. Alebo ešte horšie – že sú dosť skúsení a dostatočne bystrí.

„Phishingové útoky niekedy pripomínajú kobercové nálety a ich životnosť je vtedy relatívne krátka, inokedy sú to cielené útoky na konkrétne osoby,“ hovorí Boris Mutina zo spoločnosti Excello, ktorá sa špecializuje aj na emailovú bezpečnosť. A potvrdzuje trend – phishingu bude pribúdať a zároveň sa bude zvyšovať aj jeho sofistikovanosť.

Nočné mory profesionálov

Bežní používatelia vo firmách sa stávajú čoraz atraktívnejšími cieľmi, keďže prostredníctvom nich je možné dostať sa k hodnotným informáciám. Zločinecké gangy a špionážne skupiny majú takto „na dosah“ osobné údaje, dôverné firemné informácie aj obchodné tajomstvá. „Nápor phishingu na používateľov je enormný,“ opisuje prostredie Marian Klačo, ktorý je vo Volkswagene Slovakia zodpovedný za bezpečnosť IT a prevádzkových technológií.

Zničujúca kreativita

Tie najhoršie ransomvérové incidenty sa aj vo svete prevádzkových technológií – automobilový priemysel nevynímajúc, začali práve phishingovými útokmi. Popri emailoch, ktoré podsúvajú prílohu so škodlivým kódom alebo odkaz na web, sa objavujú aj iné formy útokov.  Pribudli smishing, čiže phishing cez správy, alebo vishing známy ako telefonáty z call centra. „Útočníci hľadajú stále nové možnosti, ako získať od používateľov citlivé informácie a podľa môjho názoru je najagresívnejšou metódou social media phishing,“ dodáva Marian Klačo.

Tí najzraniteľnejší

Bezpečnostní špecialisti identifikujú tri mimoriadne zraniteľné skupiny. Seniori sú vystavení rizikám, ktorým nerozumejú alebo nevedia na ne reagovať. Strach, pochybnosti a neistota spolu s nátlakom útočníkov sú spúšťače nesprávnych reakcií.

Ženy sú často obeťami podvodníkov, ktorí sa vydávajú za zamilovaných lekárov či vojakov zo zahraničia. Tí získavajú ich dôveru a lákajú peniaze pod zámienkou liečby chorého dieťaťa či návratu domov.

Pre deti je phishing neznámy a netušia, prečo by si mali chrániť súkromie. V školách absentuje kvalitné vzdelávanie v kyberbezpečnosti poskytované štátom, čo považuje Boris Mutina za hanbu, ktorá sa nám vypomstí za pár rokov.

(Ne)osvietení používatelia

Skupiny, ktoré majú prístup k prostriedkom ochrany napríklad v práci, ako sú rôzne filtre, školenia či pravidelné testy, sú viac odolné. Tréningy sú čoraz častejšou súčasťou firemného vzdelávania. Na druhej strane tie isté osoby môžu zlyhávať pri súkromnom využívaní emailov, aplikácií alebo na sociálnych sieťach. Boris Mutina po rokoch analýz phishingových mailov a riešení incidentov však varuje najmä malé firmy a drobných podnikateľov: „Agenda bezpečnosti je tu často okrajová alebo žiadna.“

Už ste sa nachytali?

Nie je to prekvapivé. „Za obdobie ostatných dvoch rokov vnímam výrazný nárast počtu phishingových kampaní voči klientom bánk,“ súhlasí Ján Adamovský, riaditeľ bezpečnosti v Slovenskej sporiteľni. Podvodníci využívajú najrôznejšie komunikačné platformy, ľudí oslovujú cez online bazáre, sociálne siete či volajú z podvrhnutých telefónnych čísel banky alebo polície. Zároveň rastie aj sofistikovanosť a personalizácia týchto útokov.

Neskoro plakať

Podľa kvalifikovaného odhadu Jána Adamovského sa každý rok na Slovensku stanú obeťami phishingu tisícky ľudí. Reálne dôjde k odovzdaniu prihlasovacích údajov do internetbankingu, k odcudzeniu údajov z platobnej karty alebo až k samotnému odcudzeniu peňazí. Vo firemnom svete sú najčastejšími cieľmi finanční riaditelia a zamestnanci zodpovední za vybavovanie faktúr, ktorých sa podvodníci snažia presvedčiť, aby realizovali podvodný platobný príkaz. Najčastejšie sa vydávajú za vyššie postaveného manažéra z danej firmy alebo dodávateľa, ktorý náhle zmenil účet v banke.

Na čo je phishing dobrý

Od marca zaznamenala zvýšený počet phishingových kampaní cielených na zamestnancov aj Všeobecná zdravotná poisťovňa. „Každý takýto útok vieme využiť na zlepšovanie a aktualizáciu našich spamových filtrov, čím sa snažíme zabezpečiť, aby každá ďalšia kampaň od útočníkov bola menej a menej úspešná,“ reaguje Martin Fischer, manažér oddelenia kybernetickej bezpečnosti. Najväčší podiel na úspešnosti alebo neúspešnosti cielených kampaní má však samotný používateľ, preto je vzdelávanie v oblasti informačnej bezpečnosti prioritou.

Odborníci sa zhodujú

„Musíme citlivo a cielene vyskladať také formy, druhy, témy a rozsah vzdelávacích aktivít, aby reflektovali cieľové skupiny zamestnancov,“ opisuje stav Peter Dufek, manažér kybernetickej bezpečnosti v sieti Svet Zdravia a ProCare.

Podľa jeho skúseností je najväčším motivátorom, keď je téma phishingu naviazaná so súk­romným životom. Kampane a podvody nie sú udalosťami iba v zamestnaní a rady, ako sa chrániť, si chce vypočuť veľa poslucháčov. Ak nadchnete pre spoluprácu ľudí, získate pre budovanie kybernetickej odolnosti maximum.

Hovorte, nehanbite sa

Sociálne inžinierstvo v phishingových kampaniach čoraz viac využíva otvorené zdroje. Útočníci si o svojom cieli zistia čo najviac a správy prispôsobia, aby boli dôveryhodnejšie, a teda úspešné. Phishing sa týka každého. Aj tých, čo si myslia že sú proti nemu imúnni. Hoci dokonalé riešenie neexistuje, pomáha neustála ostražitosť a povedomie o téme.

„Hovorte so známymi o hrozbách phishingu a otvorene aj o tom, ak ste na phishing naleteli. Nie je to hanba, vaša skúsenosť a svedectvo môžu pomôcť zachrániť niekoho iného,“ jednoducho uzatvára ťažkú tému Ján Doboš z Národného centra kybernetickej bezpečnosti

SK-CERT. Platí to pre používateľov aj pre firmy. Podnetom na spracovanie témy phishingu sa stal nárast phishingových kampaní a hrozieb, ktoré sa s nimi spájajú. Vzhľadom na mimoriadny záujem o tému sa praktickým radám a ukážkam budeme venovať aj v augustovej prílohe Hospodárskych novín Kybernetická bezpečnosť.

Útok a obrana

Zdravotné stredisko Yuma Regional Medical Center (YRMC) v Arizone oznámilo, že sa stalo obeťou ransomvérového útoku, pri ktorom útočníci získali aj údaje približne 700-tisíc súčasných aj bývalých pacientov.

Len čo bol incident identifikovaný, systémy boli prepnuté do režimu offline, aby sa zabránilo ďalšiemu neoprávnenému prístupu. Stredisko okamžite informovalo aj orgány činné v trestnom konaní a na vyšetrovanie si najalo forenzných analytikov, aby určili povahu a rozsah útoku.

Vyšetrovanie však už v tejto fáze potvrdilo, že útočníci získali prístup k systémom medzi 21. a 25. aprílom a pred zašifrovaním súborov exfiltrovali rozsiahle súbory. Počas útoku fungovali systémy strediska s použitím záložných procesov a postupov, čo spôsobilo určité oneskorenie služieb, ale väčšina pokračovala podľa plánu.

Všetci dotknutí pacienti dostali oznámenia, kde ich zdravotné stredisko informovalo o rozsahu incidentu. Odcudzené údaje obsahovali mená pacientov, čísla sociálneho poistenia, informácie o zdravotnom poistení a čiastočné zdravotné informácie.

Postihnutým osobám zároveň stredisko ponúklo bezplatné služby monitorovania kreditu a ochrany pred krádežou identity.

V oznámeniach aj vyhláseniach Yuma Regional Medical Center zdôrazňuje, že do systému elektronických zdravotných záznamov sa útočníci nedostali. Súčasne však manažment potvrdil ďalšie bezpečnostné opatrenia, aby zabránil útokom.

Ak nie je zaplatené výkupné, ransomvérové ​​útoky často vedú k zverejneniu ukradnutých údajov. V tomto prípade však zdravotné stredisko odmieta potvrdiť, či sa na platbe dohodlo.

Komentár

V súčasnosti si už prevádzkovatelia uvedomujú hodnotu dobrého mena na trhu a v prípade kybernetického incidentu sa obávajú aj straty reputácie.

Na druhej strane, ak nebudeme tieto udalosti a incidenty komunikovať, budeme žiť vo falošnej nádeji, že sme v bezpečí. Preto v prípade arizonskej nemocnice pacienti aj médiá ocenili otvorenosť a rýchlosť komunikácie. Z profesionálneho hľadiska to hodnotím ako učebnicový incident handling.

V čase incidentu sa totiž postihnuté zdravotné stredisko mohlo oprieť o bezpečné a kvalitné zálohovanie dát. Nespochybniteľný je kvalitný interný a externý tím a v neposlednom rade mali určite kvalitný záložný plán aj postup, ako sa vrátiť do prevádzky.

Ak by sa niečo takéto stalo na Slovensku, je tu zákonná povinnosť hlásiť incident Národnému bezpečnostnému úradu, a ak by išlo o únik údajov, aj Úradu na ochranu osobných údajov. Obe inštitúcie okamžite uvádzajú do pohotovosti mechanizmy na pomoc a varovanie ďalších potenciálne zasiahnutých subjektov.

Incident treba dôkladne vyšetriť a zdokumentovať a vytvoriť záložné kópie pre forenzných analytikov. Aby sme eliminovali škody, kontrola musí byť dôsledná a musí pamätať aj na „zadné dvierka“, ktoré útočníci často nechávajú v systéme. Útočné techniky sa vyvíjajú exponenciálnou rýchlosťou, a preto všetky zistenia musíme zapracovať do nasledovných opatrení, aby sme minimalizovali riziko.

Boli opísané tony papiera o dôležitosti prevencie v kybernetickej a informačnej bezpečnosti. Pravidelné školenia zamestnancov, tréningy a kontrola dodržiavania štandardov by dnes mali byť rovnako samozrejmé ako školenia bezpečnosti práce či preškoľovanie vodičov.

Miroslav Macko, analytik ALISON Slovakia

Nie je to iba skrinka s liekmi a všadeprítomná obrazovka. Okrem diagnostických a monitorovacích zariadení pripojených do siete sú to aplikácie, informačné systémy, dátové toky medzi laboratóriami a nemocnicami, spracovanie údajov pacientov aj masívna komunikácia.

Téma kybernetickej bezpečnosti nasledovala elektronizáciu a digitalizáciu systémov a pracovných postupov v praxi. Vladimír Ježík, prezident Asociácie laboratórií Slovenska, to zhrnul jasne: „Ešte pred niekoľkými rokmi sme písali všetky správy v nemocniciach na písacích strojoch a teraz sú už všade počítače.“

Ako sme na tom?

Správa o kybernetickej bezpečnosti v Slovenskej republike za rok 2021 charakterizuje zdravotníctvo ako sektor, ktorý je vystavený kybernetickým hrozbám viac ako iné odvetvia. Podpísala sa na tom pandemická situácia a úroveň ohrozenia zvýšila aj aktuálna geopolitická situácia.

Sektor zdravotníctva tak trápi aj zastaraná infraštruktúra a nedostatok kvalifikovaných IT odborníkov, keďže ťažko konkuruje iným odvetviam.

Zvyšujú sa aj riziká, ktoré predstavuje dodávateľský reťazec. „V sektore je množstvo dodávateľov rôznych zariadení, dnes už väčšinou pripojených na sieť, aj veľa dodávateľov špecializovaných služieb,“ upozorňuje Rastislav Janota, riaditeľ Národného centra kybernetickej bezpečnosti SK-CERT.

Spoločná slabina

Členovia Asociácie nemocníc Slovenska sa zhodujú v tom, že kybernetickú bezpečnosť vnímajú vážne. „Opatrenia sú nutné, povedomie používateľov je však nízke,“ uviedli v oficiálnom stanovisku.

Martin Hromádka, riaditeľ Psychiatrickej nemocnice P. Pinela v Pezinku, to potvrdzuje z vlastných, aj sprostredkovaných skúseností. Najväčšiu slabinu vidí vo veľmi nízkej počítačovej gramotnosti. „Používatelia sú náchylní reagovať aj na najjednoduchšie a úplne evidentné pokusy o získanie prístupu k osobným údajom, akými sú heslá, čísla kariet, PIN kódy a nechajú sa ľahko vyprovokovať k otváraniu odkazov z neznámych zdrojov.“

Kriticky nebezpečné e-maily

Upozorňuje na to aj Terezia Mezešová, vedúca podpory bezpečného vývoja v Siemens Healthineers: „S rozsahom už uniknutých dát na celosvetovej úrovni sa phishingové kampane budú zlepšovať a budú cielenejšie a špecifickejšie, čo nám všetkým skomplikuje ich rozpoznanie.“

Zvyšovanie bezpečnostného povedomia sa preto musí priblížiť zdravotníckemu personálu, ktorý je vyčerpaný po pandémii a pod neutíchajúcim tlakom na poskytovanie kvalitnej zdravotnej starostlivosti. „Je to široká škála ľudí s rozličnou každodennou náplňou práce, je dôležité, aby dostali cielené tipy, ktoré hneď môžu začať praktizovať,“ dodáva Terezia Mezešová.

Tisíce prístrojov

Ak by sme aj všetkých zdravotníkov vycvičili v odolnosti proti phishingovým mailom, ešte stále sú tu koncové zariadenia pripojené do internetu. Často sú nedostatočne chránené alebo bez bezpečnostných záplat. Nejeden audítor kybernetickej bezpečnosti s hrôzou zisťuje, že infraštruktúra je zraniteľná či nesprávne nakonfigurovaná.

Ako brána pre kybernetické útoky fungujú napríklad v troch štvrtinách prípadov routery. Sú to najobľúbenejšie ciele s priemerom vyše päťtisíc útokov za mesiac. Neprekvapí preto odpoveď z Asociácie nemocníc, že každodenné zraniteľnosti patria do trojice faktov, ktorá ich v kybernetickej bezpečnosti desí.

Stovky aplikácií

Či sme chceli, alebo nie, v čase pandémie sme sa museli s aplikáciami zžiť v zrýchlenom tempe. Kauzu zdravotníckych informácií slovenská verejnosť len tak ľahko nezabudne a odborníci asi nikdy.

Tomáš Bartek, bezpečnostný konzultant Aliter Technologies, tu preto opäť pripomína princíp bezpečnosti: „V systémoch kritickej infraštruktúry, akou je oblasť zdravotníctva, je nevyhnutné dbať na pevné zabudovanie mechanizmov informačnej bezpečnosti už do prvotných fáz vývoja softvéru.“ Na dosiahnutie požadovanej úrovne ochrany citlivých údajov musia byť tieto mechanizmy trvalo prítomné počas celého cyklu vývoja softvéru, jeho prevádzky a údržby. V skratke, dodržiavať princípy „security by design“.

Zákon hovorí jasne

Za kybernetickú bezpečnosť zodpovedá štatutár. Rovnako ako iné organizácie, aj zdravotnícke zariadenia služby kybernetickej bezpečnosti nakupujú, outsourcing však nezbavuje štatutára zodpovednosti.

Na začiatku to boli iba antivírusové programy, ale teraz sú to už sofistikované hardvérové a softvérové zabezpečenia. Všetky systémové kroky v nemocniciach, poliklinikách, diagnostických centrách a ambulanciách sa digitalizujú aj prepájajú medzi sebou, poisťovňami či štátnymi autoritami, a tak vzniká väčšia potreba bezpečnosti.

Najťažšia úloha

V tom, čo je najťažšou úlohou v kybernetickej bezpečnosti v zdravotníctve, sa vzácne zhodujú všetci – dostatočné financovanie.

Technologické aj legislatívne zmeny si vyžadujú veľké investície a tie by mali byť zohľadnené pri plánovaní financovania zdravotníctva. Vladimír Ježík ako jedno z riešení navrhuje využiť aj prostriedky z plánu obnovy, respektíve časť investícií pre digitalizáciu.

Pohľad z druhého brehu

„Sme si vedomí, že zdravotnícky sektor je v oblasti IT mimoriadne podfinancovaný. Zároveň však treba povedať, že zariadenia často nevedia financie efektívne využiť a slepo dôverujú dodávateľom,“ zdôrazňuje Rastislav Janota.

Nemocnice nakupujú technológie namiesto riešenia urgentných problémov. Nevedia ich identifikovať a riešiť a ani ich dodávateľ túto schopnosť vo väčšine prípadov nemá. Bezpečnostný špecialista Július Selecký zo spoločnosti Eset často v praxi vidí, že je síce nakúpený špičkový hardvér a softvér, ale je zle zapojený alebo neaktualizovaný. „Nie je to len o nákupe technológií. Je to aj o ľuďoch, ktorí sa o ne starajú, a o bezpečnostných politikách.“

Sám to nikto nedá

Záverečné slová Vladimíra Ježíka však presahujú tému: „V našom zdravotníctve je toľko vážnych problémov, že otázka bezpečnosti je iba jedna z mnohých.“ Ak nemáme dostatok lekárov a sestier a nemá kto ošetrovať, ak sú čakacie lehoty na vyšetrenia v mesiacoch, v kybernetickej bezpečnosti potrebujú zdravotnícke zariadenia podať pomocnú ruku.

Nemocnice, laboratóriá a špecializované pracoviská patria medzi poskytovateľov základných služieb a podľa zákona sa na ne vzťahuje povinnosť urobiť audit kybernetickej bezpečnosti a správu dodať národnej autorite. Národný bezpečnostný úrad k začiatku roka evidoval 49 doručených auditov v sektore zdravotníctva.

V súčasnosti prebiehajú ďalšie audity, ale ešte stále ich chýba niekoľko desiatok. Ako však zdôrazňuje zodpovedný úrad, cieľom auditu nie je kontrola ani postihy. Cieľom je predovšetkým náprava podľa auditových zistení.

Potvrdí to každý audítor

Skúsenosti audítorov by sa dali zhrnúť do jednej mantry – každá organizácia bude len taká bezpečná, aký význam a dôležitosť kybernetickej bezpečnosti pripisuje manažment organizácie. Ako potvrdzuje audítor kybernetickej bezpečnosti Marián Illovský, je nesmierne dôležité, ak vedenie prikladá tejto problematike veľký význam.

Či už nad zariadeniami visí legislatívna povinnosť, alebo sa čoraz viac medializujú útoky na nemocnice v Českej republike a okolitých krajinách, audit kybernetickej bezpečnosti má nespochybniteľné postavenie v činnosti organizácií.

Verzia 1.0

V minulých mesiacoch stáli pred povinnosťou auditu kybernetickej bezpečnosti desiatky zdravotníckych zariadení a s nimi desiatky audítorov. Keďže audítor je vysokokvalifikovaná a certifikovaná autorita, pribúda ich iba veľmi pomaly. Ich povinnosti sú rozsiahle a špičkoví audítori zbierajú skúsenosti roky.

Na druhej strane sú tu rôznorodé zdravotnícke zariadenia. Predstavujú kolosy s viacerými subjektmi, ale aj inštitúcie rozložené na pár poschodiach, no so špecifickým poslaním.

Napríklad v sieti nemocníc Svet zdravia bolo v čase výkonu auditu jedenásť poskytovateľov základnej služby registrovaných ako prevádzkovateľ základnej služby na NBÚ. Celková dĺžka auditu tu bola takmer tri mesiace. Podľa Petra Dufeka, manažéra kybernetickej bezpečnosti ProCare a Svet Zdravia, bolo najvýznamnejšou skúsenosťou v sieti práve praktické oboznámenie sa s výkonom auditu.

Najvýznamnejšie skúsenosti

V mnohých zdravotníckych zariadeniach išlo o vôbec prvé posudzovanie zhody formou auditu. Samotný audit je systematický, nezávislý a zdokumentovaný proces a je objektívnym posúdením miery, do akej sa splnili vopred definované bezpečnostné požiadavky. Priebeh auditu tak ovplyvňuje celú organizáciu.

Aj podľa skúsenosti Petra Du­feka si audit vyžiadal spoluprácu množstva oddelení – IT a HR tímu, špecialistov kvality, prevádzkových zamestnancov a, samozrejme, manažéra kybernetickej bezpečnosti.

Preskúmanie všetkých oblastí si vyžadovalo presné dodržiavanie auditového harmonogramu, jeho rozsahu, zdrojov a účasť na mieste v auditovaných subjektoch.

Predtým a potom

Audit kybernetickej bezpečnosti v organizácii sa nekončí odovzdaním auditovej správy. Kybernetická bezpečnosť je komplexný a systematický proces. Nikdy sa nekončí a zohľadňuje prevádzkové odlišnosti každého subjektu. Predstavuje cyklus budovania a udržiavania celého ekosystému opatrení a procesov.

Bezprostredne po získaní výsledkov auditu sa stanovili záväzné opatrenia a harmonogram odstránenia nedostatkov. Ako uvádza Peter Dufek, prvým rozhodnutím organizácie po doručení správy auditu kybernetickej bezpečnosti bolo personálne posilnenie tímu IT bezpečnosti v spolupráci s manažmentom.

Je zrejmé, že zmena od povedomia ku kultúre kybernetickej bezpečnosti v organizácii nie je jednoduchá. Marián Illovský preto kladie dôraz na postupné a cieľavedomé vzdelávanie v kybernetickej bezpečnosti. Iba takéto spojené aktivity na všetkých „frontoch“ pomôžu ochrániť organizáciu pred kybernetickými hrozbami.

Peter Dufek, manažér kybernetickej bezpečnosti ProCare a Svet Zdravia

Streda 23. februára 2022 nebola ničím špecifická, no z hľadiska IT, respektíve kybernetických vojen bola významným dátumom. Viaceré ukrajinské organizácie zasiahol malvér HermeticWiper, ktorý zmaže kritické miesta na disku a následne už nie je možné počítač naštartovať.

Malvér bol navrhnutý tak, aby po útoku zničil dôkazy svojej činnosti a bezpečnostným expertom znemožnil ďalšie vyšetrovanie incidentu. Viaceré svetové médiá vtedy informovali, že HermeticWiper odhalili práve bezpečnostní experti slovenskej spoločnosti ESET.

Útokov pribúda

Spomeňme si na problémy so servermi Microsoft Exchange, útoky zneužívajúce zraniteľnosti Log4Shell, skoro 900-percentný nárast počtu útokov na protokoly RDP či rast detekcie bankových malvérov na Android viac ako 400 percent. Ransomvér prekonáva tie najhoršie očakávania a cieľom je hlavne kritická infraštruktúra.

Útočníci majú v rukách mohutné nástroje, ktoré sú čoraz viac a viac dostupné. Neprekáža, že nevedia, ako na to, kybernetický útok si vedia zaplatiť ako službu kdesi na darknete.

Meníme sa aj my

Tak ako sa kontinuálne mení svet kybernetických hrozieb, aj ESET stále pridáva nové a nové vrstvy ochrany. Tie spolu ladia ako jeden orchester. Chrániť, detegovať a reagovať je prístup, ktorého sa držíme.

Lepšie je dávať na seba pozor a neochorieť, ako sa náročne liečiť v nemocnici. Aj napriek snahe a zdravému životnému štýlu sa môže stať, že ochoriete. Preto je dôležité problém správne diagnostikovať a určiť správnu liečbu. Taký je aj náš pohľad na kybernetickú bezpečnosť.

Ide o viacvrstvový model zabezpečenia, keďže neveríme, že existuje len nejaký jeden čarovný prútik, ako napríklad umelá inteligencia či strojové učenie, vďaka ktorým budete chránení.

Vylaďujeme platformu

Antimalvér technológia, šifrovanie, systém detekcie a reakcie či cloudový sandbox a mnohé iné sú riešenia, vďaka ktorým dokážu organizácie bojovať so sofistikovanými hrozbami.

Teraz sú tieto technológie dostupné pod jednou strechou ako XDR platforma. Systém rozšírenej detekcie a reakcie dokáže rýchlo a efektívne odhaliť nezvyčajné správanie a narušenie zabezpečenia. Zároveň poskytuje možnosti pokročilého vyhodnocovania rizík, reakcie na incidenty, ich prešetrenie a nápravu.

Jednotný dizajn, konzistencia aj používateľská skúsenosť predstavujú piliere, vďaka ktorým IT bezpečnostní profesionáli dokážu ochrániť celú sieť pracovných staníc, serverov či mobilných zariadení. Táto jednotná XDR platforma je vhodná aj pre šéfov informačnej bezpečnosti – CISO, ktorí potrebujú mať prehľad, respektíve posúdiť celkovú úroveň zabezpečenia v organizácii.

Keď už nemôžeme čakať

Na Slovensku chýbajú tisícky IT špecialistov. A nájsť dobrého bezpečnostného špecialistu je ešte náročnejšie. Viaceré spoločnosti na túto situáciu reagujú aktívnou ponuku služieb a my sa pripájame k trendu.

Bezpečnosť ako služba – Managed Detection and Response, je kombináciou najnovších technológií prevencie, detekcie a reakcie a aj prvotriednej technickej podpory vrátane proaktívnych služieb poskytovaných odborníkmi.

Je to cesta k tomu, aby technológie naplno využívali v organizáciách, kde sú obmedzené zdroje alebo im chýbajú odborné znalosti na nepretržité monitorovanie potenciálnych útokov. Ide zatiaľ o najkomplexnejší prístup ku kybernetickej bezpečnosti.

Július Selecký, senior technický špecialista ESET, odborný asistent Fakulta managementu UK

OT bezpečákov sú stovky, vyznajú sa v jadrových reaktoroch, vo vodných turbínach, v montážnych linkách aj celých priemyselných komplexoch. Na pracovnom trhu sú vzácni a majú desiatky rokov praxe. Pravdou však je, že ich prudko prepadla digitalizácia a internet vecí. Dokonca rýchlejšie, ako boli schopní absorbovať v množstve povinností.

Jedným klikom

V ostatných rokoch sa prevádzkové technológie dostávajú z izolácie. Stojí za tým postupná digitalizácia aj snaha o zefektívnenie ich manažovania. Mnohé priemyselné riadiace systémy sú pritom zároveň zastarané a niektoré neboli aktualizované aj celé roky.

A tak aj pani účtovníčka v rafinérii, ktoré klikne na phishingový mail, môže „dať dole“ celú sieť čerpacích staníc na kontinente. Nie hneď. Útočníci si počkajú. Čas na odhalenie malvéru v infraštrukúre môže byť rádovo desiatky až stovky dní.

Všetko naraz

Aktuálne je najväčšou hrozbou pre OT svet ransomvér, ktorý pácha škody na dennom poriadku. Ale, ako upozorňuje bezpečnostný konzultant a architekt Martin Fábry, v tých uvedomelejších organizáciách sú hrozby zároveň najlepším drajverom implementácie preventívnych opatrení.

Neuvedomelé organizácie, ktorých je podľa Fábryho skúseností majorita, sa môžu chystať na počítanie finančných a reputačných škôd, lebo skôr či neskôr ich ransomvér dostane. Ďalším extrémom sú firmy, ktoré sú po útoku a naďalej ignorujú opatrenia a hrozby z toho vyplývajúce. Ransomvérové gangy tieto spoločnosti milujú a rady sa k nim vracajú. K pesimistickým predpovediam prispieva aj rastúca geopolitická tenzia medzi Východom a Západom.

Následky uvidíme

Certifikovaný etický hacker Ľubomír Kopáček definuje minulý rok ako „kybernetickú apokalypsu“. Jeden príklad za všetky – živelný home office. Nepripravené firmy poslali domov nepripravených zamestnancov a ani OT operátori sietí, žiaľ, neboli výnimkou. Alebo dodávateľský reťazec – môžete mať najlepšie zabezpečené siete a systémy, stačí jediný dodávateľ s výnimkou a celý koncept bezpečnosti sa vám zrúti. Špeciálnu pozornosť si preto zaslúži manažment tretích strán, kde je často nepostačujúca kyberhygiena pri prevádzke a údržbe alebo v projektovom riadení.

Najslabšie stránky

Profesionáli sa vzácne zhodujú, že najväčším problémom kybernetickej bezpečnosti, či hovoríme o prevádzkových alebo informačných technológiách, je a bude človek. Útok na technické zariadenia bez predchádzajúcej interakcie s človekom je strata času a komplikácia. Najefektívnejšie je útočiť na cieľový systém zneužitím zamestnanca s notorickým nedostatkom povedomia, znalostí a skúseností. Osobitnou kapitolou je chýbajúci a účinný OT monitoring kybernetických hrozieb, nedostatočná segmentácia siete, strata kontroly nad prenositeľnými médiami a nedostatok kvalifikovaného personálu na prevádzku týchto technológii.

Výstražné svetlo

Dlhé roky bola synonymom bezpečnosti energetika, avšak aj to už je podľa Ľubomíra Kopáčka do značnej miery minulosťou. Prispeli k tomu prestupy medzi IT a OT sieťami, rôzne „inteligentné“ technológie, neschopnosť detekcie incidentov, nulová vizibilita aj nedostatok odborníkov.

Mimoriadnu pozornosť si na Slovensku aj vo svete zaslúžia zdravotníctvo, výroba a distribúcia vody a tepla, doprava, inteligentné mestá a výroba.

Július Peterec z Mondi SCP mu sekunduje technickými faktami: „Prioritou je zavedenie monitoringu prevádzky v OT sieťach. Po integrácii s IT monitoringom by tento centrálny systém mal poskytnúť nepretržitú viditeľnosť do siete.“ Ako infraštruktúrny odborník však kladie dôraz aj na pravidelné vzdelávanie OT špecialistov v prevádzkach a ich povedomie v kyberbezpečnosti.

Známe bolesti

Peter Škorvánek, vedúci sekcie infraštruktúry a špecialista na IT bezpečnosť v spoločnosti KIA Slovakia, ide k podstate problému: „Povedomie odborníkov z prostredia prevádzkových technológií o IT bezpečnosti je veľmi nízke a nerozumejú jej potrebe.“

Všetci oslovení špecialisti sa zhodujú v tom, že kultúrne rozdiely medzi IT a OT ľudmi sú stále citeľné, čo v mnohých prípadoch limituje ochotu spolupracovať. Martin Fábry na to používa metaforu: „V lepších rodinách riešia obranu do hĺbky IT a OT spolu, a to preventívnou formou, zatiaľ čo v horších rodinách sa bavia až po útoku a navzájom sa obviňujú, čia to bola chyba.“

Učebnice nestíhajú

Neustále zmeny v kybernetickom prostredí ovplyvňujú zameranie školení, témy tréningov či konferencií aj spôsob a formu vzdelávania. Špecializovaná platforma Qubit Academy preto organizuje výročné prestížne podujatie aj intenzívne workshopy pre malé skupiny. „V oboch prípadoch sa kladie dôraz na efektívne riešenie problematiky a aktívnu diskusiu,“ prízvukuje Katarína Gamboš.

Špecifiká OT segmentu, ktorými sú technologické procesy a nevyhnutná dostupnosť, vplývajú aj na pravidelné vzdelávanie ľudí. Musí byť nielen kontinuálne, špecificky zacielené, ale aj zamerané na efektívne a promptné reakcie pri bezpečnostných incidentoch.

Okrem toho, žiadny profesionál na bezpečnosť nevznikne iba absorbovaním teoretických vedomostí. OT bezpečáci by mali čo najviac trénovať na simulátoroch a zažiť „bojové hry“ na reál­nych OT zariadeniach, čo je luxusná a drahá záležitosť.

Musíme to riešiť

Potrebný počet odborníkov na OT bezpečnosť nie je a nebude, určite nie v dohľadnom čase. „Nie je to slovenský fenomén, my sme sa iba zobudili päť rokov po zvyšku sveta,“ hovorí Ľubomír Kopáček. Pomôže nám iba kombinácia systematického a zmysluplného vzdelávania, certifikácií, výmena skúseností a vedomostí v bezpečnostných komunitách a najmä prax, veľmi veľa praxe.

Ako dobrý príklad uvádza Július Peterec susedné Česko. Kvalitný systém vzdelávania s priamym prepojením na súkromný sektor tam umožnil vznik množstvu startupov, ktoré dosiahli v kyberbezpečnosti svetové renomé.

Ruka v ruke s tým však musí ísť celé nastavenie školstva a materiálové vybavenie, aby už od začiatku dokázalo pritiahnuť deti k technickým predmetom. Ale to je už iný ťažký a dlhý príbeh.

prieskum spoločnosti Claroty 2021 - Odolnosť uprostred disrupcie

Elitné autorské informácie čítajte v špeciálnom projekte HN Kybernetická bezpečnosť .

Zároveň potrebujem vedieť, pomocou ktorých sieťových prvkov komunikujú zariadenia, kde je naše prostredie prepojené s okolitým svetom a ktoré IT služby nám naši dodávatelia poskytujú.

V priemyselných prostrediach je častým zvykom, že aktíva nie sú zmapované vôbec. To však znamená, že by som nebol schopný vidieť „diery“ v našej obrane a ani by som nevedel vyhodnotiť najvýznamnejšie riziká, ktorým čelíme.

Ak som teda dôsledne zmapoval cennosti, teraz potrebujem zistiť, kde sú v tomto prostredí najväčšie diery, čiže zraniteľnosti. Zistím to hneď z dvoch zdrojov. Prvým sú známe zraniteľnosti pravidelne publikované výrobcami technológií alebo jednotkami CSIRT.

Tým druhým sú nesprávne nastavenia bezpečnostných prvkov. Špeciálne v prípade výrobného podniku sa to dozviem porovnaním našich nastavení bezpečnostných prvkov s odporúčaním tzv. benchmark. Najčastejšími zraniteľnosťami sú napríklad nezmenené výrobné nastavenia, staré deravé verzie softvéru či zlá heslová politika. Každý podnik čelí nedostatku prostriedkov, preto potrebuje priori­zovať kroky svojej ochrany. Presne na tento účel nám slúži výsledok analýzy rizík. Vyjadrenie najvýznamnejších rizík vypočítame napríklad podľa noriem ISO27005 alebo ISA62443.

Ak som teda už zobrazil rizikový profil, je čas porozprávať sa o ňom s manažmentom firmy. Práve vyšší manažment je totiž priamo zodpovedný za to, ako sa bude k rizikám pristupovať a do akej miery ich bude akceptovať.

Je úplne bežné, že jeden manažér je úplne rezistentný voči riziku a druhý je ochotný ho podstúpiť iba do nevyhnutnej miery. Jeden sa voči riziku poistí a druhý si na jeho riešenie zavolá externú pomoc.

Výsledkom dohody manažmentu by mal byť plán opatrení, ktoré sú pre mňa ako kybermanažéra niečím ako cestovnou mapou. Na ceste k odstraňovaniu rizík nám môže pomôcť aj externý dodávateľ, avšak je veľmi dôležité, aby som „za volantom stále sedel ja“. Čiže určujem cieľ cesty i to, kde sa cesta končí.

Skúsený manažér zároveň vie, že kde sa jedna cesta končí, tam sa zvykne začínať ďalšia. Podmienky v kyberbezpečnosti sa totiž veľmi rýchlo menia. A ja rozhodne plánujem v tomto zamestnaní zotrvať čo najdlhšie. No nie? A to je úlohou aj nášho výrobného podniku – udržať všetky predošlé činnosti v pravidelnom opakovaní a reagovať tak na všetky zmeny, ktorými sa opäť stávame zraniteľnejšími.

David Dvořák,
audítor kybernetickej bezpečnosti Auditori.it

 

Elitné autorské informácie čítajte v špeciálnom projekte HN Kybernetická bezpečnosť .

OT bezpečnosť dnes = IT bezpečnosť pred 15 rokmi

Kto v IT pôsobí dlhšie, vie vyhodnotiť, že bezpečnosť v rámci IT nebola vždy prioritou a prirodzenou súčasťou tak, ako je to dnes. Stačí sa pozrieť napríklad na pomer šifrovanej webovej komunikácie. Pred desiatimi rokmi tvorila 30 percent, dnes už 90 percent všetkej webovej komunikácie.

Keďže OT siete boli tradične oddelené a neprepájali sa s IT sieťami, ich evolúcia smerom k vyššej bezpečnosti sa ešte len začína.

Útoky na OT infraštruktúru otvárajú možnosti ďalekosiahlejších dosahov na ľudstvo v porovnaní s útokmi na IT infraštruktúru. V prípade IT sú totiž dosahy limitované na digitálny svet a súvisia hlavne s ohrozením dostupnosti, dôvernosti a integrity informácií, ktoré je možné, v tom lepšom prípade, obnoviť zo zálohy.

V prípade OT však otvárame celkom novú epochu, kde sa dosahy priamo dotýkajú fyzického sveta, fyzických zariadení s priamym alebo s nepriamym dosahom až na to najvzácnejšie, čo človek má, a to ľudský život (ten zatiaľ zo zálohy obnoviť nedokážeme). Predstavte si, že by útočník napríklad pozmenil nastavenia infúznej pumpy pacienta či ochranné relé a transformátory v distribučnej sieti elektrickej energie...

Prepojenie svetov, na ktoré (nie) sme pripravení

Jednoznačne môžeme skonštatovať, že OT vytvára akúsi bránu, prepojenie digitálneho sveta s tým skutočným, fyzickým. Zjednodušene povedané – ak chce útočník vážne znehodnotiť alebo znefunkčniť chod továrne, elektrárne, nemocnice alebo inej kritickej infraštruktúry, nemusí štartovať bombardéry alebo pechotu, stačí mu skupina skúsených a dobre financovaných hackerov. Preto je na mieste venovať zabezpečeniu OT náležitú pozornosť.

Dokonca ani po útoku Stuxnet nebola väčšina priemyselných protokolov upravená tak, aby vyhovovali požiadavkám kybernetickej bezpečnosti, a dosiaľ väčšinou neposkytujú žiadne mechanizmy autentifikácie alebo šifrovania. Táto situácia je o to nebezpečnejšia, že OT zariadenia, ktoré používajú tieto protokoly, majú oveľa dlhší životný cyklus ako IT zariadenia.

Izolované neznamená chránené

Účelom IT sietí je prenášať veľké množstvo údajov. Keďže boli vytvorené v otvorenom prostredí, je interakcia základom ich fungovania, a za desaťročia rapídneho rastu ich využitia boli vyvinuté bezpečné verzie ich protokolov. Naopak, priemyselné siete OT sú určené na prenos príkazov na zabezpečenie správneho riadenia priemyselných procesov. Keďže sú vo všeobecnosti navrhnuté nezávisle od jednej dielne k druhej, považovali sa za izolované, a teda už chránené príslušnými bezpečnostnými politikami tovární. Avšak v rámci konkurenčného boja, zvýšenia efektivity a prechodu na Industry 4.0 ich prepojenie s „vonkajším“ IT svetom a internetom narastá. Tým sa otvárajú nové vektory útoku na zneužitie množstva už existujúcich (a často neriešených) zraniteľností.

Najväčšia výzva konvergencie IT a OT sietí je napokon na nás, ľuďoch. Ako sa môžu informačné a operačné tímy naučiť porozumieť si a prispôsobiť sa obmedzeniam toho druhého? Dialóg medzi IT tímami s ich skúsenosťami v oblasti kybernetickej bezpečnosti a OT tímami s ich odbornými zručnosťami v ich vlastnej priemyselnej sieti je skutočným kľúčom k lepšej bezpečnosti celkovej infraštruktúry.

Elitné autorské informácie čítajte v špeciálnom projekte HN Kybernetická bezpečnosť .

Uvedomíte si, že celý pozemok je oplotený iba záhradníckym pletivom, ktoré je navyše miestami roztrhané alebo úplne chýba. Výrobné haly aj expedičné sklady majú brány pootvárané a vyzerá to, akoby fungovali „samoobslužne“ – ktokoľvek príde, naloží si tovar a odíde.

Administratívna budova je taktiež bez recepcie, alarmu či kamier. V otvorených vchodových dverách má len retiazku vo výške kolien s tabuľkou „Cudzím vstup zakázaný“.

Absurdná predstava? Áno, ale ak si fyzickú ochranu zameníme s kybernetickou, ide o bežný stav firiem či inštitúcií na Slovensku.

Ako je to možné? Myslím si, že kľúčový problém je, že mnohé organizácie ešte nezačali kybernetickú bezpečnosť brať vážne.

Nevenujú jej dostatočnú pozornosť, a teda ani ľudské a finančné zdroje. V prieskume spoločnosti PwC medzi slovenskými generálnymi riaditeľmi sa obavy z kybernetických hrozieb objavujú na spodných priečkach rebríčka desiatich problémov, ktoré ich znepokojujú.

Pritom v rovnakom prieskume uvádzajú manažéri v USA a západnej Európe kybernetické hrozby na prvom mieste, ako najviac znepokojujúce.

Je to paradoxné, keďže kybernetický priestor geografické hranice nemá. A hrozby medzi krajinami nerozlišujú – s výnimkou tých politicky motivovaných.

Aj keď počas pandémie pribudlo viac zraniteľných miest či aplikácií vďaka práci z domu, videli sme sofistikovanejšie vydieračské útoky, častejší a lepšie jazykovo lokalizovaný phishing, išlo o globálne „trendy“, s ktorými sa stretávajú štátne inštitúcie aj firmy kdekoľvek.

Je tu ešte možnosť, že slovenské spoločnosti nevnímajú kybernetické hrozby ako podstatné preto, že majú bezpečnosť na mimoriadne vysokej úrovni.

Skúste sa na to spýtať niekoho z odbornej komunity a zrejme ho takouto hypotézou dobre pobavíte.

Realita má často podobu deravého pletiva a je len otázkou šťastia, že sme na Slovensku ešte nezažili kybernetickú „katastrofu“ s mnohomiliónovými škodami, o akých stále čítame zo zahraničia.

Martin Lohnert, riaditeľ centra kybernetickej bezpečnosti Void SOC a IT odborník Soitron

Čo je vlastne cloud? Zjednodušene, je to datacentrum či počítač niekoho iného. Vy mu platíte za to, že môžete používať jeho úložisko, výpočtovú kapacitu alebo iné služby, ktoré poskytuje.

Nejde teda o imaginárny obláčik, ale o reálnu infraštruktúru, ktorú je potrebné spravovať a udržiavať v prevádzke. O toto sa vždy stará poskytovateľ cloudovej služby.

Základná trojka

Niektorí používatelia majú predstavu, že prechodom do cloudu sa vyriešia všetky ich problémy nielen s infraštruktúrou, ale aj s bezpečnosťou. Myslia si, že poskytovateľ cloudovej služby je zodpovedný za všetko. Nie je to však celkom tak.

V súčasnosti sú tri najpoužívanejšie modely cloudových služieb – infraštruktúra ako služba, platforma ako služba a softvér ako služba.

Keď sa pozrieme bližšie na ktorúkoľvek z nich, tak vo všetkých prípadoch je zákazník, teda používateľ cloudovej služby, zodpovedný za riadenie prístupu, kontrolu dát a, samozrejme, aj za bezpečnosť zariadenia, z ktorého sa ku cloudovej službe pripája.

Túto delegáciu zodpovedností je potrebné mať vždy na pamäti a dostatočne vyhodnotiť riziká spojené s implementáciou cloudových riešení v rámci organizácie.

Kľúčové oblasti

Bezpečnosť klasickej infraštruktúry, ale aj tej cloudovej či hybridnej vieme podchytiť v spoločných oblastiach.

V prvom rade je potrebné držať neustály prehľad o všetkých aktívach. Nie je totiž možné chrániť niečo, o čom nevieme. Táto požiadavka je v cloude omnoho zásadnejšia, keďže ten umožňuje vytvárať nové aktíva takpovediac jedným klikom. Dôležitým prvkom je riadenie zmien a rozdelenie zodpovedností, ktoré zabezpečujú viacúrovňovú kontrolu aktív.

Druhou kľúčovou oblasťou je riadenie prístupu a identít. V prípade cloudu sa stráca význam klasického perimetra a ten sa presúva na úroveň identity.

V rámci životného cyklu je potrebné riadiť nielen používateľov, ale aj jednotlivé služby a aplikačné rozhrania. Je podstatné určiť, kto má kam prístup, ale taktiež to, aké má kto oprávnenia z hľadiska akcií. Ide napríklad o vytváranie nových inštancií, ako sú počítače v cloude, dátové úložiská či databázové úložiská.

Ochrana dát a logy

Je nevyhnutné vedieť, kde všade sa budú vaše dáta nachádzať počas svojho životného cyklu. S týmto je neodmysliteľne spojené šifrovanie a správa kľúčov, ako aj porozumenie tomu, akým spôsobom sú dáta zmazané.

Existuje tu totiž možnosť náhodného úniku zvyškov dát, keď­že cloudové prostredie sa riadi filozofiou zdieľania zdrojov. To je jeho veľká výhoda, ale zároveň aj bezpečnostné riziko, ktoré je potrebné identifikovať a ošetriť.

Na záver, tak ako aj pri klasickej infraštruktúre, je veľmi dôležité mať prehľad o tom, čo sa v cloude deje. Zabezpečenie dostatočného prehľadu o stave a potenciálnych škodlivých aktivitách si vyžaduje zber a analýzu záznamov – logov – a monitorovanie toku komunikácie.

Budúcnosť je hybrid

Cloud sa neustále vyvíja, prispôsobuje požiadavkám trhu, ale aj meniacim sa hrozbám. Dôkazom môže byť čoraz častejšie využívanie cloudových riešení na úrovní vlád, respektíve armád.

Toto rozšírenie umožňujú rôzne modely nasadenia cloudových služieb. Preto ako najpravdepodobnejšia sa do budúcnosti javí implementácia hybridného modelu nasadenia pozostávajúceho z kombinácie verejného a súkromného cloudu.

Ten by umožnil organizáciám využívať všetky výhody vyplývajúce zo základných charakteristík cloudových služieb a taktiež vyhovieť požiadavkám štandardov a legislatívy.

Dáme to pod zámok

Keď ide o fyzickú bezpečnosť, skriňa sa dá zamknúť, na okno dáme mrežu a ešte aj alarm. No v treťom tisícročí, s postupujúcou digitalizáciou, nadobudol pojem bezpečnosti nový význam.

Miroslav Chlipala z advokátskej kancelárie Bukovinsky & Chlipala tento stav v slovenských firmách opisuje ako: „Všetko, čo nevieme uchopiť, odsúvame nabok. Ak máme veľa ďalších povinností, nevnímame akútnosť problému.“ Týka sa to cloudových služieb, ochrany osobných údajov aj kybernetickej bezpečnosti.

Ako šafranu

Spoločnosť Platon Technologies poskytuje hosting takmer sedemtisíc webov, špecializuje sa na prevádzku serverov a budovanie clusterov. Počet zákazníkov, ktorí sa zaujímajú aktívne o bezpečnosť, vyhodnotil Ondrej Jombik metaforou – je ich ako šafranu. „V drvivej väčšine prípadov dostaneme otázky na bezpečnosť, keď ide o povinnosť vyplniť informácie do nejakého dokumentu, ktorý potrebujú poslať ďalej.“

Zvýšený záujem zákazníkov o tému registrujú od roku 2018. Aj keď GDPR nie je priamo o zabezpečení serverov, mnohým ukázal, že je vhodné sa zaujímať o to, kde sú ich dáta uložené, kto má k nim prístup a ako sú zabezpečené.

Zodpovednosť ťažkého kalibru

Či už vyrábate súčiastky, liečite ľudí, máte e-shop, personálnu agentúru alebo vediete školu či úrad, údaje, ktoré spravujete, sú cenné. V prípade, ak príde ransomvérový útok a zašifruje ich, stanú sa nedostupné a hrozí ich zverejnenie a vydieranie.

Následok pri zanedbaní povinností kybernetickej bezpečnosti je takmer likvidačný. A pritom, ako opakuje Ondrej Jombík, záujem medzi zákazníkmi je stále dosť malý v porovnaní s tým, čo by si bezpečnostná problematika zasluhovala.

Stresu sa zbavíte, zodpovednosť zostáva

Aj štát má povinnosti

Pred štyrmi rokmi zákon definoval jedenásť strategických sektorov a vymedzil ich povinnosti v kybernetickej bezpečnosti. Patria sem súkromné spoločnosti, štátne podniky aj inštitúcie a organizácie verejnej správy. Vybrané subjekty sa tak stali povinnými osobami.

Účel zákona, vykonávacích vyhlášok a certifikačných schém je jednoznačný – zabezpečiť kontinuitu. Ak by sme to mohli voľne povedať, zákon o kybernetickej bezpečnosti je pre povinné osoby záväzný, pre súkromný sektor inšpiratívny.

Pán riaditeľ to vie?

Ak v dôsledku kybernetického útoku nefunguje firma, inštitúcia či obec, je zodpovedný štatutárny orgán. Miroslav Chlipala to formuluje jasne – povinnosťou štatutára je zabezpečiť službu kybernetickej bezpečnosti. „Neustálym opakovaním katastrofických správ o incidentoch nie je vystrašiť riaditeľov k smrti, ale upozorniť na riziká,“ dodáva.

Lebo kým všetko funguje, nikoho nič nebolí. Pritom v organizáciách sa považuje za štandard kybernetická bezpečnosť na úrovni IT riešenia, doplnená organizačnými opatreniami, vzdelávanie zamestnancov a zmluvné vzťahy.

Základ už existuje

Lenka Gondová, prezidentka ISACA Slovensko, dáva do pozornosti, že pri implementácii opatrení kybernetickej bezpečnosti je stále veľmi užitočné využívať základné normy ISO z oblasti informačnej bezpečnosti.

Keďže v praxi sa informačná a kybernetická bezpečnosť čoraz viac prekrývajú, odráža sa to aj v aktualizácii ďalších noriem. Patria sem napríklad normy pre riadenie rizík či bezpečnosti dodávateľov a v oblasti riadenia ochrany súkromia.

Situácia je riešiteľná

Ak si organizácia uvedomí svoju povinnosť, je to prejavom zodpovednosti. A prvým krokom. Či už sa rozhodne plniť povinnosti tak, že nájde kvalifikovaných zamestnancov, poverí dodávateľa, alebo si objedná kybernetickú bezpečnosť ako službu.

Špecialista Jozef Bálint zo spoločnosti ALISON rozhodne súhlasí s tým, že problematika kybernetickej bezpečnosti je aktuálne natoľko rozsiahla, že spoločnosť, ktorá sa nevenuje výhradne IT, má problém pokryť celú oblasť pomocou vlastných personálnych a technologických zdrojov.

Úlohy, ktoré si vyžadujú odborné spôsobilosti, je možné realizovať aj využitím dodávateľských služieb. Na Slovensku sa tak v súčasnosti profiluje trh bezpečnostných služieb a jeho rast sa spája aj s nástupom cloudových technológií a nedostatkom IT špecialistov.

V cloude je to jasné

Dve dekády riešení priniesli množstvo skúseností, a preto ide táto oblasť príkladom. „Zákazník, teda používateľ cloudovej služby, je vždy zodpovedný za riadenie prístupu, kontrolu dát a, samozrejme, aj za bezpečnosť zariadenia, z ktorého sa ku cloudovej službe pripája,“ vysvetľuje Daniel Suchý zo spoločnosti Aliter Technologies.

Riaditeľ malého podniku však nemusí mať dostatočné znalosti o kybernetickej bezpečnosti a téma ho môže zaujímať len okrajovo, ak vôbec. Skôr bude riešiť, koľko to bude stáť. Pokiaľ nemá skúsenosti a znalosti, stratégiu migrácie IT do cloudu by mal
zveriť do rúk profesionálov.

Pýtajte sa

Ak spadá organizácia pod reguláciu, prvá otázka pri presune do cloudu by mala byť na tému GDPR. Ďalšie otázky budúceho zákazníka súvisia s tým, akú službu si objednáva od cloud providera a čo tam plánuje prevádzkovať. Ak chce zapojiť vlastné IT oddelenie, musí ho zaškoliť a zvážiť, či má kompetencie.

V prípade nadnárodných cloudov nie je veľký priestor zasahovať alebo upravovať zmluvné podmienky, ktoré definujú kybernetickú bezpečnosť. „Tu by som vo vzťahu k službe dal urobiť kompletnú rizikovú a právnu analýzu, aby som vedel, na čom som a ako takéto rizika pokryť,“ radí Henrich Šnajder, manažér IT bezpečnosti Orange Slovensko, a. s.

Dôrazne však dodáva, že ultimatívna zodpovednosť a dosahy na firmu sa nedajú preniesť na nikoho a už vôbec nie na cloud providera.

Určite máte web

Medzi povinnosti prevádzkovateľa webu patrí jeho bezpečnosť. Ondrej Jombík vidí ako najväčšiu nástrahu zmlúv nejasnú špecifikáciu okruhov zodpovednosti zákazníka a dodávateľa.

„Nie je nič horšie, ako keď sa nejaká dôležitá činnosť ocitne v sivej zóne a nikto za ňu nenesie zodpovednosť. Vtedy je to len otázka času, kedy nastane problém, je to časovaná bomba,“ upozorňuje Jombík ako skúsený prevádzkovateľ, ktorý už odolal nejednému DDoS útoku.

Ako príklad uvádza jasné definovanie v prípade webhostingu, kto je zodpovedný za pravidelné aktualizácie CMS systému. Obvykle to býva sám zákazník, ale v určitých zmluvných prípadoch môže byť činnosť presunutá na dodávateľa.

Zvýšiť ochranu v malých firmách však nemusí byť nevyhnutne drahé, ani mimoriadne prácne. Tu sú tri jednoduché kroky s veľkým efektom, ktoré sa dajú urobiť s minimálnymi nákladmi a úsilím.

1. Zabráňte phishingovým útokom

Phishing vo forme podvodných emailov, telefonátov či webových stránok, ktorými sa útočníci a podvodníci snažia od obetí vylákať heslo, číslo kreditnej karty či inú dôvernú informáciu, býva spúšťačom väčšiny kybernetických útokov.  Na základe získanej informácie následne dokážu napríklad infikovať systém škodlivým kódom, zablokovať dáta a následne obeť vydierať, alebo sa pokúsiť realizovať podvodnú transakciu.

• Pripravte pre zamestnancov jednoduché školenia, ktoré im vysvetlí, ako takéto útoky vyzerajú a ako im predchádzať. Dôležité je najmä neklikať na linky v podozrivých emailoch a chatoch, aj keď zdanlivo prichádzajú od známych odosielateľov, nezadávať citlivé údaje na nezabezpečených weboch a používať filtre proti podozrivým emailom a webom.

2. Zaveďte používanie VPN

V čase pandémie ľudia viac pracujú mimo kancelárie, ale využívanie notebookov s internetovým pripojením z domova, z kaviarne, alebo cez iné verejné WiFi siete, môže byť nebezpečné. Bez zašifrovania je totiž pomerne ľahké sledovať aktivitu používateľa a odchytiť jeho komunikáciu, vrátane hesiel napríklad na prístup do firemnej siete.

• Začnite používať virtuálne privátne siete (VPN) pre bezpečné a šifrované pripojenie cez domáce či iné slabšie zabezpečené siete. Takýmto spôsobom sa dajú bezpečne prepojiť aj viaceré počítače z rozličných, fyzicky vzdialených WiFi, a takisto prepojiť počítače do firemného intranetu. K dispozícii sú aj bezplatné VPN-ky ako ProtonVPN či Windscribe VPN, hoci verzie zadarmo majú isté obmedzenia.

 3. Dbajte na aktualizácie

Štatistiky vravia, že viac ako polovici kybernetických útokov mohli obete predísť včasným zaplátaním zraniteľností operačného systému, aplikácií či firmwaru. Vyše tretina obetí pritom priznáva, že o bezpečnostnej diere v čase jej zneužitia vedela.

• Nastavte a zaveďte formálny proces s pravidlami pre vykonávanie aktualizácií a poskytnite zamestnancom školenia o základoch a význame kybernetickej hygieny. Nesmie sa stávať, že používatelia pri upozorneniach na potrebu aktualizácií opakovane volia možnosť „Pripomenúť neskôr“, alebo ponuku úplne zrušia.

 

Roman Čupka, hlavný konzultant Flowmon Networks a CEO Synapsa Networks

A stalo sa

V apríli otriasol masívny ransomvérový útok výrobnou firmou na strednom Slovensku. Zasiahol IT infraštruktúru aj prevádzkové technológie, ohrozil existenciu firmy, zamestnanie pre vyše tristo ľudí, aj výrobný reťazec odberateľov. Náklady súvisiace s incidentom už prevýšili pol milióna eur.

Bezpečnostná špecialistka Zuzana Omelková zo spoločnosti GAMO, ktorá na mieste pracuje v responzívnom tíme to zhŕňa výstižnou vetou: „Ide o firmu s viac než 70-ročnou históriou a tento incident predstavuje to najhoršie, čo sa im za celý čas stalo.“

99,9 percent

V korporáciách sú totiž bezpečáci králi. Stredné a malé firmy, mikropodniky a živnostníci, sa často spoliehajú na to, že nie sú zaujímaví pre kybernetický zločin. Pravda je taká, že pre zločincov sú zaujímavé všetky firmy a akékoľvek zdroje zisku.

Malé a stredné podniky na Slovensku pritom tvoria 99,9 percent z počtu podnikateľských subjektov a zamestnávajú 74 percent aktívnej pracovnej sily v podnikovej ekonomike* Je to presne ten segment, ktorý zažíva výrazný medziročný nárast kybernetických útokov.

Pracovitosť nestačí

Malé a častokrát aj stredné firmy sú totiž zamerané predovšetkým na dosahovanie zisku. Oveľa menej pozornosti venujú potenciálnym rizikám, kam patria aj kybernetické útoky. Útoky na tento segment dostávajú v médiách len minimálny priestor a preto sa môže zdať, že pre útočníkov nie sú zaujímavé.

Senior technický špecialista Július Selecký však upozorňuje, že podľa dát, ktoré má spoločnosť ESET k dispozícií, útoky na malé a stredné firmy neustále rastú. A kybernetické útoky na firmy s nižším počtom zamestnancov majú väčšinou fatálny vplyv na podnikanie.

Koniec mýtu

Samostatnou a početnou slovenskou kapitolou sú mikropodniky. Pre nich sú bezpečnostnými garantmi ich dodávatelia IT služieb, či už živnostníci, alebo ďalšie malé a stredné firmy.

Veľká časť týchto  dodávateľov zažila čas hardvérového boomu a nástup internetu. Toto obdobie v bezpečnosti charakterizuje Ladislav Líška zo spoločnosti SmartCad: „Ešte na prelome storočia bolo úspechom predať antivírus.“

Po roku 2005 to už prestalo stačiť a už treba hovoriť o bezpečnostnom softvéri. Organizácie však šťastne a mylne žijú v tom, že antivírus im na ochranu aktív stále postačuje.

Dôvera zaväzuje

Na Slovensku sú desiatky firiem, ako je SmartCad, ktoré spravujú infraštruktúru malým podnikom, od špecializovaných kancelárií až po lokálnych producentov a služby. A aj tu platí, že dôvera je absolútny základ spolupráce.

O to viacej musia dodávatelia IT služieb pracovať na svojom vzdelávaní. Jeden z najkvalitnejších zdrojov je partnerské vzdelávanie výrobcov softvéru a hardvéru. Prezentuje sa tu rozvoj technológii, typy útokov a prípadové štúdie.

Náročnosť na vedomosti

Otázka kybernetickej bezpečnosti je pre malé slovenské firmy častokrát ako z inej dimenzie. Je to široký pojem, vyžaduje si roky skúsenosti a vývoj napreduje nepredstaviteľne rýchlo.

„Nepredpokladám, že by sa architekti, stavbári alebo riaditelia malých firiem začali venovať kybernetickej bezpečnosti a ani to od nich neočakávam,“ uzatvára Ladislav Líška. Za najhoršiu skúsenosť u klienta považuje ransomvérový útok, či hromadné zavírenie. Ako zvyčajne, boli až neuveriteľnou kombináciou diletanských rozhodnutí.

Problémy: časť 1

Jozef Bálint bezpečnostný špecialista ALISON Slovensko sa stretáva s tým, že ešte stále veľa firiem nemá ani zoznam aktív a zraniteľností. Ani v druhom roku pandémie nedbajú na zabezpečenie videokonferencií a komunikácie medzi zamestnancami.Množstvo bezpečnostných incidentov vzniká zneužitím zraniteľnosti na neaktualizovanom softvéri a hardvéri. Kľúčové je dokázať tieto zraniteľnosti identifikovať a aplikovať bezpečnostné záplaty a aktualizácie.  A ak už k incidentu dôjde, je dôležitý stav pripravenosti na riešenie kybernetického bezpečnostného incidentu. 

Problémy: časť 2

Zákaznícka podpora ESETu často identifikuje ako problémom závislosť firiem na viacerých technológiách, starší hardvér a neschopnosť pohotovo udržovať systémy

Ak sú desiatky, či stovky zamestnancov a každý má laptop, desktop, mobilné zariadenia a k tomu servery, výsledný sumár môže byť enormný. Problémom sa stáva slabá vizibilita, čiže potreba väčšieho prehľadu o vlastnej sieti.

Budíček?

Malé a stredné podniky sa pomaly preberajú z letargie. Vyburcuje ich negatívna skúsenosť a obava z pokuty. „To sú dve najčastejšie príčiny, kedy klienti začnú intenzívne hľadať bezpečnostné riešenia a obrátia sa na odborníkov,“ stručne zhŕňa Miroslav Chlipala z advokátskej kancelárie Bukovinsky & Chlipala.

Negatívna skúsenosť pôsobí v tomto prípade ako „pokropenie živou vodou“. V tomto sa zhodujú všetci profesionáli kybernetickej bezpečnosti. Aj podľa skúsenosti Zuzany Omelkovej je záujem o bezpečnostné služby skôr reakciou na vzniknutý bezpečnostný incident, ako výsledkom preventívneho riešenia kybernetickej odolnosti.

Príbeh osvietených

Investíciu do hardvéru dnes už aj v malých firmách dopĺňa legálny softvér, antivírus sa stáva štandardom. Kvalitná podpora IT infraštruktúry počas celého životného cyklu, zálohovanie, bezpečné úložiská a prístupy a vzdelávanie pracovníkov o bezpečnosti a sociálno-manipulatívnych technikách sú však stále iba pre osvietených.

Za najväčšiu zraniteľnosť slovenských firiem považuje Miroslav Chlipala nekritický prístup: „Je nevyhnutné pochopiť, že každá pozícia v spoločnosti má svoj podiel na kybernetickej bezpečnosti. Nedá sa očakávať, že to vyrieši len dedikovaný zamestnanec alebo dodávateľ“.

Dobrá služba

Nárast záujmu o služby bezpečnosti vysvetľuje Július Selecký na príklade účtovníctva: „Nepotrebujete vlastniť účtovnícky softvér alebo mať konkrétneho zamestnanca, ale potrebujete spoľahlivé a profesionálne vedenie účtovníctva. Analogicky to platí aj pre kybernetickú bezpečnosť.“

Takto si aj napriek menším skúsenostiam a nižšiemu rozpočtu firmy outsourcujú služby na báze Security as a Service. Firmy potrebujú byť chránené voči kybernetickým útokom a málokedy ich zaujíma, či na to potrebujú pripojenú v sieti čiernu krabičku alebo konkrétny softvér v počítači.

*Zdroj: Atlas MSP na Slovensku, SBA 2021

 

Robotika je novým odvetvím, ktoré nám sľubuje blahobyt. Najväčšími hrozbami sa stávajú útoky hackerov, ktorých sa môžeme obávať aj vo fyzickom svete. Získanie veľkých dát predstavuje ohromné bohatstvo a matematici sú znovu v kurze. Nové platidlá negarantujú banky hmotným bohatstvom a ani rezervami.

Yuval Harari, profesor histórie na Jeruzalemskej Univerzite predpovedá novú éru vývoja človeka – Homo Deus, kde technológie budú súčasťou človečenstva.

Áno, život menia technológie, ktoré sa dostávajú aj na menej očakávané miesta akými sú umenie, šport, výchova. Kto adoptuje nové technológie, prežije. Ochránia vás napríklad pred sofistikovanými kybernetickými útokmi hackerov, ale aj pred primitívnym útokom vandalov.

Predstavte si technológiu, ktorá by chránila váš príbytok tak, že umožní vstup len známym osobám. O neznámej osobe by vás proaktívne informovala a dvere by sa otvorili len overenej osobe. V prípade, že by sa v okolí objavili viaceré neznáme osoby, dostali by ste počet a popis osôb.

Mám na mysli nový technologický start-up priamo z MIT, za ktorým stojí slávna investičná skupina Sequoia. Investori, ktorí stáli pri úspechu firiem ako Apple, PayPal, Oracle, Instagram, LinkedIn, WhatsUp, Zoom, či Cisco Meraki, sa najnovšie rozhodli podporiť firmu Verkada.

Verkada je systém, ktorý využíva umelú inteligenciu na spracovanie zvukového a obrazového záznamu nielen na detekciu, ale hlavne na prevenciu pred nebezpečenstvom. Jeho integrácia na alarmy, senzory, kamery a manažment vstupu vytvára nepreniknuteľnú bariéru pre podozrivé osoby alebo vozidlá.

Predstavte si proaktívne vyhľadávanie ľudí na základe farby trička, alebo pohlavia, vozidlá zas na základe továrenského typu. To všetko bez nutnosti vytvárania dátového centra a drahých serverov, diskových polí, switchov alebo firewallov.

Pamätám si na jeden príklad, kde zákazníkovi ukradli zlodeji “poolové” auto. Služobné vozidlo, ktoré si zamestnanec mohol na deň požičať, stálo počas karantény v garáži. Samozrejme všetko zabezpečené, pod kamerou. Službukonajúci bezpečnostný operátor si ani nevšimol v húfe malých obrazoviek na monitore, že sa niečo deje. O krádeži sa dozvedeli až po skončení karantény.

Teraz si predstavte systém, ktorý by vám poslal notifikáciu hneď, ako si do auta sadá neznáma osoba a odchádza.

Thomas Friedman vo svojej knihe Zem je plochá napísal, že naše storočie nebude priať silným tak, ako diktovala história. Budúcnosť praje pripraveným, ktorí dokážu rýchlo adoptovať najnovšie technológie.

 

Andrej Aleksiev

Opäť vysoké čísla

Kybernetická kriminalita sa v roku 2019 zdvojnásobila, ransomvér sa minulý rok strojnásobil, a napriek tomu organizácie a inštitúcie v Únii investujú do kybernetickej bezpečnosti o 41 percent menej ako v USA. Ani Slovensko nie je výnimkou. „Trend narastajúcich kybernetických útokov či už počtom, alebo rozsahom v západnej hemisfére sa už naplno prejavuje aj v našom regióne,“ hovorí bezpečnostný konzultant Richard Kiškováč o skúsenostiach z praxe. Na základe dôvernosti však viac neprezrádza. Europarlament preto trvá na posilnení kybernetickej bezpečnosti Únie a vytvorení nástrojov na spoločné riešenie kybernetických incidentov. „Nemôžeme zastaviť všetku počítačovú kriminalitu, ale môžeme sa chrániť lepšie a aj lepšie ako ostatní,“ uvádza návrh smernice poslanec Bart Groothuis.

Viac sektorov aj subjektov

Nové bezpečnostné požiadavky sa budú vzťahovať na významné odvetvia, akými sú energetika, doprava, bankovníctvo, zdravotníctvo, digitálna infraštruktúra, verejná správa a vesmírny sektor. Vyššie bezpečnostné nároky sa však zasiahnu aj ďalšie odvetvia, klasifikované ako dôležité. Patria sem poštové služby, odpadové hospodárstvo, chemický priemysel, potraviny, výroba zdravotníckych pomôcok, elektronika, stroje, motorové vozidlá a poskytovatelia digitálnych služieb. A čo sa týka veľkosti podnikov, ide o všetky stredné a veľké spoločnosti v týchto odvetviach.

Ako u nás doma

Pre Slovensko je a bude kritické „udržať krok“ v kybernetickej bezpečnosti. Absorbovať a pretaviť do lokálnych podmienok aktuálne technologické trendy a paralelne riešiť aj kybernetickú bezpečnosť s nimi spojenú nebude vôbec jednoduché. Európska dvadsaťsedmička vyčlenila pozoruhodný finančný objem na bezpečnostné projekty. A súčasne buduje európsku sieť kompetenčných centier. „Máme tu ostrovčeky znalostí, ale chýba nám spolupráca. V jednotlivých krajinách aj v Únii,“ vysvetľuje Ivan Makatura, ktorý zastupuje Slovensko v európskej rade kompetenčných centier. Aby sa podporili riešenia a spôsobilosti Únie ako celku, Európska komisia v súčasnosti napríklad pri žiadostiach uprednostňuje konzorcionálne projekty v kybernetickej bezpečnosti.

Čo trend, to hrozba

Mnohé technologické trendy sú v značnej miere akcelerované súčasnou pandémiou. Príkladom sú distribuované podniky a cloudové riešenia, ktoré by bez pandémie boli možno stále na pokraji záujmu. Do niekoľkých rokov bude v cloude väčšina organizácií. „Riziko je v holistických informačných systémoch a aplikáciách, kde je migrácia do cloudu veľmi náročná,“ hovorí Roman Čupka, hlavný konzultant spoločnosti Flowmon a CEO Synapsa Networks. Navyše organizáciám chýba kompletná viditeľnosť do toho, čo sa deje v hybridnom prostredí a musia sa spoľahnúť na zabezpečenie vlastných aktív od poskytovateľov cloudov.

Reštart

Doterajší prístup k bezpečnosti informácií sa opieral hlavne o ochranu infraštruktúry vnútri siete. Organizácie si stavali doslova bezpečnostné hradby. Táto stratégia sa však rozpadla. Sieť zrazu nemá jednoznačne vymedzené hranice a brány. Používatelia pracujú z akéhokoľvek miesta, znásobil sa počet koncových zariadení a zároveň nie sú v správe podnikového IT. Ivan Makatura to charakterizuje ako zmenu bezpečnostnej doktríny a s tým aj zmenu požiadaviek na zručnosti informatikov. Každý z technologických trendov zároveň prináša rozšírenie priestoru pre nové typy útokov a zneužití.

Opakované a urgentné

Odznelo to veľakrát a opakovane, ale stále sa robí veľmi málo. „Urgentné je vzdelávanie všetkých vekových skupín v pozícii zákazníkov či používateľov,“ prízvukuje Ivan Kopáčik, bezpečnostný expert zo spoločnosti Gordias. Dôraz pritom kladie na systematické, zrozumiteľné vzdelávanie, previazané s typickými životnými situáciami, kde IT môžu byť nástrojom podvodu či zneužitia. Používatelia, ktorí využívajú vzdialený prístup a cloudové aplikácie, sú takpovediac ponechaní sami na seba. Stávajú sa veľmi výrazným činiteľom pri ochrane informačných aktív, s ktorými pracujú. Preto musia vedieť, ako sa brániť a reagovať.

Urgentné a významné

Obrovský priestor vidí Richard Kiškováč aj vo vzdelávaní bezpečnostných špecialistov. Organizácie sú často zaskočené a nepripravené na kybernetické útoky. Či už procesne, alebo nedostatočnými schopnosťami špecialistov. „Bez znalostí a zručností v kybernetickej bezpečnosti nikdy plnohodnotnú digitálnu ekonomiku nepostavíme,“ prízvukuje Ivan Kopáčik a upriamuje tak pozornosť najmä na vzdelávanie bezpečnostných špecialistov vo verejnej správe.

Zmiešaná bezpečnosť

Trend, ktorý ide naprieč všetkými trendmi. Podstata úloh bezpečnostných profesionálov sa s nástupom nových technológií nemení. Ich práca je však čoraz komplikovanejšia a kladie väčšie nároky na vedomosti, skúsenosti a zručnosti. A je ich nedostatok. Ak teda špecialisti nestíhajú spracúvať informácie o reálnych útokoch, udalostiach a incidentoch v reálnom čase, bude sa klásť čoraz väčší dôraz na automatizáciu. „Cieľom je odľahčiť už i tak preťažené ľudské zdroje, a to na úrovni detekcie, vyhodnotenia a reakcie na dané hrozby,“ vysvetľuje Roman Čupka. Využitie technologických štandardov a nástrojov pomáha v rýchlejšej odozve na útoky a viditeľnosti do toho, čo sa deje v kybernetickom priestore.

A pointa?

Nech sa zameriate na akýkoľvek technologický trend, nech ho overujete z akéhokoľvek bezpečnostného hľadiska, skončíte pri ľuďoch. Tím kybernetickej bezpečnosti, pôvodne vnímaný ako nákladová položka, má novú úlohu. Jeho zručnosti dnes podporujú rozvoj nových obchodných príležitostí. „Posilňuje sa líderská úloha manažéra kybernetickej bezpečnosti v spolupráci s výkonným manažmentom a posúva sa od operatívnej k strategickej,“ konštatuje Lajos Antal, partner Deloitte Cyber Risk Services. A hneď dodáva: „Čoraz väčší význam preto nadobúda budovanie, vzdelávanie, motivácia a udržanie si kvalitných bezpečnostných expertov.“

Vhodné riadenie a kontrola

Posun do cloudu by sa mal udiať bezpečne. A na to je nevyhnutné, aby organizácie dovolili svojim bezpečnostným tímom včas implementovať dostatočné riadenie a kontrolu cloudového prostredia a považovali bezpečnosť za prvoradú pri prechode do cloudu.

Identifikácia súčasného stavu

Pochopiť a kvantifikovať riziká v súčasnej infraštruktúre verejného cloudu je dôležité nielen z hľadiska bezpečnosti, ale aj riadenia efektívneho využívania zdrojov, ktoré sa premieta do nákladov pre organizáciu.

Nečakajte, až sa zlepší situácia na trhu práce

Je luxusom čakať na to, kým sa vytvoria tímy bezpečnostných profesionálov so špecializáciou na cloud, aj keď to by mal byť dlhodobý cieľ. Teraz musíme hľadať cesty, ako redukovať riziká, kým sa tento dlhodobý cieľ stane skutočnosťou. Cloudová infraštruktúra je viac a viac z pohľadu zákazníka vnímaná ako kód, preto integrujte svoje tímy v súlade s prístupom vývoj – bezpečnosť – prevádzka. Ide o prístup, keď sú všetky tieto oblasti zahrnuté do vývoja, napríklad aplikácie, aby sa včas identifikovali a eliminovali nedostatky a slabé miesta z hľadiska bezpečnosti a prevádzky.

Technológia musí pracovaťpre vás

Využitie technológie bez ohľadu na to, akú máte rozsiahlu organizačnú infraštruktúru. Rozhodne nie je efektívne využívať kapacitu špecialistov na to, čo môžete automatizovať s použitím existujúcich alebo modifikovaných pracovných postupov. Mali by ste využiť akúkoľvek dostupnú technológiu, ktorú ste schopní zakomponovať do existujúcich procesov a riadiť súčasným personálom. Ako nevyhnutná sa ukazuje práve integrácia s infraštruktúrou ako kód.

V praxi sa to realizuje systémom prideľovania úloh v riadení bezpečnostných informácií a udalostí (SIEM) a, samozrejme, kontrolou prístupu založenou na plnených úlohách (RBAC) spojenými s precíznym riadením rolí a zodpovedností.

Neverte univerzálnym riešeniam

Nesnažte sa nájsť jeden nástroj, ktorý vie robiť všetko. S tým, ako rastie cloud, tak rastie aj trh s podpornými nástrojmi, a nie zriedka sa stretávame s riešeniami všetko v jednom. Kde všetko veľakrát znamená, že nič nie je poriadne. I keď si to vyžaduje zvýšené úsilie, je potrebné hľadať riešenia, ktoré zodpovedajú vašim požiadavkám a ponúkajú to najlepšie na trhu v danej oblasti. Takýmto spôsobom si viete vyskladať to najlepšie riešenie pre seba.

Rozdiel medzi úspechom a katastrofou

Cloud sa dynamicky vyvíja a veľakrát poskytuje značnú konkurenčnú výhodu pre organizácie, ktoré sú schopné bezpečne ho implementovať a integrovať do procesov. Avšak slovo bezpečne by sa nemalo nikdy vytratiť, pretože toto slovo je veľakrát jediný rozdiel medzi úspechom a katastrofou.

Daniel Suchý, bezpečnostný špecialista Aliter Technologies

Krajina malých obcí

Mestá a obce majú povinnosť urobiť audit kybernetickej bezpečnosti nielen preto, aby mali formálny papier, ale najmä aby chránili bezpečnosť obyvateľov. „Je však obrovský rozdiel medzi obcou s tisíckou obyvateľov či mestom s desaťtisíc obyvateľmi, alebo bratislavskou mestskou časťou,“ hovorí na základe skúsenosti z terénu bezpečnostný špecialista Alison Slovakia Miroslav Macko. Technické a personálne vybavenie či bezpečnostné povedomie je diametrálne odlišné, ale povinnosť majú rovnakú.

Samohodnotenie

Preto bolo novelizáciou zavedené samohodnotenie. Účelom je zjednodušiť splnenie zákonnej povinnosti malým a menším poskytovateľom základnej služby. Tým, ktorí majú povinnosť auditu, ale ich informačný systém nepredstavuje úplne sofistikovanú architektúru. Formulár k samohodnoteniu je od novembra dostupný na webovej stránke Národného bezpečnostného úradu. Michal Ďorda však upozorňuje: „Samohodnotenie je možné realizovať len za určitých podmienok.“ Obec musí mať určeného manažéra kybernetickej bezpečnosti a nesmie mať informačný systém III. kategórie.

Náročné úlohy

Zodpovednosť za riadenie kybernetickej bezpečnosti má vždy prevádzkovateľ základnej služby a jeho štatutárny orgán, čiže starostovia a primátori. Pochopiteľne, úlohy, ktoré si vyžadujú odborné spôsobilosti, je možné realizovať aj využitím dodávateľských služieb. Nie je však možné na dodávateľa preniesť zákonom stanovené povinnosti.

Fakty a dokumenty

Dotazník samohodnotenia na základe aktuálneho stavu vypĺňa manažér kybernetickej bezpečnosti pravdivo a tak, aby bolo možné uvedené tvrdenia v prípade potreby preveriť. Štátna autorita odporúča pripojiť aj dokumenty podporujúce tvrdenia. Zároveň je potrebné pridať aj plán implementácie opatrení kybernetickej bezpečnosti na nasledujúce obdobie schválený štatutárom. Vyplnený formulár s plánom implementácie treba podpísať kvalifikovaným elektronickým podpisom a doručiť Národnému bezpečnostnému úradu.

Dobrá robota

Poctivo spravené samohodnotenie spolu s prijatým plánom opatrení a jeho realizáciou dokáže v malej obci zastúpiť náročný audit kybernetickej bezpečnosti. „Na audite ušetrené prostriedky sa dajú investovať do budovania či zvyšovania bezpečnostného povedomia zamestnancov spolu s procesnými a technickými opatreniami v praxi,“ uzatvára Miroslav Macko. Práve to, že používatelia nesprávne používajú IT zariadenia, je podľa prieskumov najčastejším vektorom útokov na Slovensku.

Čím skôr

Profesionálny bezpečnostný trend má svoj názov – SOC (Security Operations Center), čiže po slovensky Stredisko bezpečnostných operácií. Ide o pracovisko, kde sa kumulujú aktivity smerujúce k ochrane organizácie, siete alebo prostredia. Bezpečnosť sa totiž skladá z celého radu rôznych aktivít. Pavol Draxler z Binary Confidence má skúsenosťami v tejto oblasti od roku 2008 a k téme nemilosrdne poznamenáva: „Slovensko je historicky na chvoste EÚ, čo sa týka implementácie informačnej bezpečnosti a povedomia všeobecne. Rádovo roky aj za susedmi. To sa týka aj povedomia o SOC.“

Tým lepšie

Juraj Přibyl vedie 36-členný tím v jednom z najväčších interných SOC v našom regióne. Stará sa o bezpečnosť pre skupinu NN v dvanástich krajinách. O úlohe operačného strediska je bytostne presvedčený: „Súčasný trend útokov na dodávateľské reťazce časom donúti aj menšie firmy k implementácii či využívaniu externého SOC, či už z hľadiska plnenia požiadaviek regulátora alebo proste ako nevyhnutnosť vlastnej bezpečnosti.“ Ako prízvukuje Juraj Přibyl, k dátovému úniku dôjde skôr či neskôr a väčšina firiem nemá interné know-how a kapacity brániť sa. Preto sú dôležité aj služby externých odborníkov a rozhodne nečakajte na prvý incident.

Začiatok

„Ak by sme sa to pokúsili vyjadriť v číslach, tak oddelenie kybernetickej bezpečnosti realizuje bezpečnostný monitoring ako dvadsať percent svojej náplne. SOC tím realizuje bezpečnostný monitoring deväťdesiatdeväť percent času,“ opisuje svoju prácu Peter Jankovský, architekt kybernetickej bezpečnosti zo spoločnosti Axenta. Z oddelenia sa operačné stredisko totiž nestáva automaticky. Organizácia sa musí rozhodnúť, či ho potrebuje a či ho ide budovať. V úvode však môže vychádzať z monitorovania prevádzky, ak ju robí. Úloha strediska bezpečnostných operácií sa tak dá zjednodušene vysvetliť ako: Identifikuje a pomáha riešiť.

Bez konca

Motivátorom budovať SOC je legislatíva, alebo reálna potreba riešiť problémy spojené s obsluhou a správou bezpečnostných riešení a mať prehľad, čo sa v organizácii deje. Rozhodnutie sa musí začať na úrovni manažmentu organizácie a musí sa ním stotožniť a zároveň si uvedomiť, že nie je samospasiteľným riešením legislatívnej požiadavky. Dôležité je, aké služby organizácia poskytuje a s akými dátami pracuje. Vždy je zložité určiť hodnotu a s tým súvisiace možné straty. „Budovanie SOC je proces na niekoľko rokov a v podstate sa nikdy nekončí,“ hovorí na základe každodenných skúseností Jozef Bálint, senior špecialita IT bezpečnosti ALISON Slovakia.

Dizajn na mieru

Stavba interného strediska bezpečnostných operácií dáva zmysel až pri určitej veľkosti organizácie. V tomto prípade nie veľkosti podľa počtu zamestnancov alebo obratu, ale rozhodujúca je komplikovanosť infraštruktúry a informačných systémov a požiadavky na bezpečnost. Kapacity ľudských zdrojov, ich expertíza aj technologické potreby sa určia podľa toho, aký bude rozsah služieb a prevádzkový režim. Až následne sa dizajnuje technologická architektúra, hardvérové a softvérové nástroje a ich výkonnostné parametre. A nemožno opomenúť ani priestorové požiadavky na prevádzku SOC a jeho vybavenie. Mimoriadna starostlivosť Na to, že vybudovanie SOC nie je jednoduchá záležitosť, upozorňuje aj technická riaditeľka Energotelu Miloslava Gábrišová. Telekomunikačné firmy patria medzi bezpečnostných lídrov, takže tím vystavali v prevažnej časti zo svojich IP špecialistov a doplnili absolventmi vysokej školy primeranej odbornosti. Okrem materiálneho a personálneho vybavenia, ktoré nie je lacné, investovali v Energoteli množstvo prostriedkov a času do školenia zamestnancov a zvyšovania ich kvalifikácie. „SOC je také dobré, akí sú dobrí jeho pracovníci. Akú majú prax a znalosti,“ prízvukuje Miloslava Gábrišová. A opäť jej sekunduje so skúsenosťami Juraj Přibyl, ktorý upozorňuje, že investície do vzdelávania tímu by mali byť na vrchole pyramídy priorít každeho SOC manažéra.

Hodnota skúseností

Reálnu šancu, že sa niekomu podarí postaviť stredisko bezpečnostných operácií na zelenej lúke za týždne či mesiace, hodnotí Peter Jankovský ako neexistujúcu. Ľudia, ktorí by v SOC pracovali už predtým, na trhu práce proste nie sú, a získať dostatočný počet špecialistov na samostatnú prevádzku je úloha v rozsahu rokov. Preto je externý dodávateľ výhodný pre organizácie, ktoré nemajú dostatočné kapacity na stabilizáciu špecialistov a ich odborný rast. Ak dodávateľ zabezpečuje službu pre viacerých klientov, riešia sa tu zároveň rôzne bezpečnostné incidenty. „Skúsenosti a znalosti našich odborníkov následne využívame pre dohľad kybernetickej bezpečnosti pre všetkých zákazníkov,“ vysvetľuje Miloslava Gábrišová.

Mierny zmätok

Zatiaľ čo pred štyrmi rokmi ani vo veľkých spoločnostiach väčšinou netušili, že majú mať nejaký centrálny monitoring a že ho niekto musí sledovať, povedomie už stúpa. Je to tlakom legislatívy aj následkom nárastu úspešných útokov. Zároveň však povedomie o tom, čo je to kvalitné SOC a ako si ho vybrať, aby dodával primeranú kvalitu za vynaložené prostriedky, sú stále veľmi slabé. Preto podľa Pavla Draxlera požadujte transparentnosť vo všetkých ohľadoch. „Nie je podstatné, aby SOC dodávalo celú paletu služieb. Podstatné je, aby dodávalo primerané služby za primeranú cenu.“

A teraz prakticky

Ak teda nastal čas, že je na stole ponuka dodávateľa externého alebo hybridného SOC, Juraj Přibyl varuje pred sladkými sľubmi. „Dajte si pozor, aby ste nespadli do pasce platenia za generovanie týždenných reportov bez pridanej hodnoty. To je pocit falošnej bezpečnosti. Detegovanie incidentu ešte neznamená, že ste v bezpečí.“ Cez metriku na báze bezpečnostných varovaní a incidentov by ste mali vedieť zhodnotiť aj kapacity personálu a potenciálne slabé miesta v infraštruktúre. Efektivita a úspešnosť SOC sú definované jednoduchými, merateľnými, praktickými, relevantnými indikátormi vyhodnotiteľnými v čase.

Začalo sa to upozornením na aktualizáciu aplikácie, ktorú zákazníci používajú na tvorbu faktúr. Mail bol štandardný, po kliknutí na link sa zobrazila stránka, vyzerala ako web výrobcu softvéru. Aj doménové meno – až na jeden znak – bolo totožné. Všetky linky na webe boli v poriadku okrem jedného, ktorým sa aktualizácia sťahovala. Po spustení inštalátora sa v systéme nachádzali súbory s netypickou koncovkou, ktoré slúžili ako zadné vrátka do počítača. Takto útočníci zbierajú citlivé údaje. Útok bol riadený, snažil sa odcudziť prihlasovacie údaje, zaznamenávať stlačené klávesy, obraz web kamery či mikrofón obete. Mohol to byť jeden z tých smutných príbehov, keď útočníci nútia firmy platiť výkupné.

Dostupnosť a integrita

Nehovoríme už o bežných udalostiach, ale o incidentoch, a to znamená, že IT služba sa neplánovane preruší alebo sa zníži jej kvalita. V kyberbezpečnosti sa špecificky hovorí aj o bezpečnostnom incidente. To je zväčša škodlivá udalosť, keď sa narušila dôvernosť dát, dostupnosť služieb či nastalo prelomenie integrity. Spoločnosti musia, samozrejme, prichádzajúce hrozby v prvom rade zablokovať, ale to samotné nestačí. Útočníka treba aj identifikovať v systéme a následne zabezpečiť nápravu. Kombináciou viacvrstvového modelu zabezpečenia, techník strojového učenia či efektívneho nástroja na detekciu a reakciu (v skratke EDR – Endpoint Detection and Response) sa dajú zmierniť alebo úplne eliminovať škody spôsobené incidentmi. Ak by sme to mali zjednodušiť – antivírus dnes už zďaleka nemusí stačiť.

Z hodín či dní len minúty

Podľa spoločnosti Gartner do roku 2023 viac ako 50 percent organizácií nahradí staršie antivírusové produkty kombináciou viacvrstvovej antimalvérovej technológie a EDR riešenia. Nástroje typu EDR sú zamerané na zisťovanie a vyšetrovanie podozrivých aktivít. Ide o novšiu technológiu, vďaka ktorej môžeme proaktívne loviť hrozby a rýchlejšie reagovať na pokročilé útoky.

ESET túto technológiu nazýva Enterprise Inspector. Toto jedinečné vysokoúčinné riešenie poskytuje komplexnú viditeľnosť naprieč celou infraštruktúrou počítačov a odstraňuje tak medzery v ich zabezpečení. Bezpečnostné tímy či jednotliví špecialisti tak namiesto niekoľkých hodín či dní analyzovania môžu vyriešiť incidenty za pár minút. V prípade vhodne nakonfigurovaných politík si len prezrú report daného pokusu o narušenie zabezpečenia.

Skôr ako zaútočia

Technológia EDR dokáže účinne zastaviť útočníkov skôr, ako dôjde k narušeniu prevádzky. Preto sa EDR monitorovanie, ktoré prebieha v reálnom čase, stáva štandardom v organizáciách, ktoré dbajú na bezpečnosť. Aj vďaka automatickým detekciám pokročilých hrozieb je možné predísť nielen finančným stratám, ale aj zamedziť poškodeniu dobrého mena organizácie.

Nové možnosti

Doplnením existujúceho antivírusového softvéru technológiou EDR sa otvoria bezpečnostným špecialistom úplne nové možnosti. Uvidia na jednom mieste všetky informácie o súboroch či dátach a vykonaných detekciách aj s konkrétnou vizualizáciou. ESET zároveň čoraz viac spája svoje technológie s výskumom nových druhov hrozieb. Na toto využíva svoje R&D centrá po celom svete. Vyhodnotenia súborov, ktoré ESET navyše poskytuje, vychádzajú zo skúseností s viac ako 110 miliónmi používateľov po celom svete.

Július Selecký, senior technický špecialista ESET, spol. s r.o., odborný asistent, Fakulta managementu UK

1. Zisťovanie aktív (Asset discovery)

Prvým stavebným kameňom strediska bezpečnostných operácií je nástroj, ktorý dokáže skenovať technologické prostredie a priebežne zaznamenávať informácie o jednotlivých prvkoch internej aj cloudovej IT infraštruktúry. Podrobný a neustále aktualizovaný inventár dá špecialistom prehľad o koncových staniciach, serveroch aj o aplikáciách a službách, ktoré na nich bežia.

2. Posúdenie zraniteľností (Vulnerability assessment)

Druhým krokom je zabezpečiť kontinuálne sledovanie a vyhodnocovanie zraniteľností. Zraniteľnosti sú jemné trhlinky v IT systémoch, ktoré útočníci zneužívajú. Problém je, že trhliny či diery vznikajú priebežne, často bez povšimnutia špecialistov. Preto je technologické prostredie dobré kontinuálne skenovať, nachádzané diery promptne plátať, a tým riziká eliminovať. Pravidelný audit zraniteľností môže byť vyžadovaný aj legislatívne alebo v rámci kontraktov s obchodnými partnermi.

​3. Detekcia narušenia (Intrusion detection)

Neoddeliteľnou súčasťou každého SOC sú systémy pre detekciu narušenia, ktoré umožňujú identifikovať útoky ihneď v zárodku, čiže už pri pokuse o prienik do systémov. Dokážu rozpoznať útoky a aktivity útočníkov, ktoré sú známe a boli už vopred opísané. Preto je pri ich využívaní nevyhnutné zbierať dáta z viacerých zdrojov, takzvaných threat intelligence databáz obsahujúcich informácie o kybernetických hrozbách, a tie neustále vyhodnocovať. V ideálnom prípade automatizovane.

4. Behaviorálne monitorovanie (Behavioral monitoring)

Pri súčasnej dynamike hackerskej scény vznikajú nové techniky a stratégie útočníkov denne, preto je naivné predpokladať, že môžu byť všetky opísané v databázach o kybernetických hrozbách. Kľúčovou úlohou SOC je preto taktiež monitorovať udalosti, ktoré vybočujú z noriem. Môže ísť napríklad o narušenia bezpečnostných politík, chybové správy, nezvyčajné aktivity a výkyvy v sieťovej prevádzke alebo neplánované či inak podozrivé reštartovania systémov. K tomu slúžia pokročilé nástroje pre monitoring sietí a automatizovanú detekciu anomálií s pokročilými analytickými funkcionalitami.

5. Manažment bezpečnostných informácií a udalostí (SIEM) a automatizačné a orchestračné nástroje (SOAR)

Posledným nevyhnutným stavebným prvkom každého SOC je systém pre manažment bezpečnostných informácií a udalostí. Cieľom je uľahčiť monitoring infraštruktúry, správu a analýzu incidentov a reportovanie problémov v reálnom čase. SIEM nielenže zhromažďuje dáta z viacerých bezpečnostných nástrojov, ale dáva ich taktiež do súvislostí, čím napomáha nachádzať aktuálne hrozby. Automatizačné a orchestračné nástroje potom umožňujú zrýchliť odozvu na útoky a incidenty, ktorá je kľúčová pre elimináciu škôd.

Roman Čupka, hlavný konzultant Flowmon a CEO Synapsa Networks

     

​

     

 

V súčasnosti majú vlastný program vyplácania odmien za nájdené chyby vo svojich produktoch či systémoch prakticky všetky veľké technologické firmy ako Google, Facebook či Microsoft, ale taktiež konzervatívne verejné inštitúcie, napríklad Ministerstvo obrany Spojených štátov amerických. Vytvoriť a udržiavať takýto program však nie je jednoduché, zvlášť pre firmy, ako sú banky či napríklad e-shopy. „Vlastné mobilné a webové aplikácie majú dnes prakticky všetky spoločnosti, ale nie je v ich silách nadizajnovať a udržiavať bug bounty program a zháňať preň etických hackerov,“ vysvetľuje P. Katrinec.

Pomoc zdieľanej ekonomiky

Riziká úniku dát, nedostupnosti zákazníckych služieb či narušenia prevádzky, ku ktorým pre zneužitie zraniteľností dochádza, preto zvyknú uvedomelé organizácie eliminovať využívaním špecializovaných bug bounty platforiem, ako je na Slovensku pôsobiaca Hacktrophy.

Platformy vychádzajú z myšlienky zdieľanej ekonomiky, čiže efektívnejšieho využitia dostupných zdrojov – v tomto prípade kapacity etických hackerov. Organizácie bez potrebných kapacít a know-how vďaka nim vedia jednoducho zapájať do kontinuálneho testovania svojich systémov veľké množstvá šikovných ľudí z rôznych kútov sveta.

Prínosom sú okrem zviditeľnenia bug bounty projektu zadávateľa pred veľkou skupinou etických hackerov aj služby moderátora. Ten poskytuje zadávateľovi podporu od prvotného nastavenia podmienok programu až po vyhodnocovanie nahlásených reportov od hackerov a preverovanie oprávnenosti nároku na odmenu.

IT systémy nie sú statické

Využívanie kontinuálneho testovania systémov po uvedení do prevádzky je mimoriadne dôležité, keďže väčšina softvéru vrátane webových aplikácií dnes nie je statická, ale dynamická. „To znamená, že pri ich používaní a prevádzke dochádza zvyčajne k vzniku nových zraniteľností,“ podotýka P. Katrinec.

Samozrejme, vždy sa nájdu organizácie, ktoré sa spoliehajú na to, že ak aj nejaké diery či zraniteľnosti vedúce k cenným dátam v systémoch majú, nemusia byť predsa objavené. Na to sa však podľa P. Katrinca neradno spoliehať, lebo kriminálnici v online svete dnes používajú automatické nástroje, ktoré neustále prehľadávajú internet a potenciálne zraniteľnosti im priebežne nahlasujú. „Kto dnes bug bounty program nevyužíva, pripravuje sa o znalosti a kapacity hackerov s dobrými úmyslami, ale zároveň neunikne pozornosti kybernetických útočníkov a podvodníkov,“ dodáva.

Pri minimalizovaní rizík súvisiacich so zraniteľnosťami systémov si taktiež treba uvedomiť, že až 84 percent organizácií má podľa štúdie firmy Positive Technologies vysokorizikové zraniteľnosti v zariadeniach na perimetri siete. „Preto je nevyhnutné využívať špecializované systémy na monitoring sieťovej prevádzky schopné automatizovane odhaľovať a eliminovať škodlivé aktivity zneužívajúce zraniteľnosti v reálnom čase za týmto perimetrom,“ uzatvára P. Katrinec.

Infobox:

Vlastné mobilné a webové aplikácie majú dnes prakticky všetky spoločnosti, ale nie je v ich silách nadizajnovať a udržiavať bug bounty program a zháňať preň etických hekerov.

​

Kontinuita podnikania (Business Continuity) je systém, vďaka ktorému dokáže organizácia vykonávať činnosť aj v prípade katastrofy alebo útoku.

Plán obnovy však často počíta len s prírodnou katastrofou. Skutočne dobrý plán obnovy by mal obsahovať stratégiu na zachovanie kybernetickej odolnosti aj v prípade iného ohrozenia kritických systémov.

Tlmiče alebo airbagy

Základom podnikovej odolnosti sú „tlmiče“, ktoré umožnia organizácii ďalej fungovať, komunikovať so zákazníkmi a realizovať transformáciu aj počas krízy. Dobrou stratégiou na budovanie odolnosti je digitálna transformácia. Plne digitalizované organizácie totiž dokázali aj počas pandémie COVID-19 vykonať rýchly obrat, vyriešiť problémy s dodávateľmi, minimalizovať prerušenie dodávok a ponúknuť inovatívne produkty a služby.

Ak prijímate stratégiu kybernetickej odolnosti, súčasne riešite manažérske úlohy, akými sú prevádzkyschopnosť, podniková odolnosť, značka, dosah na obrat, dôvera spotrebiteľov, náklady na právne zastupovanie v dôsledku prerušenia činnosti, dodržiavanie predpisov či ochrana súkromia a dôvera investorov.

Stratégia kybernetickej odolnosti

Premyslené budovanie znamená menej incidentov vďaka ochrane pred známymi škodlivými aktivitami a prevencii proti nim. Výrazne znižujete riziko incidentu a prienik dokážete odhaliť takmer v reálnom čase.

Zároveň tým spĺňate alebo dokonca prekračujete legislatívne požiadavky a predpisy na ochranu osobných údajov. Zákazníci citlivo vnímajú ochranu osobných údajov a zabezpečenie. Očakávajú, že ak odovzdávajú svoje osobné údaje, podniky a inštitúcie s nimi budú nakladať maximálne zodpovedne.

Ak chce teda organizácia získať povesť odolného podniku, musí priorizovať zabezpečenie a ochranu osobných údajov. Zákazníci nepotrebujú vidieť všetky detaily, ale rozhodne ocenia výhody bezpečnej interakcie.

Vyskladané portfólio

Program kybernetickej odolnosti by mal byť zostavený tak, aby chránil, detegoval a zároveň sa vyvíjal.

Hodnotový reťazec je rozhodujúcim faktorom úspechu v súčasnom digitálnom podnikateľskom prostredí a zabezpečenie proti kybernetickým hrozbám sa stalo nevyhnutnou požiadavkou.

Portfólio CyberRes umožňuje organizáciám chrániť celý hodnotový reťazec od návrhu po vývoj a zároveň poskytnúť kybernetickú obranu a analýzu v reálnom čase.

Je to o dátach

Správa identít a prístupu určuje „kto“ – zamestnanci, zákazníci, a „čo“ – zariadenia, služby, majú prístup k systémom a údajom. Umožňuje budovať dôveryhodné identity so správnou úrovňou prístupu. Rozpoznanie bežných vzorcov konania tak uľahčuje odhaľovanie neobvyklých operácií.

Hlavnou zložkou kybernetickej bezpečnosti aj odolnosti tak stále zostáva bezpečnosť dát, ktoré môžu byť štruktúrované aj neštruktúrované. Ak má organizácia splniť legislatívu na ochranu súkromia, musí byť schopná analyzovať vlastné dáta a získavať celkový prehľad.

Bude to o automatizácii

Dôležitými prvkami bezpečnostných riešení sa čoraz viac stávajú Systémy SOAR (Security Orchestration, Automation and Response) a SIEM (Security Information and Event Management).

Ich význam rastie priamoúmerne s nedostatkom personálnych kapacít v kybernetickej bezpečnosti a masívnym rastom kybernetických hrozieb.

Bezpečnostné riešenia v organizáciách zároveň generujú čoraz väčšie množstvo dát a odpoveďou na tento rast je automatizácia s využitím umelej inteligencie a strojového učenia.Systémy analyzujú správanie a riziká a zároveň poskytujú automatickú spätnú väzbu a dokážu výrazne zlepšiť schopnosť organizácie chrániť sa pred zraniteľnosťami a útokmi.

Skúsenosti profesionálov a média to potvrdzujú. Slovenské firmy a inštitúcie často nezvládajú oznámenie o svojej zraniteľnosti, či už sú to ich systémy, alebo softvér a hardvér, ktorý používajú.

„Treba prijať fakt, že zraniteľnosti vo vašich systémoch môže nájsť aj úplne náhodný človek. Občas je to jednotlivec, občas bezpečnostní výskumníci. Majú rôzne znalosti a skúsenosti a rôznu motiváciu, prečo sa vám ozvali,“ opisuje skúsenosti Matej Šalmík z Národného centra kybernetickej bezpečnosti SK-CERT. Preto je dobré mať vyriešené, ako k takýmto situáciám a ľuďom pristupovať.

Biznis lepší ako diamanty

Zraniteľnosti softvéru, hardvéru a aplikácii nielenže existujú, ale stále vznikajú nové. Ak profesionál objaví zraniteľnosť, môže túto informáciu speňažiť, alebo hlásiť príslušnému výrobcovi. Alebo oboje. Trh zraniteľností je atraktívne miesto s rastúcim obratom a nakupujú na ňom kybernetickí zločinci, vlády, výrobcovia aj výskumníci.

„Sledovaniu zraniteľností sa venujú komerčné výskumné spoločností, prípadne ich vykupujú cez špecializované programy od výskumníkov a hackerov,“  potvrdzuje Jozef Bálint, senior špecialita IT bezpečnosti Alison Slovakia.

Vyhľadávaniu sa venujú aj organizácie sponzorované vládou, vládne jednotky CSIRT aj rôzne komunity a neziskové organizácie.

Bug bounty

Biznis model odmeňovania tých, ktorí hľadajú zraniteľnosti, zaviedol v roku 1983 výrobca operačného systému VRTX a dostal názov bug bounty. Rozšírenia sa dočkal po roku 2000 a od začiatku minulého desaťročia stúpa raketovo.

Medzi hackermi platí - čím je nájdená zraniteľnosť závažnejšia, tým lepšie. Čím viac je daný produkt, systém, či softvér rozšírený, tým lepšie. „Pre white hat hackerov je to z veľkej časti prestíž a zábava. Pre mnohých je to už dnes práca na plný úväzok“, hovorí etický hacker Tomáš Zaťko zo spoločnosti Citadelo.

Méty hackerov

Zdravotníctvo a priemysel obsahujú lákavé osobné informácie, zariadenia sú pripojené do internetu a SCADA systémy na zber dát sú masívne nasadené a často lacno nakúpené. Pozornosť hackerov sa sústreďuje aj na oblasť deepfake, ktorá využíva umelú inteligenciu a útočníci môžu technológiu zneužívať pri manipulácii s finančnými trhmi alebo v predvolebnom boji.

Jozef Bálint upozorňuje, že v súčasnosti sú najnebezpečnejšie a najviac rozšírené zraniteľnosti na nezaplátaných systémoch a platformách Microsoft a na virtualizačných platformách.  

Štyri najviac cielené zraniteľnosti v roku 2020 súviseli s technológiami zameranými na prácu na diaľku. V rebríčku sa pravidelne objavujú zraniteľnosti, ktoré môžu byť zneužité na vzdialené spustenie kódu.

Stále sa to opakuje

Ak už je zraniteľnosť overená, výrobca alebo prevádzkovateľ by mali okamžite vyrobiť záplatu. Až potom zraniteľnosť ohlási verejne a vydá aktualizáciu. Sledovať varovania a plátať je veľkou časťou práce každého oddelenia kybernetickej bezpečnosti.

To isté platí o zraniteľnosti samotnej organizácie. Ak dostane firma, či organizácia oznámenie o zraniteľnosti, je namieste poďakovať, zraniteľnosť aj opraviť a v prípade potreby to odkomunikovať so zákazníkmi.

„Oznamovateľ zraniteľnosti nie je ten zlý - práve naopak. Ak by chcel uškodiť, nikdy vám o zraniteľnosti vo vašom systéme nepovie,“ vysvetľuje Matej Šalmík.

Je to senzitívne

SK-CERT vydal návod, ako korektne nahlásiť zraniteľnosť konkrétnej organizácie. Dá sa to aj anonymne a oznamovateľ nemôže zneužívať zraniteľnosť vo svoj prospech, ale musí ju zdokumentovať a bez meškania oznámiť.

Slovensko sa pri tomto postupe inšpirovalo európskymi štandardmi a návod rozhodne odporúča, aby sa organizácia zodpovedne postavila k riešeniu zraniteľnosti.

Vojtech Gáborík riaditeľ úseku informačných technológií otvorene priznáva, že aj Prvej  stavebnej sporiteľni sa stalo, že jej hacker korektne oznámil zraniteľnosť. „Nejednalo sa o kritickú zraniteľnosť, ale na základe podnetu boli realizované vylepšenia.“

Najhoršie je, ak organizácia reaguje na oznámenú zraniteľnosť popieraním, zastrašovaním a vyhrážaním. S takouto reakciou sa stretávajú na Slovensku aj špecializované firmy aj štátna autorita.

Bude toho stále viac

Odmeny za nájdenie zraniteľnosti vyhlasujú nielen technologické giganty, elektronické obchody, banky, ale aj menšie firmy na lokálnej úrovni. Podľa Tomáša  Zaťka je systém odmien za zraniteľnosti už štandardnou a kľúčovou súčasťou riadenia bezpečnosti.

Ak chcete riešenie firemnej zraniteľnosti pozdvihnúť na vyššiu úroveň, zriaďte si svoj bug bounty program. Matej Šalmík to vidí ako dobrý spôsob, ako identifikovať zraniteľnosti, ktoré prehliadli iné procesy, napríklad penetračné testy. Vypovedá to o zodpovednosti firmy a zároveň dáva oznamovateľom motiváciu, aby zraniteľnosti hlásili priamo jej. Investície do programu sú ďaleko menšie, ako tie do obnovy a nápravy reputácie po kybernetickom bezpečnostnom incidente. Odmena za účasť nemusí byť len finančná, existujú aj iné motivácie v podobe stáží, licencií alebo produktov.

Treba na to odvahu

Na to, aby firma vyhlásila bug bounty projekt, treba ukázať profesionálnu odvahu. Nielen technickú, ale aj kultúrnu. Dôvod? Korporátne pravidlá, rôznorodé technické prostredie, alebo nevôľa vedenia.

Aj Tomáš Zaťko sa často stretáva s tým, že mnoho netechnických ľudí vrátane top manažérov, sa tohoto modelu bojí. Myslia si, že prilákajú zlých hackerov. „Kriminálnici však nečakajú na povolenie vo forme bug bounty.“

Vzťah k týmto programom sa však aj u nás postupne zlepšuje a potvrdzuje to aj Vojtech Gáborík: „Bug bounty plánujeme pilotne využiť v blízkej budúcnosti pri našom novom projekte.“

Okrem toho aj na Slovensku existuje bug bounty platforma HackTrophy, ktorá ponúka služby etických hackerov. Môžete tam prihlásiť webové a mobilné aplikácie, e-shopy, webovú stránku, platobné brány alebo zariadenia pripojené do internetu a požiadať túto komunitu o hľadanie zraniteľnosti za odmenu.

V prípade samosprávy odporúčame ako východisko zvážiť počet obyvateľov, čo určuje rozsah povinnosti podľa zákona. Druhým vstupným parametrom je fakt, či obec alebo mesto majú vlastného správcu alebo sa im o infraštruktúru niekto stará.

Rozpočet na bezpečnosť na rok: 0,2 až 0,9 percenta z ročných príjmov organizácie. Teda ak sú ročné príjmy milión eur, rozpočet na kybernetickú bezpečnosť je na vrchnej hranici 29-tisíc eur ročne.

Ak sa vám to zdá veľa, skúste si predstaviť, aké škody môže spôsobiť organizácii, ak sa do bezpečnosti neinvestuje. Chýbajúce investície sa prejavia vo finančnej strate, nákladoch na obnovu systémov, v regulačných pokutách, poplatkoch za expertné služby, vo zvýšení poistného, nehovoriac o reputačných škodách. Koľko stojí bezpečnosť Každá organizácia má svoje špecifikum a odporúčaný rozpočet je skôr indikatívny. Treba vziať do úvahy viacero faktorov, napríklad finančnú situáciu v aktuálnom roku, celkovú vyspelosť IT oddelenia či úroveň digitalizácie.

V každom prípade sa však treba vystríhať ponúk od neznámych spoločností, ktoré garantujú zabezpečenie kybernetickej bezpečnosti za desiatky eur mesačne.

Veľa dodávateľov v tejto sume ponúka dodávku iba formálnej všeobecnej dokumentácie. A môžete si byť istí, že detekciu a riešenie kybernetických incidentov žiadne „papiere“ rozhodne neošetria.

Na druhej strane dodávatelia ohurujú zázračnými technologickými krabičkami, ktoré vyriešia všetko a samy. V mnohých činnostiach môžu pomôcť, no bez personálu a funkčného procesu nie sú postačujúce. Na skutočné kybernetické hrozby pripraví organizáciu iba funkčný a implementovaný proces. Ten zároveň presvedčí aj audítora, že bezpečnosť je naozaj implementovaná.

Peter Tyko, riaditeľ divízie IT bezpečnosti ALISON Slovakia

 

(Špeciálny projekt)

Takže samohodnotenie môžu vykonať prevádzkovatelia, ktorí majú zo zákona povinnosť auditu, ale ich informačný systém nepredstavuje úplne sofistikovanú architektúru.

Taký je život

Slovensko je krajina malých obcí a miest. Na obecnom úrade majú pár počítačov, niekedy aj server, pripojenie do internetu, účtovníctvo aj dokument manažment a ítečkára na polovičný úväzok...

Kybernetická bezpečnosť služieb týchto subjektov je dôležitá, ale nejde o kritickú infraštruktúru najvyššej kategórie, akými sú distribúcia energií alebo zdravotníctvo.

V samohodnotení si organizácia takpovediac „vlastnými silami“ preveruje účinnosti prijatých bezpečnostných opatrení, ktoré sú uvedené vo vyhláške Národného bezpečnostného úradu.

Nevyhnutná podmienka

Prevádzkovateľ základnej služby, aj keď to je miniobec či úrad, nespadne do kategórie samohodnotenie automaticky.

Ako prvý krok musí „rozbiť“ svoju základnú službu na základné Informačné systémy a podporné prvky. Podľa toho, aký významný je informačný systém, zaradí sa do príslušnej kategórie. Upozorňujem však, že prevádzkovateľ môže mať viacero systémov.

Táto podmienka je kľúčová pre zaradenie do samohodnotenia a zároveň slúži ako podporný argument pri prípadnej kontrole zo strany regulátora.

Ten, kto je zodpovedný

Samohodnotenie musí vykonávať manažér kybernetickej bezpečnosti, čo garantuje kvalitu procesu.

Tento profesionál môže byť zamestnancom alebo sa dajú jeho služby objednať externe. Národná autorita už v súčasnosti pracuje na tom, aby vznikol znalostný štandard pre túto rolu.

Či už je to manažér, alebo audítor, cieľ je rovnaký – vyhodnotenie stavu organizácie. Avšak za tento stav a opatrenia je a vždy bude zodpovedný štatutár prevádzkovateľa.

Ten, kto to vie

Stovky starostov a primátorov dostanú do rúk informáciu o stave kybernetickej bezpečnosti. Samohodnotenie si tak predstavte ako odpovede na sériu otázok. Zároveň samohodnotenie na rozdiel od auditu neobsahuje odporúčania.

Budú si musieť nastaviť ďalší plán rozvoja bezpečnosti a rozhodnúť, či potrebujú špecializovaného dodávateľa. V tejto súvislosti vám môže byť pomôckou Päť krokov na výber dodávateľa, ktoré odporúča Agentúra EÚ pre kybernetickú bezpečnosť.

Preto je nevyhnutné dodržať objektivitu samohodnotenia a manažér kybernetickej bezpečnosti musí byť nezávislý od tých, ktorí udržujú IT v chode.

Fakty nepustia

Pravda je taká, že v súčasnosti nám na Slovensku chýba niekoľko tisíc kvalifikovaných manažérov kybernetickej bezpečnosti.

Odborníci preto varujú pred explóziou samozvaných profesionálov, najlepšie charakterizovaných populárnym označením „šmejdi“.

NBÚ zverejňuje certifikačnú schému overovania odbornej spôsobilosti manažéra kybernetickej bezpečnosti a pracuje na znalostnom štandarde.

Treba začať

Na základe výsledkov samohodnotenia si prevádzkovatelia musia nastaviť realistický plán implementácie ďalších bezpečnostných opatrení.

Na základe samohodnotenia majú obce, mestá, dodávatelia aj manažéri kybernetickej bezpečnosti pred sebou viac ako dva roky práce. Na konci tejto živej cesty je dosiahnutie plného súladu s požiadavkami legislatívy. Každodenným cieľom je však chrániť bezpečnosť obyvateľov.   

David Dvořák, certifikovaný audítor kybernetickej bezpečnosti

(Špeciálny projekt)

Na splnenie povinnosti mali prevádzkovatelia dva roky.  „K 19. augustu 2021 je na úrad doručených celkovo 56 auditových správ,“ pokračuje Peter Habara. A nepomôže ani fakt, že dve sú tam už od minulého roka.

Koho trápi základná služba

Zjednodušene povedané – základná služba je podstatná služba pre chod spoločnosti, či už je komerčná alebo poskytovaná štátom. My, všetci občania, sme jej používateľmi.

Správa z auditu je jedna vec, ale úroveň kybernetickej bezpečnosti sa týka všetkých. Či už priamo cez elektronické služby, ktoré používame, alebo cez štandardy, ktoré musia firmy, inštitúcie a úrady dodržiavať pri ochrane našich údajov.

Na čo je audit

Na Slovensku je v súčasnosti päťdesiatka certifikovaných audítorov kybernetickej bezpečnosti a viacej ako polovica z nich aktívne vykonáva audity.

„Prínos každého auditu by mal byť nezávislý pohľad a neskreslená informácia pre štatutára o stave kybernetickej bezpečnosti v ich organizácii“, hovorí Marián Illovský zo spoločnosti auditori.it.

Pri audite sa totiž vyhodnocuje u objednávateľa súlad s požiadavkami zákona a príslušných vyhlášok. Nikde nie je požadovaný počet „správnych odpovedí“, aby subjekt auditom prešiel.

Takže audit slúži primárne pre jeho objednávateľa, aby mu nezávislý expert povedal, „kde mu tečie do topánok a kde ho tlačí kamienok“.

Milióny klientov

Audit kybernetickej bezpečnosti v Národnej agentúre pre sieťové a elektronické služby trval vyše dvoch mesiacov.

Samotný objednávateľ priznáva, že proces si vyžiadal jeho značné kapacity, keďže audítori pomerne dôsledne verifikovali aktuálnosť bezpečnostnej dokumentácie a aj súlad jej aplikovania v dennodennej prevádzke.

„Musím konštatovať, že to bola citeľná záťaž najmä na úrovni stredného manažmentu, ale dobre identifikované a zdokumentované nálezy určite stáli za všetko úsilie,“ hodnotí proces Pavel Karel, generálny riaditeľ NASES.

Pozor: citlivé

Pavel Karel otvorene hovorí o tom, ako ho audit krátko po jeho nástupe postavil pred organizačné a technické nedostatky: „Kybernetickú bezpečnosť pri poskytovaní elektronických služieb štátu občanom a podnikateľom predchádzajúce manažmenty a riadiace a kontrolné orgány agentúry systematicky zanedbávali.“

„Aktívne už pracujeme na zvyšovaní úrovne kybernetickej bezpečnosti. Opierame sa práve o akčný plán riešenia nálezov auditov základných služieb aj o implementáciu projektu Národný systém riadenia incidentov kybernetickej bezpečnosti vo verejnej správe,“ vyratúva Pavel Karel.

Zámerom agentúry je vybudovať kvalitné a procesne zrelé bezpečnostné operačné centrum s cieľom vysokej úrovne detekcie kybernetických hrozieb. V prvej fáze sa NASES zameriava hlavne na infraštruktúru a postupne prejde na aplikačnú úroveň zabezpečenia koncových služieb pre fyzické a právnické osoby.

Kde to bolí

V skupine Svet zdravia išlo v prípade kybernetickej bezpečnosti o špecifický výkon, keďže sa auditovalo jedenásť samostatných subjektov.

Audit trval takmer tri mesiace a vyžadoval si súčinnosť IT odborníkov, personalistov, špecialistov kvality, prevádzkových zamestnancov a, samozrejme, manažéra kybernetickej bezpečnosti.

Peter Dufek, manažér kybernetickej bezpečnosti u prevádzkovateľa nemocníc a polikliník, si však naliehavosť riešenia uvedomuje: „V aktuálnej, pretrvávajúcej pandemickej situácii si zaslúžia najväčšiu pozornosť služby súvisiace s ochranou života a zdravia ľudí. Aj vzhľadom na obrovské množstvo zhromažďovaných údajov o obyvateľoch a ich zdravotnom stave.“

Znova a znova

Audit kybernetickej bezpečnosti v organizácii by sa nemal končiť odovzdaním auditnej správy. Ide o systematický proces, ako budovať a udržiavať celý ekosystém opatrení a procesov.

Po získaní výsledkov si v skupine stanovili záväzné opatrenia a harmonogram odstránenia nedostatkov. „Významným krokom bolo aj posilnenie tímu IT bezpečnosti a v spolupráci s manažmentom kvality pracujeme na zavedení procesov internej kontroly a auditu,“ dodáva Peter Dufek.

Bezpečáci si uvedomujú, že každá organizácia bude len taká bezpečná, aký význam a dôležitosť kybernetickej bezpečnosti pripisuje manažment organizácie. A zároveň jeden z faktorov, ktorý predstavuje najväčšiu potenciálnu zraniteľnosť, je ľudský faktor, teda veľké množstvo používateľov s nepostačujúcimi IT zručnosťami.

Čísla až neuveriteľné

Počet uskutočnených auditov v súčasnosti odhadujú profesionáli tak na vyše stovky. Časť prevádzkovateľov audit kybernetickej bezpečnosti povinnosti za­nedbala, časť sa vyrovnáva s covid rokom, v prípade miest a obcí sa čakalo na novelizáciu zákona.

Nízky počet uskutočnených auditov vysvetľuje aj Tomáš Hettych z Kompetenčného a certifikačného centra kybernetickej bezpečnosti: „Tento nepomer je daný hlavne zdĺhavými procesmi obstarávania vo verejnej správe, kde objednanie auditu trvá aj niekoľko mesiacov.“

Prvé výsledky

Skúsenosti audítorov z terénu sú obdobné ako všetkých oblastiach. „Všade nájdete šikovných ľudí, skôr vidno rozdiely pri porovnaní sektorov,“ sumarizuje Marián Illovský.

Najlepšie hodnotenia sú pre sektory, ktoré mali reguláciu informačnej bezpečnosti skôr, ako bol platný zákon o kybernetickej bezpečnosti, čiže financie alebo telekomunikácie. Najväčšie rezervy sú vo verejnej správe a v zdravotníctve.

Najčastejším nesúladom pri audite sú neformálne, ale fungujúce procesy, prevádzkovateľom chýba dokumentácia, neexistuje riadenie aktív a rizík a chýba riadenie kontinuity. „Opätovne sa však stretávame so zarážajúco nízkym povedomím o bezpečnosti,“ neveriacky hovorí Tomáš Hettych.

A pokuta bude?

Ak teda šťastný objednávateľ už drží v ruke záverečnú správu z auditu, mal by ju do začiatku novembra poslať Národnému bezpečnostnému úradu. A zároveň vykonať opatrenia na základe auditu.

Úrad ako národná autorita by tak mal dostať porovnateľné informácie o stave kybernetickej bezpečnosti v jednotlivých sektoroch. Zároveň má právo kontroly u prevádzkovateľa základnej služby a aj pokuty.

A tu je hranica medzi auditom a kontrolou, ktorú Tomáš Hettych vysvetľuje obrazne: „Pokuta nie je za zistenie audítora, ale za to, že prevádzkovateľ napriek výsledkom auditu nekonal.“

 

 (Špeciálny projekt)

Zálohujte

Záloha vášho zariadenia na domáce alebo cloudové úložisko pred cestou uchová vaše dáta v bezpečí pre prípad straty alebo krádeže zálohovaného zariadenia.

Čisté zariadenie

Ak cestujete do rizikových krajín, je vhodnejšie použiť čistý počítač, ktorý neobsahuje žiadne firemné dáta. Pripomíname, že každá spoločnosť by mala mať vyhodnotené riziká.

Aktualizujte si softvér

Operačný systém má zabudované aj bezpečnostné komponenty, ktoré výrobca pravidelne aktualizuje. Aktualizovaný systém a aplikácie dávajú vyššiu mieru bezpečnosti, keďže odstraňujú známe zraniteľnosti.

Zvyknite si zamykať

Použitie komplexných prístupových hesiel je dôležité, ale počas cestovania je ešte dôležitejšie, aby ste svoje zariadenia uzamykali, tak predídete možnému neoprávnenému vstupu do zariadenia.

Keď už ste na mieste

Deaktivujte automatické pripojenie

Ak je funkcionalita aktívna, zariadenie vyhľadáva a snaží sa pripojiť na dostupné WiFi siete alebo Bluetooth pripojenia. Môže sa stať, že sa neúmyselne pripojíte k škodlivému zariadeniu alebo podvrhnutej WiFi sieti.

Premyslite si to, než sa pripojíte

Overte si správnosť mena siete a presný postup prihlásenia, čím sa uistíte, že daná WiFi sieť je legitímna. V žiadnom prípade nerealizujte transakcie platobnou kartou alebo nespracovávajte osobné alebo firemné citlivé informácie. Použitie priameho dátového pripojenia je omnoho bezpečnejšie ako pripojenie na verejnú WiFi sieť.

Vždy sa pripájajte na zabezpečené stránky cez https://. Aktivujte si VPN, ktorá vytvorí bezpečný šifrovaný komunikačný kanál a ochráni dôvernosť dát.

Premyslite si to, než kliknete

Pred každým kliknutím na odkaz alebo stiahnutím súboru si overte, či ide o legitímny zdroj. Aj keď spam filtre na e-mailovom účte alebo riešenia na firemných e-mailových serveroch sú schopné odfiltrovať väčšinu škodlivej pošty, môže sa stať, že niečo unikne.

Vždy zmažte e-maily, ktoré vyzerajú podozrivo alebo sú od neznámeho odosielateľa. Keď potrebujete nainštalovať aplikáciu do mobilného zariadenia, vždy sa dobre oboznámte s tým, aké informácie zdieľate.

Keď to máte radi, zamknite si to

V hotelovej izbe, v konferenčnej miestnosti, v reštaurácii, na letisku, v lietadle alebo počas iného spôsobu dopravy nikdy nenechávajte zariadenie bez dozoru. Zlodeji často cielia na cestovateľov.

Nezdieľajte všetko

Zdieľanie polohy a fotiek na sociálnych sieťach prináša so sebou riziko, že prípadní útočníci vedia zistiť, kde sa nachádzate.

Pozor na platobné karty

Postačí, ak sa skenovacie zariadenie skryté v ruksaku priblíži na niekoľko centimetrov k vašej platobnej karte a za veľmi krátky čas naskenuje dáta potrebné na zneužitie karty.

Používajte obal na kartu alebo peňaženky s RFID ochranou, alebo si aktivujte platobnú kartu v smart telefóne.

Po návrate z cesty

Čakajte to najhoršie

Ak ste sa v zahraničí pripojili na verejnú sieť a máte podozrenie, že zariadenie mohlo byť kompromitované, v prípade súkromného zariadenia vyhľadajte odbornú pomoc, v prípade firemných zariadení sa obráťte na oddelenie kybernetickej bezpečnosti vo svojej spoločnosti.

Temný web

Dark web, alebo temný web, tvorí iba mizivé percento odvrátenej strany webu. Je často vykresľovaný ako záhadný, hlavne plný ilegálnych aktivít a pre používateľov bez špecifických odborných znalostí nedostupný.

Pre odborníkov z kybernetickej bezpečnosti predstavuje dark web zdroj informácií v boji a prevencii proti kybernetickým útokom. Okrem potenciálne užitočných informácií sa tu však nachádza aj množstvo nepotrebného materiálu a balastu ako aj na tradičnom webe. Ak sa však dostaneme za hranicu informačného šumu, tak zistíme, že temný web je nesmierne cenným zdrojom informácií.

Ako funguje

V podstate ide o subsystém internetu. Je prístupný pomocou špeciálneho nástoja ako napríklad Tor. Ten umožňuje používateľom a prevádzkovateľom webových stránok zostať v anonymite.

Webové stránky na tomto webe fungujú vo svojom vlastnom jedinečnom prostredí oddelenom od komerčne dostupných webov, ako sú napríklad Facebook či Amazon. Práve anonymita je to, prečo je táto časť webu taká príťažlivá pre používateľov.

Často tu pôsobia rôzni jednotlivci či skupiny, ktorí ponúkajú množstvo služieb, a nehovoríme len o ilegálnych aktivitách. Bežne sa tu však môžete stretnúť s ponukou na vykonanie útoku či so škodlivým kódom ako službou. Pojem „as a service“ je populárny aj v týchto komunitách.

Napriek popularite spájanej hlavne s nelegálnou činnosťou má temný web aj veľa legitímnych stránok a používajú ho ľudia ako novinári, aktivisti, prípadne orgány činné v trestnom konaní.

Ako sa tam dostať

Ak by si niekto myslel, že inštalácia prehliadača Tor mu otvorí svet temného webu, nebude to celkom pravda. Aj temný web má svoje skryté časti.

Mnoho informácií je síce prístupných každému, ale tie z „relatívne“ ľahko dostupných častí majú obmedzenú pridanú hodnotu. Zaujímavejšie časti sú spravidla limitované pozvánkou a vyžadujú špeciálny prístup. Niekedy až roky praxe, keď si používateľ buduje identitu a dôveryhodnosť akceptovanú v určitých komunitách.

​Ako to zužitkovať

V uzavretej časti temného webu môžu ľudia častejšie nájsť informácie pochybnej pridanej hodnoty. Tieto kanály, známe tiež ako kriminálne podsvetie, často presahujú z temného webu až do súkromných kriminálnych fór či skupín hosťovaných na šifrovaných komunikačných platformách.

Ak viete informácie na temnom webe uchopiť správne, tak vám poskytnú jedinečný pohľad na to, ako premýšľajú a fungujú počítačoví kriminálnici. Bude jednoduchšie identifikovať aktivity, ktoré sa niekto chystá vykonať, ale stále ešte nie triviálne.

Všetko zlé je na niečo dobré

Temný web rovnako ako iné siete je možné monitorovať a zhromaždené informácie o hrozbách potom použiť na prevenciu pred útokmi.

Samotný nástroj na prvý pohľad vyzerá ako prehliadač nastavený na pokročilé vyhľadávanie, je to však spravodajská platforma (Intelligence Platform). Stačí vhodne formulovať požiadavku a pomocou umelej inteligencie a strojového učenia sa informácie zozbierajú a zobrazia v prehľadnom okne. Jazykovú bariéru preklenú pokročilé metódy na spracovanie prirodzeného jazyka, a tým rozšíria dopyt globálne.

Prostredníctvom platformy Recorded Future však odborníci prehľadávajú nielen zdroje na temnom webe, ale napríklad aj na sociálnych médiách či rôznych fórach.

Používanie takýchto platforiem umožní proaktívne identifikovať a zmierňovať riziko, hneď ako sa informácia objaví.

 

Pravdivý príbeh

Jednoducho ste zaplatili podhodenú faktúru, ktorú poslal útočník. Aj mail bol ako zvyčajne, s rovnakým textom a podpisom. Všetko, všetko bolo v poriadku okrem toho čísla účtu.

Najčastejším motívom útokov je totiž finančný zisk a vy si uvedomíte, že ste obeťou kybernetického zločinu, keď prídete o peniaze. Môže to byť váš súkromný, firemný, obecný účet a peniaze sú nenávratne preč.

Aj tento sa stal

Alebo ste starosta, ktorý platí účty pre svoju malú obec. Cez internetbanking ste poslali zvyčajnú platbu, ale vo vašom počítači „sedí“ taký malý trojan. Čaká na regulárnu platbu a potom ju presmeruje na iný účet.

Starosta urobí enter a suma správne zadaného účtu zmizne. Kde urobil starosta chybu? Nemal aktualizovaný softvér, alebo sa stal obeťou vlny útokov na báze zraniteľnosti nulového dňa. A môže ísť o obec a mesto rôznej veľkosti, alebo o inštitúciu.

„Kybernetické hrozby vo virtuálnom prostredí sú v súčasnosti zamerané najmä na konkrétnych používateľov, využívajúc ich nepozornosť a nedostatočné zabezpečenie ich ochrany,“ potvrdzuje stúpajúci trend trestnej činnosti Michal Slivka, hovorca Prezídia Policajného zboru.

Prvá pomoc

Čo najrýchlejšie volajte kontaktné centrum banky. „V závislosti od času, ktorý uplynul od zadania podvodnej transakcie, banka môže platbu zrušiť,“ hovorí Radomír Adamkovič, vedúci oddelenia prevencie podvodov VÚB, a. s. Prípadne môže vaša banka ihneď kontaktovať banku príjemcu s požiadavkou na vrátenie finančných prostriedkov.

Výstražné procesy v banke sa už spustili a Adamkovič pokračuje: „Operátor kontaktného centra zároveň preverí s klientom všetky operácie, či už zrealizované cez online banking, alebo platobnými kartami, a podľa potreby deaktivuje
prístupy.“

Ako to zhoršíte

Často však používatelia prepadnú panike alebo nevedia, aké majú možnosti. V západnej Európe a Spojených štátoch existujú komerčné služby pre občanov, ktoré im pomáhajú riešiť kybernetický bezpečnostný incident. Na Slovensku ste však ako jedinec v tejto chvíli skončili.

Ak sa incident týka právnickej osoby, zákon stanovuje hranicu závažného kybernetického incidentu. Tam už vzniká povinnosť hlásiť kybernetický incident Národnému bezpečnostnému úradu.

„Povinnosť hlásiť incidenty je plnená veľmi slabo. Časť subjektov vôbec nechápe, čo je to kybernetický incident, manažéri nepoznajú definície, nečítali alebo slabo čítali zákon,“ konštatuje Rastislav Janota, riaditeľ Národného centra kybernetickej bezpečnosti SK-CERT. Riešenie incidentu má základné železné pravidlo: volajte svojho bezpečáka. Panika môže urobiť väčšie škody ako útok samotný.

Hlásiť alebo tajiť

Manažéri často nerozumejú, čo je to incident a ako by mali postupovať. Respektíve nechápu, aký veľký problém môže predstavovať. Alebo ak vznikol incident zanedbaním povinností, zamestnanci sa snažia problém ignorovať či utajiť.

Hlásenie incidentu umožňuje Národnému centru kybernetickej bezpečnosti efektívne pomôcť pri riešení incidentu a zároveň včas varovať iné firmy alebo občanov pred podobným problémom ako súčasť prevencie.

Na rozdiel od Nariadenia GDPR neexistuje možnosť uložiť sankciu za ohlásený incident. „Sankciu však možno uložiť, ak mal byť incident hlásený a nestalo sa tak,“ varuje Rastislav Janota.

Nastupuje polícia

Či už ste firma, obec, živnostník alebo občan a ste obeťou kybernetického útoku, ide o nelegálne, nemorálne a neoprávnené konanie. „Ak vás niekto uvedie do omylu alebo využije váš omyl a spôsobí tak na vašom majetku škodu, dopúšťa sa trestného činu podvodu,“ upozorňuje Pavel Nechala, partner advokátskej kancelárie WISE3.

Malou škodou sa rozumie škoda prevyšujúca sumu 266 eur. V takomto prípade máte možnosť obrátiť sa na orgány činné v trestnom konaní.

„Trvajte na spísaní zápisnice alebo vydaní potvrdenia o podaní trestného oznámenia, týmto momentom vzniká povinnosť pre políciu podnetu sa venovať,“ prízvukuje Pavel Nechala. Trestné oznámenie môžete spísať sami alebo u príslušníka Policajného zboru.

Ak škoda neprekročí 266 eur, je to priestupok a fyzické aj právnické osoby môžu uplatňovať nárok v občianskoprávnom konaní na súde.

Nastupujú experti

„Virtualita prostredia, absencia kontaktu útočníka s obeťou a sofistikované virtuálne nástroje zabezpečujú takmer stopercentnú anonymitu, ktorá je veľmi ťažko zamedziteľná alebo odhaliteľná,“ hovorí Michal Slivka.

Ak príde v digitálnom priestore k zničeniu či strate dôvernosti údajov, nedostupnosti služby a ohrozeniu bezpečnosti údajov, hovoríme o kybernetickom bezpečnostnom incidente.

Počas vyšetrovania si polícia alebo vyšetrovatelia môžu pribrať do konania súdneho znalca z bezpečnosti a ochrany informačných systémov, výpočtovej techniky, počítačových programov alebo iného odboru elektrotechniky.

Tak ako v seriáli

Forenznú analýzu v kybernetickej bezpečnosti robí dostatočne zručný technik. Digitálna forenzná analýza sa tak stala vedou o hľadaní stôp z médií a zo zariadení, akými sú počítač, mobilný telefón, server alebo sieť.

„V trestnom zákone zatiaľ nie je explicitne zavedená definícia, čo je trestný čin z hľadiska počítačovej kriminality. Dá sa však uplatniť paralela s reálnym svetom a vnímať trestné činy v oblasti počítačovej kriminality ako digitálne verzie trestných činov v reálnom svete,“ vysvetľuje súdny znalec Erik Minarovič.

Experti aj súdni znalci tak identifikujú, získavajú, uchovávajú a dokumentujú počítačové stopy, ktoré môžu byť potenciálne použiteľné v dôkaznom konaní. „Ak zničíte stopy, už nikdy nebude možnosť vyšetriť udalosť, a už vôbec nie dolapiť páchateľa,“ varuje Ivan Makatura z Kompetenčného a certifikačného centra kybernetickej bezpečnosti, ktoré je znaleckou organizáciou.

Zlé správy

Pandémiu a presun do online sveta využili útočníci a zvýšili kriminálnu činnosť na internete. „Trend na Slovensku je rastúci, pričom stúpajú najmä čísla v prípadoch detskej pornografie, ako i podvodov na internete,“ hovorí Erik Minarovič na základe množstva práce, ktorej pribúda.

„Uživil by sa tu až dvojnásobný počet znalcov,“ prízvukuje Ivan Makatura. Licencia si totiž vyžaduje prax, kvalifikáciu, špecializované vzdelávanie a štátnu skúšku, čo predstavuje tri až šesť rokov.

Po zvýšení kapacít a vzdelávaní volajú aj polícia a súdnictvo. „K rastúcemu počtu incidentov a trestnej činnosti prispievajú najmä cielené kybernetické útoky využívajúce zistené zraniteľnosti informačného systému. Zmení sa však správa a štruktúra hrozieb, so zameraním na vydieranie, snahu odcudziť citlivé informácie či riziká spojené s internetom vecí,“ uzatvára Michal Slivka.

(Natívna informácia)

Zmeny v tom, ako žijeme, pracujeme a vzdelávame sa, vytvorili deliacu čiaru, ktorá definitívne oddelí aj v kybernetickej bezpečnosti fungovanie vecí pred pandémiou a po nej.

Koncept práce z domu aj exponenciálny nárast rýchlosti prechodu do cloudu priniesol nižšiu transparentnosť ekosystému kybernetickej bezpečnosti, zníženie možnosti kontroly koncových zariadení a s tým spojené rôznorodejšie možnosti útokov pre potenciálnych útočníkov.

Počet úspešných útokov voči organizáciám v roku 2020 sa zvýšil o 5,5 percenta a prekonal svetový rekord za posledných šesť rokov.

Následok útoku so zneužitím SolarWinds vedie k väčším obavám spojeným s rizikom, ktoré predstavuje dodávateľský reťazec pre jednotlivé organizácie.

Táto situácia a výzvy sa, samozrejme, preniesli aj do roku 2021

• 78 percent spoločností očakáva ďalší útok na dodávateľský reťazec v rozsahu podobnom SolarWinds útoku.
• 88 percent organizácií zvyšuje rozpočet na bezpečnosť. Ako najčastejší dôvod uvádza zvýšenie využívania cloudových služieb.
• 84 percent organizácií sa stalo za posledné dva roky cieľom úspešného kybernetického útoku s kompromitáciou e-mailu ako najčastejším spôsobom útoku.

Daniel Suchý, špecialista pre kybernetickú bezpečnosť, Aliter Technologies, a. s.

Zdroj: prieskum spoločnosti Splunk, Cyberthreat Defence Report 2021 od CyberEDGE Group

SLOVENSKO

Či už ide o verejnú správu, zdravotníctvo alebo malé a stredné  firmy a inštitúcie, reálna implementácia zákona o kybernetickej bezpečnosti je pre 90 percent povinných organizácií úlohou, ktorá dramaticky presahuje ich možnosti a kapacity.

Dosahovaný súlad s požiadavkami zákona o kybernetickej bezpečnosti vo väčšine týchto organizácií  je päť percent.

Miera úšpešnosti phishingových kampaní, simulácia podvodného e-mailu je 85 percent. V dvadsiatich percentách prípadov je manažér kybernetickej bezpečnosti priamo podriadený manažmentu a nie IT oddeleniu.

Manažér kybernetickej bezpečnosti pri budovaní systému kybernetickej bezpečnosti spracováva a riadi desiatky rôznych dokumentov a úloh, akými sú stratégia, politiky, smernice, registre, pracovné postupy a implementácia opatrení. Každý dokument musí byť zároveň preskúmaný, vytvorený, pripomienkovaný, schválený, implementovaný a kontrolovaný.

Väčšina organizácií používa na riadenie projektov základné nástroje, akými sú Word, Excel a Outlook. Ak však chceme nimi v praxi riadiť kybernetickú bezpečnosť, spôsobujú nasledujúce problémy:

• Zložitá aktualizácia jednotlivých častí
• Chýba kontext a súvislosti, vzťahy
• Nízka úroveň kolaborácie
• Riadenie jednotlivých aktivít je nejasné
• Chýba dodržiavanie postupov
• Chýba integrácia procesného a technického sveta
• Kontrola efektívnosti je nízka

Riadenie dokumentov a úloh tak v praxi môže trvať viac  ako 12 mesiacov.

S kvalitným nástrojom na riadenie kybernetickej bezpečnosti sa znižujú náklady na dosiahnutie súladu s legislatívou a eliminujú sa chyby a nejasné výstupy, čím sa vyvarujete predražených konzultácií.

A ako skontrolovať, či je takýto systém riadenia profesionálny? Je škálovateľný, priebežne vyhodnocuje stav bezpečnosti a používateľa sprevádza celým procesom.

Peter Tyko, riaditeľ divízie IT bezpečnosti ALISON Slovakia

Zdroj: prieskum spoločnosti, hĺbkové rozhovory január  – jún 2021, počet účastníkov 127

 

​

(Natívna informácia)

Komunita špičkových odborníkov v informačnej a kybernetickej bezpečnosti na Slovensku počíta svojich členov na stovky a výnimočnou príležitosťou na výmenu skúseností sú podujatia SecTec Security Day a Qubit Conference Tatry. Tak prečo by sme si mali nechať ujsť názory profesionálov a zároveň nepodeliť sa o ne? Kybernetická bezpečnosť sa totiž týka bytostne všetkých. Ak sa chceme posúvať, pýtajme sa profesionálov.

Prieskum sa realizuje medzi špecialistami a manažérmi informačnej a kybernetickej bezpečnosti na Slovensku už druhý rok. Výsledky prezentujú ucelený prehľad o tom, ako je odborná problematika vnímaná a aké majú účastníci reálne skúsenosti či očakávania.

Odpovede profesionálov inšpirujú vo vzdelávaní, spájajú často odlišné svety a tak sa buduje povedomie o kybernetickej bezpečnosti. 

Čo považujete za najdôležitejšie pre zabezpečenie prevádzky a posilnenie IT bezpečnosti?

Odpovedá vyše stovky špecialistov a manažérov v oblasti informačnej a kybernetickej bezpečnosti na Slovensku.

• Najvýznamnejšou potrebou, ktorú ešte viacej zvýraznila pandémia, je vzdelávanie.
• S rozdielom iba pár hlasov sa medzi prioritami bezpečnostných špecialistov už dlhodobo za vzdelávaním držia spomínané ľudské zdroje.
• Nové komunikačné platformy, presun do cloudu či zanedbané investície poukazujú na potreby implementácie nových technológií.
• Za ľuďmi a technológiami idú vždy procesy, drajvované prísnou legislatívou.
• A ak hovoríme o legislatíve, presne tu je miesto, aby sme do aktuálnej päťky potrieb zaradili odborné posudky či audit.

Prieskum medzi odborníkmi je anonymizovaný a súbežne sa realizuje na Slovensku a v Českej republike. Ten tohoročný je ešte otvorený a zároveň sa po prvýkrát budú porovnávať výsledky s minulým rokom, čím budeme vedieť mapovať posun stavu aj očakávaní.

Roman Čupka, hlavný konzultant Flowmon a Kemp company a CEO Synapsa Networks

Ktorú z týchto potrieb vnímate v súčasnosti ako najdôležitejšiu pre zabezpečenie prevádzky a posilnenie IT bezpečnosti vo vašej organizácii?

prieskum spoločností Synapsa Networks, Flowmon a Kemp Company, SecTec a Qubit Security, máj – jún 2021, počet účastníkov 105

​

 (Natívna informácia)

 

 

Za rok 2020 reportuje spoločnosť IBM, že ľudská chyba je hlavnou príčinou až 95 percent bezpečnostných incidentov. Inými slovami, ak by došlo k úplnému odstráneniu ľudských chýb, 19 z 20 incidentov by sa nemuselo stať vôbec.

Bolestivé prebudenie

Uplynulá dekáda priniesla fascinujúci rozvoj digitalizácie. Finančný, priemyselný sektor, služby, školstvo, verejná správa, cloudové riešenia a aplikácie sa dostali do hviezdnych čísel. Následok? Digitalizáciou stúpal a s množstvom automatizovaných činností rástol aj počet incidentov. Prvý bolestivý následok pocítili banky. Falošné transakcie, skopírované platobné karty, pokuty, súdne spory, vybielené účty. Stálo to peniaze. Bankové straty zo začiatku minulej dekády v Európe, ktoré spôsobili neoprávnené kartové transakcie, sa odhadujú až na štyri miliardy eur.

Ako spojiť nespojiteľné

Profesionáli vychádzali z premisy „ak znížime počet zraniteľností, predídeme škodám“. Čiže čím menej zraniteľností, tým odolnejší systém. Pochopiteľné. Rovnaké pochopenie si však vyžaduje fakt, že zručnosti a schopnosti používateľov výpočtovej techniky zaostávali za jej rozširovaním. Počínajúc manažérmi, zamestnancami a končiac zákazníkmi a klientmi. Priestor hrozieb sa s digitalizáciou jednoducho zväčšoval a bolo nutné na to reagovať. Chrániť systémy, dáta a tak zákazníkov či klientov. Niekde tu vznikol pojem privacy by design, ktorý vyžadoval špecificky zabudovať ochranu súkromia už do návrhu aplikácie, procesu alebo činnosti systému či obchodného procesu. Údaje tak majú byť chránené štandardne a trvalo udržateľným spôsobom vo všetkých procesoch. Ako to ešte lepšie spojiťPôvodcom iniciatívy privacy by design sa tak stal súkromný sektor, ktorý vytvoril tlak na bezpečnostné štandardy. Základná bezpečnosť postúpila na úroveň regulácie, čo znamená, že bola „vynútená“ zákonom. Požiadavka na prijatie legislatívy bola formulovaná v roku 2014 a štyri roky nato uzákonená ako nezabudnuteľné Nariadenie GDPR.

Trh, ktorý nemôže čakať na zákon, ale musí dbať o svoju dôveryhodnosť a bezpečnosť, však sformuloval vlastnú mantru – mysli na bezpečnosť, už keď niečo navrhuješ. Princíp security by design začali programátori a vývojári používať bez toho, aby ho niekde videli napísaný alebo určený.

A ako uviesť do praxe

Zraniteľnosť systémov vychádza z princípu ľudskej podstaty. Všetky zraniteľnosti vznikajú pri návrhu, všetky incidenty sú výsledkom zraniteľnosti.

Omylní sú inžinieri, programátori aj architekti systému, a keďže sme si toho vedomí, dokážeme sa na to pripraviť a sme povinní urobiť maximum opatrení. Softvér aj hardvér musia byť navrhnuté s cieľom myslieť na bezpečnosť. Prístup security by design nie je všeliek, ale veľmi účinný liek. Týka sa to jednoduchej používateľskej aplikácie aj jadrovej elektrárne. Súčasťou každého procesu je testovanie, tisíce a tisíce testov, až je pravdepodobnosť zraniteľnosti zanedbateľná. A prečo sú bezpečáci takí posadnutí? Vedia totiž, že aj keď sa niečo spustí, aj tak ešte niekde môže byť chyba.

Dekáda potom

„Či je to softvér pre energetické spoločnosti, alebo pre banky a ďalších európskych klientov, už pri dizajne riešení premýšľame nad tým, ako ich vyrobiť efektívne a zároveň čo najbezpečnejšie,“ potvrdzuje Richard Schwartz, obchodný riaditeľ Unicorn Systems SK. V praxi to znamená už pri návrhu zvažovať viacero vrstiev ochrany, ktoré zaisťujú dôvernosť, dostupnosť a integritu aplikácií či informácií v nich. „Keďže to robíme už vo fáze dizajnu riešenia, nevyčísľujeme rozdiel prácnosti pre vývoj a testovanie, snažíme sa skrátka dodať čo najbezpečnejšie riešenie.“ Je totiž oveľa jednoduchšie zabezpečiť splnenie bezpečnostných požiadaviek počas návrhu. Ak sa opomenú, ich realizácia neskôr je výrazne prácnejšia alebo sa bez zásahu do architektúry nedajú realizovať.

Nový vek bezpečnosti

Nástupom cloudových platforiem a internetu vecí nastal zásadný posun vo vnímaní zodpovednosti za nasadzovanie a prevádzku informačných systémov. Najvýraznejšie sa to prejavuje pri systémoch dodávaných formou softvér ako služba. Dodávatelia sa tu stávajú spoluzodpovední až plne zodpovední za bezpečnosť informačných systémov aj za ďalšie požiadavky, akými sú vysoká dostupnosť, výkonnosť a s nimi súvisiaci monitoring. Zároveň sa táto téma stáva už aj súčasťou zmlúv.

„Bezpečnosť je integrálnou súčasťou každej etapy životného cyklu tvorby informačného systému. Security by design chápeme ako prístup k návrhu a tvorbe informačných systémov,“ potvrdzuje Ľuboš Kováčik, solution architekt spoločnosti Softec. Dôsledná aplikácia takého prístupu zahŕňa zníženie rizika samotného útoku, schopnosť jeho detekcie a redukciu prípadných negatívnych následkov.

Keď to zažijete

Ukážkovou oblasťou pre pojem security by design je vývoj nových áut, ktoré sú pripojené do internetu. „Ransomvérový útok v rýchlosti 135 kilometrov za hodinu môže mať negatívny dosah na bezpečnostné systémy vozidla, a teda aj jeho posádku,“ vysvetľuje Martin Fabry, audítor kybernetickej bezpečnosti.

Svet prevádzkových technológií je však konzervatívne impérium – vyžaduje si dostupnosť, spoľahlivosť, stabilitu a teraz musí v krátkom čase akceptovať extrémne dynamické požiadavky kybernetickej bezpečnosti. Pre priemysel je security by design ďalší kvalitatívny parameter, ktorý sa stáva nevyhnutným.

Už nebudete chcieť inak

„Legislatíva a požiadavky zákazníkov vytvárajú tlak na výrobcov riadiacich systémov na integráciu bezpečnostných opatrení do produktu. V prípade predchádzajúcich generácií sa dodatočné opatrenia musia dopracovať,“ vysvetľuje Martin Fabry.

V budúcnosti si všetky produkty budú vyžadovať bezpečnostnú certifikáciu, či už ide o ochranu spotrebiteľov pred zbieraním dát z ich domácich spotrebičov, alebo priemyselnú linku s využitím umelej inteligencie. Nech majú produkty akékoľvek určenie, používatelia novej generácie budú požadovať, aby boli funkčné, pekné a bezpečné v digitálnom svete.

​

(Natívna informácia)

Firmy a verejné organizácie, ktoré to s ochranou dát a zabezpečením vysokej dostupnosti IT služieb pre zamestnancov aj zákazníkov, či občanov myslia vážne, musia perfektne zvládať nasledovné štyri činnosti.

Ani jednu z nich však nedokážu robiť bez nových typov nástrojov, ktoré sú postavené na strojovom učení, umelej inteligencii a automatizácii.

1. Viditeľnosť

Pre dosiahnutie bezproblémovej prevádzky a vysokej bezpečnosti aplikácií aj dát je nevyhnutné pamätať na to, že softvér je v súčasnosti koncovým používateľom vo veľkej miere poskytovaný a doručovaný cez sieť.

Preto je nevyhnutné do siete tak povediac vidieť, a to až na úroveň jednotlivých dátových tokov, či paketov. Nástroje pre viditeľnosť do sieťovej prevádzky sú nevyhnutný základ preto, aby bolo možné optimalizovať výkon sieťovej infraštruktúry, zaisťovať kvalitu digitálnych služieb a identifikovať škodlivé alebo potenciálne nebezpečné udalosti a aktivity, vrátane tých, ktoré sa „ukrývajú“ v šifrovanej komunikácii.

2. Monitoring a detekcia

So zabezpečenou viditeľnosťou do sieťovej komunikácie – a to bez ohľadu na to či ide o vnútornú sieť organizácie, cloudy alebo využívanie softvérov vo forme služby (SaaS) – je následne možné dáta zo siete zhromažďovať a využívať ich viacerými spôsobmi.

Dáta môžu byť užitočné ako pre prevádzkové IT tímy, ktoré vďaka nim dokážu napríklad lepšie monitorovať výkonnosť aplikácií, kvalitu služieb, riešiť technické problémy či plánovať budúce investície do sieťovej infraštruktúry, tak aj pre bezpečnostné tímy pri detekcii anomálií a škodlivých udalostí, riešení incidentov, alebo pri overovaní funkčnosti politík a ich vynucovaní.

3. Analytika

Inteligentné nástroje dnes dokážu škodlivé aktivity nielen detegovať, ale vedia tiež automatizovane rozhodnúť o adekvátnych protiopatreniach a získať podklady pre prípadné neskoršie forenzné analýzy.

Analytika môže byť užitočná nielen pre interné vyšetrovanie, ale v niektorých prípadoch aj pre potreby orgánov činných v trestnom konaní.

Analýza bezpečnostných udalostí v pokročilých monitorovacích technológiách umožňuje robiť rôzne korelácie a vnárať sa hlbšie do informácií, až do úrovne jednotlivých sieťových spojení a tak pomáhať vylaďovať preventívne opatrenia, aby v budúcnosti k obdobným incidentom nedochádzalo.

4. Automatizácia

Keďže jedným z najnaliehavejších problémov súčasného aj budúceho zabezpečenia IT je nedostatok odborníkov, je nevyhnutné viaceré činnosti prevádzkových a bezpečnostných tímov automatizovať.

Príkladom sú nástroje pre automatizáciu zmenových požiadaviek a riadenia incidentov, ktoré napríklad pomáhajú blokovať útoky v reálnom čase ešte predtým, ako napáchajú rozsiahle škody.

Zároveň umožňujú kontrolovať zhody s bezpečnostnými pravidlami organizácie a aplikovať tieto pravidlá bez vyťažovania ľudských zdrojov. Okrem úspory času eliminujú aj časté chyby spôsobené pracovníkmi v IT oddeleniach.

Roman Čupka, hlavný konzultant Kemp Flowmon a CEO Synapsa Networks

​

(Natívna informácia)

Oportunistický ransomvér sa šíri náhodne a útočníci čakajú, koho škodlivý kód zasiahne. Výkupné je väčšinou nižšie, aby sa požívateľovi oplatilo zaplatiť, ale obetí sú tisíce. Takýmto útokom bol aj WannaCry v roku 2017. Kód sa replikoval a zasiahol viac ako 200-tisíc staníc v 150 krajinách. Zdravotnícka organizácia NHS vo Veľkej Británii musela následkom útoku zavrieť niektoré prevádzky a rušiť operácie.

Oportunistický ransomvérový útok vie byť úspešný, ak sú splnené dve podmienky.  Po prvé - organizácie nemajú dobrú bezpečnostnú hygienu záloh a obnôv, nezálohujú kritické dáta dôsledne a medzi zálohovaniami sú dlhé úseky. Druhá častá chyba je spoliehať sa výlučne na antivírus, ktorý reaguje iba na už známe hrozby. Keďže ransomvér vie zmutovať do minúty, často statické antivírusy nedokážu škodlivý kód zachytiť.

Čo sa však pre útočníkov ukázalo lukratívnejšie ako plošné šírenie,  je cielenie útokov. Obeťou bývajú organizácie, kde aj krátky výpadok IT služieb znamená vysoké škody.

Útočníci si pri cielení ransomvérového útoku dávajú námahu najmä s prieskumom. Zisťujú si v organizácii využívané technológie, ich zraniteľnosti a najcitlivejšie dáta, ktoré sa oplatí zašifrovať.

Po vstupnom prieniku postupujú mimoriadne trpezlivo. Povyšujú si práva na systémoch, aby neboli detegovaní aj celé mesiace. Zároveň riešia aj scenáre obnov, čiže znefunkčňujú zálohy a vytvárajú si back-door privilegované účty.

Keď je všetko pripravené, útočníci zašifrujú dáta a dajú obeti niekoľkodňové okno, aby zaplatila výkupné. Často je útok tak dobre pripravený, že obeť nemá inú možnosť, ako zaplatiť a spoliehať sa, že útočníci aj spravia sľúbenú nápravu.  A keby sa obeť pokúsila o obnovu bez zaplatenia výkupného, útočníci cez zadné vrátka udrú znova.

Z analýzy ransomvérových útokov je jasná jedna vec - nedá sa spoliehať na jediné bezpečnostné riešenie na koncovej stanici.

Aby útočníkom sťažili prienik a povyšovanie práv, organizácie vrstvia rôzne stupne ochrán.  Počínajúc pravidelným zaplátovaním, aplikačným lockdownom na staniciach, nastavením iba nevyhnutných práv používateľom až po dôslednú ochranu privilegovaných účtov.

Ransomvér to bude s nami ešte roky. Ransomvérových nástrojov typu urob-si-sám je na dark webe hromada, výnos môže byť v miliónoch, polícia je na páchateľov prikrátka a stopercentná  technologická ochrana neexistuje. Preto je dôležité prijať nastavenie „predpokladáme, že už sme boli heknutí“ a z neho vychádzať pri osobnej a firemnej bezpečnostnej stratégii.

Daniel Hetenyi, regionálny manažér CyberArk

​​

(Natívna informácia)

Na množstve ohrození sa výrazne odrazilo zvýšenie aktivity kriminálnych a politických aktérov a napätá politická situácia. Zaplavili nás kampane na báze sociálneho inžinierstva, ransomvérové útoky a úniky dát.

Jednu dobrú správu však predsa len máme. Rastové čísla reprezentujú nielen objektívny nárast útokov, ale podieľajú sa na nich aj mierne sa zlepšujúce detekčné schopnosti organizácií – proste vidia lepšie do systémov.

Ransomvér na vzostupe

Vydieračský útok si nevyžaduje extrémne sofistikovaný prístup. Ransomware as a Service (RaaS) je biznis model ako akýkoľvek iný. Znamená prenájom funkčnej infraštruktúry a vývoj softvéru na mieru. V minulom roku sa tak udiali dve tretiny ransomvérových útokov vo svete.

Potom už stačí vytrvalo posielať maily so škodlivým softvérom a čakať, ktorý naivný zamestnanec klikne na link alebo si stiahne aplikáciu. Útočníci po prieniku dáta skúmajú, zálohujú a šifrujú. Výkupné potom žiadajú za dešifrovanie, nezverejnenie a aj od tretej strany, ktorá je únikom postihnutá.

Tento model kybernetickej kriminality je taký agresívny a efektívny, že riešenie si vyžaduje intenzívnu komunikáciu všetkých sektorov aj štátov medzi sebou.

Toto si pamätajte

Súčasné bezpečnostné mechanizmy reagujú na zásadnú úlohu – chrániť informácie. Presun do cloudu a vzdialený prístup v covidovom roku nielen navždy zmenili svet, ale tiež nastavili budúcnosť.

Trendom sa tak stali autentizačné nástroje, viacvrstvová bezpečnosť, segmentácia, kognitívne spracovanie či zero trust princíp – zabezpečenie s nulovou dôverou, ktoré predpokladá, že každý používateľ alebo zariadenie nie sú vo svojej podstate dôveryhodné.

Vizionári v krátkodobom horizonte vkladajú nádeje do umelej inteligencie, v dlhodobom horizonte sa už zamýšľajú nad postkvantovou kryptografiou.

S umelou inteligenciou sa už poznáte

Jedným z prvých uplatnení tohto vedného odboru sú totiž antispamové filtre. Algoritmy hodnotia, ktoré slová sa najčastejšie vyskytujú v spamoch či phishingových kampaniach, indexujú ich a maily potom blokujú alebo hádžu do koša.

Hlad bezpečnostného priemyslu po využití umelej inteligencie je pochopiteľný. Čelíme množstvu kybernetických útokov, rastie počet zariadení pripojených na internet a zároveň existuje obrovský nedostatok kvalifikovaných IT profesionálov. Používanie strojového učenia znižuje vyťaženie a čiastočne rieši nedostatok zamestnancov, keďže detekcie aj reakcie na hrozby sa môžu automatizovať.

Sme na začiatku

Ľudia sa nemôžu donekonečna „škálovať“, aby adekvátne chránili dynamické prostredie. Vedné odbory umelej inteligencie tu poskytujú nenahraditeľnú analýzu a identifikáciu hrozieb, na ktorú môžu odborníci reagovať, aby znížili riziko narušenia.

„V oblasti zabezpečenia dokáže AI identifikovať a uprednostniť riziká, okamžite odhaliť akýkoľvek malvér v sieti, usmerniť reakciu na incidenty a detegovať narušenie skôr, ako sa začne,“ vysvetľuje Vladimír Palečka, špecialista na kybernetickú bezpečnosť Aliter Technologies, a. s.

Odborníci však vášnivo diskutujú o tom, že spoľahnúť sa iba na „superevidované učenie“ je nebezpečný hazard. Algoritmy strojového učenia môžu vytvárať falošný pocit bezpečia. Systém sa totiž na základe skúsenosti učí, ktoré kódy sú súčasťou škodlivého softvéru, a označuje ich. Obrana potom povolí iba softvér s „čistými“ kódmi. Čo sa však stane, ak sa hackeri dostanú do systémov bezpečnostnej firmy? Pozmenia vlastnosti kódu škodlivého softvéru, a tak ho obranný algoritmus nezachytí. Ďalší progres bude vyžadovať kombináciu hlbokých znalostí v kybernetickej bezpečnosti a zároveň v dátových vedách. „V každom prípade však umelá inteligencia patrí medzi kľúčové bezpečnostné mechanizmy v budúcnosti,“ predpovedá Vladimír Palečka.

Alfa a omega bezpečnosti

Dnes už takmer každé zariadenie obsahuje mikropočítač, ktorý neustále zbiera a vyhodnocuje údaje, ukladá ich alebo odosiela na analýzu iným systémom. Základom zabezpečenia informácií proti neautorizovanému sprístupneniu a zneužitiu je ich šifrovanie.

Nástup kvantových počítačov preto sprevádzajú očakávania i ľahká panika. Podstatné zvýšenie výpočtového výkonu počítačov umožní rozvoj nových vedných odborov aj prelomenie súčasných šifier. Terabajty dát zostanú bez ochrany.

Prakticky použiteľný kvantový počítač v tomto desaťročí asi neuvidíme. „Čakáme na zásadný prelom v technológii. No nemali by sme to podceňovať, ak prelom príde, už nebude dostatok času, bude to len otázka peňazí, veľa peňazí,“ varuje Peter Kopriva, bezpečnostný architekt Tatra banky.

Éra šifrovania

Väčším problémom ako zlomenie súčasných šifrovacích metód v budúcnosti je dnešok. „Súbežne s kvantovými počítačmi sa totiž vyvíja aj kryptografia a viac nás trápi súčasnosť,“ hovorí Peter Rakšány, špecialita ALISON Slovakia na ochranu utajovaných skutočností.

Povedomie o nebezpečenstvách v dôsledku laxného prístupu k údajom zostalo niekde v minulom storočí. Používatelia si bežne posielajú dáta do cloudu či ukladajú na prenajaté úložiská a nepýtajú sa, kto má „kľúče“ k ich chráneným dátam.

Ak je budúcnosť ekonomiky v cloude, tak budúcnosť cloudu je v šifrovaní. „Dáta budú unikať vždy, či už v dôsledku technických, alebo ľudských chýb. Dôležité však je, ako budú šifrované,“ uzatvára Peter Rakšány.

Kde sú peniaze, tam sú útoky

„Sociálne inžinierstvo je z technologického hľadiska triviálne jednoduché, ale aktuálne je to jeden z najväčších problémov kybernetickej bezpečnosti,“ varuje Milan Pikula, zástupca riaditeľa Národného centra kybernetickej bezpečnosti SK-CERT. Tento fenomén stojí za drvivou väčšinou kybernetických útokov a miliónovými škodami. Zneužíva ľudskú naivitu, súcit, obavy, ale aj chamtivosť.

Je takmer nemožné ho eliminovať. A prečo odborníkom „uniklo“ sociálne inžinierstvo a vymklo sa? „Nestačí kúpiť škatuľu alebo napísať lepší softvér, treba vymeniť človeka. Ľudská psychika funguje stáročia rovnako,“ vysvetľuje Milan Pikula.

Pre klasický marketing totiž platí množstvo obmedzení, ktoré zakazujú manipulatívnu reklamu a podprahové vnemy. Kybernetická kriminalita, naopak, pracuje vo phishingových kampaniach presne s tými najzraniteľnejšími časťami vedomia a podvedomia.

Halier k halieru

V reálnom živote je oveľa menej spôsobov, ako nám niekto môže predať predražené hrnce alebo kradnuté auto. A tak najväčším problémom dneška, ktorému dominuje masívne využívanie umelej inteligencie na útok aj obranu, nie je auto hacknuté z letiaceho dronu.

Problémom sú obyčajné podvodné stránky a telefonáty. Lákajú od používateľov osobné údaje obratom použité na nákup tovarov a služieb na druhom konci sveta či prístupové heslá. Skutočnou zlatou baňou pre kybernetickú kriminalitu je masa bežných ľudí používajúcich internet.

(Natívna informácia)

Stredobodom pozornosti hackerov pritom nebývajú iba zákaznícke údaje, ale skrátka všetky dáta, ktorú môžu speňažiť – či už predajom tretej strane, alebo vydieraním obetí.

Zmena filozofie

Ochrana dát sa preto popri zrýchľovaní digitalizácie a zintenzívňovaní kybernetických útokov dostáva do centra pozornosti aj v organizáciách, ktoré jej doteraz nevenovali adekvátnu pozornosť.

Jeden z konceptov zabezpečenia dát sa nazýva zero trust. Zjednodušene hovorí o tom, že organizácia by mala apriori nedôverovať všetkým používateľom a zariadeniam, ktoré do jej systémov a sietí vstupujú a ktoré sa v nich „pohybujú“.

Princíp nikomu a ničomu never a všetko preveruj vyzerá zdanlivo jednoducho, ale v praxi ho nie je také ľahké zaviesť. Nejde totiž o žiadnu samostatnú technológiu či riešenie, ale skôr o filozofiu spojenú so starostlivým plánovaním a strategickým prístupom k bezpečnosti technológií a dát.

Piliere zero trust na sieti

Základným stavebným kameňom konceptu zero trust je kontrola všetkých používateľov a zariadení, ktoré do siete pristupujú. Každý používateľ – nielen z radov zamestnancov, ale aj partnerov či zákazníkov – by mal mať pre prístup do systémov vytvorenú vlastnú identitu. Dôležité je pritom prístupy nielen identifikovať, ale tiež zabezpečiť, aby jednotliví používatelia mohli pristupovať iba k dátam, ku ktorým majú oprávnenie.

Pre zabezpečenie riadených prístupov sa používajú systémy Identity Access Management (IAM) a Priviledged Access Management (PAM). Kým IAM zabezpečuje overenie a identifikáciu, PAM rozdeľuje prístupy podľa privilégií a, obrazne povedané, rozhoduje, kam koho pustí. Okrem nich sú to tiež technológie pre viacfaktorovú autentifikáciu či šifrovanie, segmentáciu siete a zabezpečenie vzdialených prístupov cez takzvané Security Access Service Edge (SASE).

Čo sa deje v sieti

Okrem zavedenia riadeného prístupu používateľov a zariadení k systémom a dátam je však pre čo najspoľahlivejšiu ochranu dát kľúčové vedieť, čo sa deje v sieťovej infraštruktúre. Súčasťou konceptu zero trust by preto nevyhnutne mala byť aj schopnosť identifikovať rôzne podozrivé udalosti a anomálie v sieťovej prevádzke, v prípade, že dôjde k prelomeniu popísaných ochrán.

Sústrediť sa na bezpečnosť siete je logické aj preto, že takmer všetky údaje sú dnes prístupné práve cez sieť. Ak teda dokáže organizácia identifikovať a vyhodnotiť podozrivé udalosti v sieti v reálnom čase, a to vrátane zašifrovaných prenosov, výrazne zvyšuje šance zabrániť neoprávneným prístupom k dátam ešte pred tým, ako nastanú.

O kontinuálny monitoring siete v internom, vo virtuálnom aj v cloudovom prostredí sa starajú špeciálne riešenia Network Detection and Response (NDR), ktoré dokážu identifikovať škodlivé aktivity už v zárodku, a to bez ohľadu na to, či prichádzajú zvonku alebo zvnútra organizácie. Bonusom je možnosť monitoringu výkonnosti aplikácií a dostupnosti služieb na sieti.

Automatizované reakcie

V neposlednom rade by dôležitým prvkom v koncepte zero trust mala byť automatizácia. Keďže podozrivých a potenciálne nebezpečných udalostí v sieti je neúrekom, ideálne je spracúvať informácie prichádzajúce zo sieťovej prevádzky s nástrojmi pre automatizovanú odozvu na škodlivé aktivity, napríklad ich zablokovaním v reálnom čase.

Tie by mali zabezpečiť, aby reakcie na incidenty neboli príliš zdĺhavé, alebo dokonca žiadne. Schopnosť rýchlej detekcie a reakcie je vo svete IT bezpečnosti kľúčová, lebo práve pre neskorú odpoveď útočník získava priestor a čas na kroky, ktoré vyúsťujú do vážnych incidentov v podobe úniku či zašifrovania dát. Vtedy už má útočník eso v rukáve, takže môže obeť vydierať a žiadať výkupné, alebo skúšať dáta predať tretej strane.

Roman Čupka, hlavný konzultant spoločnosti Flowmon a CEO Synapsa Networks

 

(Špeciálny projekt)

Nové služby, staré problémy

Rovnako ako v prípade tradičných technologických infraštruktúr, aj používanie aplikácií cez SaaS môže pre spoločnosti predstavovať značné riziká. Medzi najvýznamnejšie riziká patrí kompromitácia osobných a inak citlivých dát, ich strata, prípadne vystavenie nadmernému zdieľaniu. Aplikácie môžu mať odstávky a sú ohrozené zraniteľnosťou a šíriacim sa malvérom.

Dôležité je monitorovať riziko nesúladu s predpismi a so zákonmi na ochranu osobných údajov, ako sú všeobecné nariadenie o ochrane údajov Európskej únie, štandard bezpečnosti údajov odvetvia platobných kariet, profesijné a kvalitatívne štandardy, požiadavky národných legislatív o kybernetickej bezpečnosti a osobných údajoch. Pre organizácie je životne dôležité tieto riziká vnímať a podniknúť maximum krokov na ich odstránenie, respektíve minimalizáciu.

Tradície nestačia

Ak v minulosti chcela organizácia zodpovedne chrániť údaje o svojej technologickej infraštruktúre a používateľoch, väčšinou pristupovala k nasadeniu rôznych bezpečnostných nástrojov vo vlastnej sieti.

Pri využívaní cloudu a modelu SaaS sú však aplikácie a dáta spoločnosti uložené v infraštruktúre tretích strán a zamestnanci zákazníka majú možnosť k nim pristupovať kedykoľvek, kdekoľvek a z ľubovoľného zariadenia. Tradičný prístup k bezpečnosti prestáva stačiť, a to z niekoľkých dôvodov.

V modeli SaaS nemajú správcovia siete spoločnosti prehľad o technologickej infraštruktúre dodávateľa ani o uchovávaní a zabezpečení. V praxi to znamená, že väčšina klasických bezpečnostných procesov a nástrojov používaných na zabezpečenie lokálnej technológie spoločnosti sa pre aplikácie SaaS nedá nasadiť, respektíve nebudú fungovať.

Organizácie majú menej možností, ako monitorovať a kontrolovať, ktoré aplikácie sú prístupné či kto ich používa, a kontrolovať, aké údaje sa nahrávajú a kde sa sťahujú.

Prvá generácia ochrany

Na negatíva kyberbezpečnosti pre model SaaS reaguje nástup poskytovateľov cloudovej bezpečnosti, takzvaný Cloud-Access Security Brokers (CASB). Ide o dodávateľov riešení, ktoré poskytujú isté body vynucovania bezpečnostných politík, nezávislých od samotnej aplikácie.

Ako virtuálna oblasť medzi poskytovateľom cloudových služieb a jeho používateľmi poskytuje ovládacie prvky bezpečnostnej politiky pre aplikácie SaaS a vynucuje dodržiavanie zásad riadenia a ochrany údajov v rôznych prostrediach.

Štandardné riešenia CASB sú však prevádzkovo zložité a znamenajú pre organizáciu relatívne vysoké náklady. Neposkytujú už jednotný prístup k politike ochrany údajov, ktorý konzistentne pokrýva cloudové aplikácie, fyzickú sieť, vzdialených používateľov a všetky koncové body. Riešia iba časť problému a vyžadujú ďalšie nástroje pre komplexný bezpečnostný manažment.

Nastupuje nový trend

Pokročilú ochranu dát a konzistenciu cloudových aplikácií priniesla až nová generácia riešení. Trhovým lídrom sa stalo riešenie Prisma SaaS spoločnosti Palo Alto Networks.

Komplexne rieši požiadavky organizácií na zabezpečenie cloudového prístupu (CASB) a poskytuje pokročilé funkcie na zisťovania rizík, prevenciu straty údajov, zabezpečenie súladu s predpismi, správu údajov, monitorovanie správania používateľov a rozšírenú prevenciu hrozieb. Rešpektuje požiadavku ochrany multi a hybridných cloudových prostredí a cloudových natívnych aplikácií s tým, že kombinuje ich zabezpečenie počas celého životného cyklu.

Vladimír Mlynarčík, riaditeľ pre región Českej a Slovenskej republiky Clico

Nová generácia cloudovej bezpečnosti

• Zabezpečenie aplikácií, dát a používateľov mimo podnikových priestorov, v cloude a na vzdialených miestach.
• Detekcia a ochrana citlivých dát medzi firemnými sieťami, používateľmi a poskytovateľmi SaaS.
• Súlad bezpečnostných politík s legislatívnymi a priemyselnými predpismi bez ohľadu na to, kde sa regulované údaje pohybujú a kde sa nachádzajú.
• Monitoring a riadenie správania používateľov a minimalizácia potenciálnych bezpečnostných alebo Shadow IT rizík.
• Žiadne medzičlánky, riešenie je plne integrované do existujúcej bezpečnostnej infraštruktúry.
• Nízke celkové náklady spojené s vlastníctvom počas lehoty životnosti.

(Špeciálny projekt)

Firmy a inštitúcie majú pri získavaní osobných údajov povinnosť poskytovať nám aj informácie o ich  spracúvaní. „Ľudia vďaka tomu zisťujú, kto, v akom rozsahu a na aký účel o nich osobné údaje spracúva,“ hovorí na základe skúseností lektorka Marcela Macová zo spoločnosti DAPRO Consulting.

Ak má teda ktokoľvek podozrenie, že došlo k porušeniu jeho práv pri spracúvaní osobných údajov, môže podať Úradu na ochranu osobných údajov  návrh na začatie konania. Silnejúce povedomie potvrdzuje aj hovorkyňa úradu Lucia Bezáková: „V roku 2020 sme začali celkovo 219 správnych konaní, pričom 138 bolo na návrh dotknutej osoby.“

K tomu medziročne rastie aj výška pokút uložených úradom. Minulý rok to bolo päťdesiatštyri pokút za porušenie právnych predpisov v súhrnnej výške 103 300 eur. Od troch stovák za neoprávnené  zverejnenie osobných údajov až po 20-tisíc eur za porušenie zásady transparentnosti a minimalizácie uchovávania.

Brutálne čísla

Tri roky s GDPR v Európskej únii, Spojenom kráľovstve, Nórsku, Islande a Lichtenštajnsku priniesli viac ako 281-tisíc hlásených únikov informácii. Výška pokút 272,5 milióna eur, pričom absolútnymi rekordérmi sú Taliansko a Nemecko, ktoré udelili po 69-miliónov eur. Najväčšie pokuty padli v segmente technológií, kde sa 50-miliónmu drží na prvej priečke Google, ktorému ich udelil francúzsky regulátor za „personalizovanú reklama a porušenie transparentnosti“.

Podľa mienky nemeckého úradu zas obchodný reťazez H&M zhromažďoval „príliš osobné údaje zamestnancov“ a túto aktivitu ohodnotili na 35,3-milióna pokuty. Agresívny marketing, neplatné zhromažďovanie súhlasov, nadmerné uchovávanie údajov stál talianskeho operátora 27,8-milióna eur.

Rast povedomia o ochrane osobných údajov sa premieta nielen do pokút, ale aj do záujmu organizovanej kybernetického zločinu. Cena za jeden dátový set obyvateľa EU patrí na darknete k najvyšším a predstavuje priemerne 25 eur. Pre porovnanie - za rovnaký dátový set obyvateľa Spojených štátov sa platí iba osem eur.

Spolužitie s nariadením

Vysvetľovacia etapa a ustálenie pojmov v legislatívnom prostredí trvali na Slovensku vyše roka a všetkých zaplavili najmä výstrahy pred pokutami a množstvo administratívy. V druhej etape dominovali témy, ako a kedy je potrebný a vhodný súhlas ako právny základ pre spracúvanie osobných údajov, ako správne nastaviť vzťahy v e-shopoch a medzi správcami a majiteľmi bytových a nebytových priestorov.

Implementácia nariadenia si vyžiadala vo firmách nemalé investície do analýz a zmien informačných systémov a procesov. „Technické, procesné a organizačné opatrenia boli zamerané na kontrolu a manažment dát a, samozrejme, ich ochranu. Implementačný projekt sa dotkol každého oddelenia a školenia a workshopy absolvovali všetci zamestnanci. Vyžiadal si rádovo státisícové investície a tisícky hodín ľudskej práce,“ hovorí Henrich Šnajder manažér IT bezpečnosti Orange Slovensko.

Zaťažkávacia skúška

Pandemický rok priniesol rýchle úpravy legislatívy, ktorá nie vždy rešpektovala aj ochranu a spracúvanie osobných údajov v miere, ako by to bolo možné a potrebné. Nastolil aj otázky, kto a v akom rozsahu môže spracúvať zdravotné osobné údaje, a upozornil v tejto súvislosti na pracovnoprávne vzťahy. Či už ide o testovanie, preukazovanie sa certifikátom, očkovanie alebo covid pasy.

Odborník na ochranu údajov Miroslav Ilavský zo spoločnosti i-Secure ide ešte ďalej a hovorí o tom, že „štátne a verejné inštitúcie u nás nemajú vytvorené podmienky na to, aby zabezpečili riadny súlad s GDPR a sú dlhodobo podfinancované. Na mýtus, že Slovenská republika dostatočne implementovala nariadenie vo svojich organizáciách, by sme mali zabudnúť.“

Výhodná komodita

Osobné údaje sú všade vo svete cieľom prepracovaných zločineckých aktivít. „Kybernetické útoky sa podieľajú na porušení ochrany osobných údajov stále vyššou mierou,“ upozorňuje Martin Oczvirk z Úradu na ochranu osobných údajov.

V minulom roku bolo hlásených na Slovensku 107 porušení ochrany osobných údajov (data breach), z toho takmer štvrtina kybernetické útoky. „Najčastejšie ide o ransomvérové útoky, čiže zašifrovanie dát a vydieranie. Ak bude tento trend pokračovať, tak to odhadujem na minimálne štyridsať útokov v tomto roku,“ varuje Martin Oczvirk.

Čoho sa vyvarovať

„Vo všeobecnosti je na Slovensku ešte stále veľmi citlivo vnímané rodné číslo,“ hodnotí Lucia Bezáková. A keďže rodné číslo je častým identifikátorom fyzickej osoby, tak jeho spracúvanie a ochrana sú aktuálne, až kým nebude nahradený inou formou.

„Osobným údajom, ktorý je potrebné chrániť, nie je iba meno a priezvisko, ale aj fotografia, video, pracovný e-mail, online identifikátor a iné. V prípade implementácie GDPR v spoločnostiach tam vidím stále nedostatky pri strete s realitou,“ dopĺňa Marcela Macová.

Senzitívnou témou pre obyvateľov, firmy, obce aj organizátorov podujatí sú kamerové záznamy, kam patrí aj zaznamenanie zvuku. Je veľmi citlivo vnímané, ak niekto takéto záznamy vyhotovuje, na aký účel a komu ich poskytuje.

Slepé miesta

„Povinnosti vyplývajúce z GDPR sú v praxi mnohokrát nevykonateľné, prípadne spojené s nadmernou byrokratickou záťažou,“ hovorí Marcela Macová a hneď upresňuje: „Respektíve povinnosti sú vykonateľné niekedy za cenu veľkých finančných nákladov.“

Boľavým miestom ochrany osobných údajov je totiž súčasný právny stav  pri používaní služieb technologických gigantov, akými sú Microsoft, Google či Amazon, ktoré majú úložiská mimo EÚ. Jedna vec je zdieľanie dát s cieľom inovácií, druhou je možnosť mať dosah na dáta európskych firiem a používateľov sociálnych sietí v amerických cloudoch.

Transatlantický problém

Súdny dvor EÚ vyhlásil v júni 2020 za neplatný dokument Privacy Shield. Práve tento „Štít na ochranu“ predstavoval rámec na prenos osobných údajov medzi EÚ a USA a ich komerčné spracovanie. 

„Spojené štáty sa pokladajú za krajinu, ktorá neposkytuje záruky pre dostatočnú ochranu osobných údajov,“ vysvetľuje Peter Kováč z Americkej obchodnej komory s poukázaním na diskrepanciu medzi právomocami spravodajských služieb v USA a nariadením na ochranu osobných údajov v EÚ. Dátový tok cez Atlantik sa však nezastavil, časť firiem akceptuje určitú mieru rizika a regulátori prejavujú v tomto prípade značnú zhovievavosť. Najpoužívanejším riešením sa javí prenos údajov na základe štandardných zmluvných doložiek medzi správcom a poskytovateľom s použitím silného šifrovania a pseudonymizácie. A rokovania na oboch brehoch pokračujú.

Biznis nepočká

Z praktického hľadiska treba pri uzatváraní zmlúv vedieť, kde sa nachádzajú servery poskytovateľa. „Ak je to možné, je vhodné zmluvne dohodnúť, že vaše dáta budú umiestnené na serveroch v EÚ. Takúto službu poskytuje mnoho zahraničných poskytovateľov,“ radí Peter Kováč.

V prípade serverov mimo EÚ je potrebné posúdiť, či sú prijaté opatrenia, ktoré poskytnú vhodnú ochranu údajom. Treba si
overiť, či sú dáta na serveroch zašifrované a či má poskytovateľ služieb z technického hľadiska možnosť rozšifrovať ich bez toho, aby o tom vedel správca.

Treba sa poradiť

„Zatiaľ vysoké pokuty za porušenia nepadajú, tak aj firmy sa tomu prispôsobili a neriešia, čo ich nepáli,“ hodnotí stav najmä v malých a stredných firmách Miroslav Ilavský. „Aj po troch rokoch ešte stále vnímam ako výzvu dosiahnuť praktickú ochranu osobných údajov u prevádzkovateľov, aby to nebolo len niečo deklarované na papieri v dokumentácii.“

Ochrana osobných údajov podlieha dynamickému vývoju a je nutné aktívne sledovať oficiálne usmernenia regulátorov a právne názory súdov členských krajín aj Súdneho dvora EÚ. Odborný poradca musí preukázať skúsenosti aj odbornosť, a preto sa stále častejšie hovorí o certifikácii poradcov v oblasti ochrany osobných údajov.

(Špeciálny projekt)

Podniková odolnosť

Kybernetická odolnosť je súčasťou vyššej nadstavby - podnikovej odolnosti.  Odolnosť v tomto kontexte predstavuje schopnosť vyrovnať sa so strategickým, finančným, prevádzkovým a informačným rizikom tak, aby zostal zachovaný rast podnikania, ziskovosť a priebežná modernizácia.

Kontinuita podnikania umožňuje pokračovať v hlavnom podnikaní aj počas katastrofy, útoku alebo iného zásahu. Dobrý plán obnovy po havárii obsahuje stratégiu na zachovanie kybernetickej odolnosti aj počas takejto udalosti alebo iných okolností, ktoré ohrozujú kritické systémy.

Pripravme sa na to najhoršie

Kľúčom k budovaniu podnikovej odolnosti je nastaviť "tlmiče", ktoré umožnia priebežnú prevádzku, kontakt so zákazníkmi a neprerušenú transformáciu podniku aj počas krízy. Plne digitalizované organizácie dokázali aj počas pandémie COVID-19 vykonať rýchly obrat, vyriešiť problémy s dodávateľmi aj zákazníkmi a ponúknuť inovatívne produkty a služby.

Budovanie kybernetickej odolnosti preto zahŕňa prípravu a reakciu na kybernetické hrozby a zotavenie sa z nich. Organizácia odolná voči kybernetickým útokom sa dokáže adaptovať na známe aj neznáme krízy, hrozby, nepriaznivé podmienky a výzvy. Konečným cieľom kybernetickej odolnosti je pomôcť organizácii prosperovať aj za nepriaznivých podmienok, akými sú kríza, pandémia, či finančná volatilita.

Svetlá stránka digitalizácie

Dodávatelia kvalitných bezpečnostných riešení vytvárajú analytickú nadstavbu na báze umelej inteligencie ako nástroje na realizáciu kybernetickej odolnosti. Vzniká tak nová platforma CyberResilient.com, ktorá poskytuje manažérom bezpečnosti strategické výstupy a inteligentné nástroje na hodnotenie operačného rizika. Konečným cieľom je však ponúknuť dôveryhodný zdroj na plány a operatívu v kybernetickej a podnikovej odolnosti celému top manažmentu.

Dobrá stratégia kybernetickej odolnosti chráni systémy, aplikácie aj dáta. Treba zabezpečiť, aby k systémom mali prístup len oprávnení používatelia, ktorých pohyb sa priebežne sleduje vďaka robustnému manažmentu identít. Organizácia musí byť schopná odhaľovať zraniteľné miesta vo svojich aplikáciách a nájsť všetky slabé miesta, ktoré by mohli byť zneužité. Do tretice je to ochrana osobných údajov a najvyššia miera bezpečnosti informácií o zákazníkoch, zamestnancoch a duševnom vlastníctve.

Evolučný bod

Predvojom kybernetickej odolnosti sú takzvané NextGen (Next Generation) bezpečnostné operačné centrá (Security Operation Center). Štandardné SOC detekuje incidenty sledovaním technických udalostí v sieťach a systémoch a zároveň je zodpovedné za reakciu na incidenty a ich riešenie. Vo veľkých podnikoch sa niekedy zameriava iba na monitorovacie a detekčné služby a riešenie incidentov odovzdávajú jednotkám, ktoré sú na to špecializované.

Nová generácia SOC už berie do úvahy biznis, ľudské, procesné a technologické aspekty tak, aby boli v súlade s podnikaním či poslaním organizácie. Ich ďalším parametrom je schopnosť merať účel bezpečnostného operačného centra a jeho prínos k zlepšeniu bezpečnostnej pozície organizácie. Tradičný SOC je totiž zvyčajne viac zameraný iba na meranie svojej produktivity a výkonu.

Kľúčovým diferenciátorom NextGen je však viacvrstvová analytika, kde viaceré nástroje poskytujú štruktúrované prehľady. Zahŕňajú koreláciu v reálnom čase, modelovanie vzťahov, aj strojové učenie. V neposlednom rade by malo NextGen SOC automatizovať rôzne činnosti, ktoré často vykonávajú analytici a správcovia a „oslobodiť“ ich od nich, aby mohli naplno venovať tomu, či je pre nich prioritné.

O krok vpred

Odhalene kybernetického útoku je náročná úloha, pretože útočníci sa zlepšujú a uplatňujú čoraz dokonalejšie utajené spôsoby prieniku, či už ide o externé hrozby alebo vo vnútri organizácie. Do odhalenia a ošetrenia prieniku uplynie priemerne 280 dní. Počas tohto času útočníci môžu kradnúť alebo likvidovať údaje alebo dokonca poškodzovať samotné systémy bez toho, aby o tom niekto vedel.

Ochrana, detekcia, rozvoj

Ak má organizácia reálne odhaľovať bezpečnostné riziká, musí mať v prvom rade dobrý prehľad o svojich dátach a ich umiestnení. Mapovaním dát nielen definuje ich hodnotu, ale umožňuje aj ich manažment v súlade s legislatívou.

Dôležitou zložkou kybernetickej odolnosti je schopnosť adaptovať sa, meniť bezpečnostné nastavenia a priebežne reagovať na hrozby. Organizácia odolná voči kybernetickým útokom dokáže predvídať vektory útoku vďaka modelovaniu hrozieb a pracuje na ich ošetrení skôr, než sa stanú zraniteľnosťou.

Tamer El Reaey a Anna Stehlíková, Micro Focus

 

(Špeciálny projekt)

Najčastejšia otázka, ktorú dostávam v ostatných týždňoch, je tip na vhodného kandidáta na manažéra kybernetickej bezpečnosti. Lenže – táto profesia si vyžaduje rozsiahle pracovné skúsenosti, širokú kvalifikáciu a silné vodcovské a komunikačné schopnosti. „Bezpečáci“ nerastú na stromoch. Trvá celé roky, kým sa z absolventa vysokej školy stane manažér použiteľný v praxi. Ak započítam svoje desiatky rokov v praxi a trúfnem si na profesiu futorológa, vývoj by mohol mať nasledujúce scenáre.

Scenár idealisticko-romantický: Viaceré stredné školy zavedú študijné odbory zamerané na kybernetickú bezpečnosť. Relevantné vysoké školy okamžite požiadajú o akreditáciu študijných predmetov, odborov a programov v kybernetickej bezpečnosti a už za tri-štyri roky začnú zásobovať pracovný trh desiatkami absolventov. Vznikne systematické celoživotné vzdelávanie a niektorí IT profesionáli sa „rekvalifikujú“ na manažérov kybernetickej bezpečnosti. Ministerstvo školstva zriadi útvar, ktorý sa bude naplno venovať podpore vzdelávania informatiky na základných školách a programom zvyšovania bezpečnostného povedomia detí a mládeže. Svet sa dramaticky zmení a všetci budeme na seba dobrí.

Katastrofický scenár: Aj keby všetci súčasní absolventi príslušných fakúlt ihneď po štátniciach nastúpili do tohto odboru, potreby sa nenaplnia ani do desiatich rokov. Prácu manažérov kybernetickej bezpečnosti bude naďalej vykonávať pár desiatok starnúcich profesionálov. Noví budú prichádzať do branže len postupne, najmä z radov informatikov, ktorí v korporáciách a samovzdelávaním získali skúsenosti v oblasti riadenia bezpečnostných procesov, reportingu, riešenia incidentov, riadenia rizík a aj prezentačné zručnosti.

V tomto scenári navyše hrozí nebezpečie, že manažérmi kybernetickej bezpečnosti budú aj málo kvalifikovaní ľudia, ktorí len „podliezli“ výberové kritériá. Naďalej sa bude zvyšovať dopyt, ponuka klesá, nožnice sa roztvárajú. Túto situáciu radi využijú šikovní konjukturalisti, ktorí sa takpovediac ráno po zobudení rozhodli, že už sú „experti“.

Ale aby som neskončil príliš pesimisticky - ako možno vyrobiť zdatného manažéra kybernetickej bezpečnosti? Zo študentov informatiky a elektrotechniky, z IT správcov, z vývojárov aplikácií, ktorí dokážu čo najskôr získať tzv. mäkké zručnosti. Alebo z absolventov manažérskych a ekonomických odborov, ktorí potrebujú získať viac technických vedomostí.

To, čo však Slovensko rozhodne potrebuje, je nová krv do kybernetickej bezpečnosti.

Ivan Makatura, Kompetenčné a certifikačné centrum kybernetickej bezpečnosti

Ako sa nás týka kybernetická bezpečnosť?

​

(Špeciálny projekt)

Potrebami trhu práce a požiadavkami na kompetencie a kvalifikácie zamestnancov v sektore IT a elektronických komunikácií sa zaoberá príslušná sektorová rada. „Rada navrhuje a klasifikuje nové povolania v oblasti kybernetickej bezpečnosti, čo umožňuje zaradiť ich do zamestnaneckých štruktúr, stanovovať platy, otvárať študijné odbory a akreditácie, ale aj sledovať uplatnenie absolventov a štatistiky,“ vysvetľuje Martin Gymerský, tajomník rady.

Pozrime sa pravde do očí

Agentúra EÚ pre kybernetickú bezpečnosť ENISA vytvorila interaktívnu mapu a overenú databázu vysokoškolského vzdelávania (Cybersecurity Higher Education Database) v členských krajinách. Slúži ako referenčný bod pre širokú verejnosť aj motivácia pre študentov, ak vyhľadávajú vysokoškolské štúdium v kybernetickej bezpečnosti. Dáva to obraz, ako zodpovedne sa školstvo a vláda stavajú k tejto oblasti. Spolu 125 programov, 24 krajín.

S počtom 23 vzdelávacích programov je lídrom Španielsko, nasleduje Taliansko. Susedné krajiny, čiže Česká republika má štyri programy, Rakúsko jedenásť, Maďarsko dva. Skráťme to však. Slovensko sa na tejto mape nenachádza. Teda nachádza sa, ale nevykazuje ani jeden vzdelávací program.

Na zozname prestížnych univerzít, ktoré sa špecializujú na kybernetickú bezpečnosť, sa najčastejšie prezentujú tie zo Spojených štátov,  Spojeného kráľovstva a – pozornosť púta Estónsko. Krajina zažila masívny kybernetický útok a zobrala vzdelávanie v tejto oblasti vážne. Technická univerzita v Tallinne okrem študijných programov vytvára aj priestor pre vedu a výskum. Kvalitu ocenila Severoatlantická aliancia aj tým, že v Estónsku má sídlo centrum excelentnosti pre kybernetickú obranu.

Tí najlepší

Prax si však nemôže dovoliť čakať na študijné programy. „Pokiaľ ide o vzdelanie v kybernetickej bezpečnosti, tak tradične poskytujú kvalitných absolventov obe fakulty informatiky, ktoré patria pod Slovenskú technickú univerzitu,“ hovorí Peter Dostál, generálny riaditeľ Aliter Technologies, a pripájajú sa k nemu aj ďalší zamestnávatelia. Na východe je „liahňou“ špecialistov Technická univerzita. Niekedy kandidát nemusí mať ani vysokú školu, ak sa problematike aktívne venuje, je zanietencom, vyhľadáva si informácie, študuje si oblasti a témy.

S týmto tvrdením súhlasí aj Ján Adamovský zo Slovenskej sporiteľne, ktorý predstavuje v brandži oceňovanú autoritu: „Nedá sa presne špecifikovať, odkiaľ prichádzajú tí najlepší, u nás v banke pracujú nadaní ľudia z rôznych univerzít. Dôležitá je zvedavosť, ochota učiť sa nové veci, dynamika, schopnosť pracovať pod časovým stresom a prebrať zodpovednosť.“

Nič prekvapivé

Pri bezpečnostných profesiách je veľmi dôležité analytické zmýšľanie, schopnosť posúdiť riziká, vidieť veci v širšom spektre a súvislostiach. „Potrebné sú však aj prezentačné zručnosti, rozvaha, zmysel pre detail, aby bol adept správne a zdravo zvedavý a vytrvalý,“ upozorňuje Peter Dostál.

Potrebu porozumenia akcentuje aj headhunter Slavomír Bača z portálu robime.it: „Bezpečák je človek, ktorý sa vyzná v spleti zákonov, noriem a štandardov  a ich dôležitosť by mal vysvetliť tým, ktorí ho platia. Nielen vystrašiť všetkých, ale dobre vyhodnotiť a odkomunikovať bezpečnostné riziká, pravdepodobnosť vzniku a ich dosah v konkrétnej spoločnosti.“ V bezpečnosti sa nedá kopírovať, ale treba nájsť riešenie účinné v danom prostredí.

Náročná oblasť, rafinovaný mix

Zo všetkých dimenzií kybernetickej a informačnej bezpečnosti by mal dobrý „bezpečák“ výborne ovládať aspoň jednu oblasť, napríklad technickú alebo analytickú, a v tých ostatných by mal mať kvalifikovaný prehľad. „Je prakticky nemožné, aby bol niekto top expert vo všetkých doménach kybernetickej bezpečnosti a ešte k tomu aj skvelý manažér a komunikátor,“ hodnotí Martin Florián, poverený riadením Sekcie kybernetickej bezpečnosti na Ministerstve investícií, regionálneho rozvoja a informatizácie. „Takúto spôsobilosť je možné v plnosti vyskladať iba na úrovni tímu a komunity.“

Ján Adamovský má na to ďalší malebný príklad: „Sú dva typy dobrých bezpečákov – takí, čo radi jazdia na motorke a skáču z padáka, a potom takí, ktorí nesadnú do ničoho, čo má menej ako štyri kolesá. V dobrom tíme ich potrebujete oboch.“

Hodnota skúseností

Štandardne najväčší záujem na personálnom trhu IT je o programátorské pozície. „Ak hľadáme ľudí na bezpečnosť, tak väčšinou sú to technické roly, ako je správa systémov pre monitorovanie bezpečnosti, sieťová bezpečnosť, penetrační testeri a systémoví administrátori,“ vymenúva Slavomír Bača. Vysoko sa cení expertíza na bezpečnostnú architektúru, profesionáli so skúsenosťami s pentestingom a s prehľadom v hackerských útokoch.

„V súkromnom sektore vyžadujeme takmer multiprofesijných ľudí. Vychádzame zo skúseností, že nájsť dostatočné množstvo šikovných ľudí býva náročné. Často treba pokryť aj viaceré zručnosti naraz a výhodou je, že v tejto brandži nerozhoduje vek, ale odbornosť,“ vysvetľuje Annamária Balážová zo spoločnosti Alison Slovakia, ktorá vedie projektové tímy kybernetickej bezpečnosti.

Taký malý IT míľnik

Počínajúc týmto rokom je klasifikovaných päť zamestnaní pre bezpečnosť IKT, pričom sektorová rada garantuje tieto pozície a postupne tvorí jednotlivé národné štandardy zamestnaní. Na zverejnenie v sústave povolaní musí byť štandard schválený Alianciou sektorových rád. „Štandardy pre prvých päť profesií kybernetickej bezpečnosti budú zverejnené od apríla do júla 2021,“ predpokladá Martin Gymerský. 

Podľa vyhlášky Štatistického úradu SR už teda poznáme profesie riadiaci pracovník informačnej a kybernetickej bezpečnosti, špecialista informačnej a kybernetickej bezpečnosti, IT audítor, etický hacker a digitálny forenzný špecialista.

Dopyt prevyšuje ponuku

Žiadaní odborníci v kybernetickej bezpečnosti majú možnosť byť ohodnotení vyššie. Plat však vždy závisí od konkrétnej roly a s tým spojenými zodpovednosťami a požadovanými skúsenosťami. Hodnotenie stúpa od bezpečnostných analytikov vyššie k technickým špecialistom.

Dôležitým parametrom je však typ a veľkosť spoločnosti. „Príležitosti sú primárne vo finančných inštitúciách, v IT spoločnostiach poskytujúcich konzultačné, implementačné a audítorské služby, pobočkách zahraničných spoločností, ktoré majú na Slovensku centrá na monitoring bezpečnosť globálnej infraštruktúry. V rovnakej postupností rastú platy,“ uzatvára Slavomír Bača. 

A že to platí aj pre verejnú správu, potvrdzuje aj Martin Florián: „Tí, ktorí sú v tejto oblasti naozaj dobrí, skúsení a talentovaní, majú prakticky zabezpečenú profesionálnu budúcnosť na veľa rokov vopred.“

(Špeciálny projekt)

Dostupnosť verzus bezpečnosť

Priemyselné riadiace systémy neboli historicky navrhované s dôrazom na kybernetickú bezpečnosť. Majú plniť úlohy, ako im to obsluha naprogramovala, a mať dokonalú dostupnosť za každých podmienok. Postupná digitalizácia, nástup internetu vecí, snaha o efektívne manažovanie výroby a flexibilnú údržbu cez vzdialený prístup si však vyžiadali prepojenie s okolitým prostredím. V kybernetickej bezpečnosti tak vznikla osobitná oblasť – bezpečnosť prevádzkových technológií, alebo OT (operational technologies) bezpečnosť, ktorá sa zaoberá špecifickými rizikami. „Kým bezpečnosť v IT svete je dlhodobo a systematicky uchopená, priemyselné riadiace systémy či prevádzkové technológie sú z hľadiska bezpečnosti ešte len na začiatku,“ upozorňuje Tibor Paulen, manažér informačnej bezpečnosti Stredoslovenská distribučná, a. s.

Zatiaľ čo vo svete začali spoločnosti reagovať bezpečnostnými opatreniami na kybernetické hrozby už dávnejšie, na Slovensku sa tak stalo omnoho neskôr. „Veľakrát je iniciátorom zmeny práve incident, respektíve kybernetický útok,“ potvrdzuje Marián Trizuliak, architekt kybernetickej bezpečnosti Západoslovenská distribučná, a. s.

Bolestivá súčasnosť

Prevádzkové technológie a priemyselné riadiace systémy boli vždy náročné na počiatočnú investíciu a prevádzka si vyžaduje vysoko kvalifikovaný personál. Takže kto by chcel zasahovať do stabilného, efektívneho a spoľahlivého komplexu ďalšími opatreniami? Prichádza však k rúcaniu perimetra, nárastu využívania vzdialených prístupov a decentralizácii zariadení. Zároveň rastie geopolitická agresivita a využívanie kybertechnológií na priemyselnú špionáž. Takže v konfrontácii zabehnutých pohodlných riešení a rastúcich ohrození je na zváženie riešenie v podaní Mariána Trizuliaka, ktoré účinne

predchádza kríze: „Najdôležitejším momentom je buchnúť päsťou po stole a stanoviť kybernetickú bezpečnosť ako jednu z priorít v spoločnosti. Najlepšie je postupovať v súlade so štandardmi ISO – identifikovať, klasifikovať, chrániť a monitorovať.“ Ku kolegom pripája názor aj Marián Kľačo, vedúci oddelenia bezpečnosti informácií Volkswagen Slovakia: „Informačná bezpečnosť sa stáva súčasťou operatívy. Je to dôsledok evolučného priemyselného vývoja, konkurenčného boja, akceleračného covidového roku a najmä čoraz agresívnejších útokov.“

Komplexita rastie

Novodobé priemyselné riadiace systémy sú na Slovensku v prevádzke viac ako desať rokov a historicky najstaršie systémy sú funkčné aj 15 rokov. Životný cyklus prevádzkových technológií je teda podstatne dlhší ako životný cyklus informačných technológií. S cieľom bezpečnosti si musia porozumieť dva odlišné svety. „Priemyselné systémy nemajú zaužívaný dizajn bezpečnosti tak, ako ho poznáme z IT prostredia,“ upozorňuje Roman Čupka, hlavný konzultant spoločnosti Flowmon a CEO Synapsa Networks. Dôraz sa kladie na ich funkčnú prevádzku pre zaistenie kritických služieb. „Tým sa však systémy stávajú ešte zraniteľnejšie.“ Veľká časť bezpečnostných hrozieb prichádza z IT prostredia, odkiaľ sa útočníci zvyčajne dostávajú k slabšie zabezpečeným priemyselným riadiacim systémom. Problém však nemusí byť iba v slabých miestach a bezpečnostných dierach či v chýbajúcej univerzálnosti nástrojov na ochranu, ale aj v prístupe vrcholových manažérov a silnej generácie, ktorá tieto systémy budovala. „V praxi sa nám osvedčilo, že na presadenie bezpečnostných opatrení sú kľúčové dva faktory, a to finančné zdroje, ako aj dôvera operatívy a manažmentu, vďaka čomu sa nám darí úspešne riešiť mnohé úlohy,“ potvrdzuje skúsenosti Marián Kľačo. Do hybridného ekosystému informačných a prevádzkových technológií sa bude pripájať čoraz viac riešení, a teda aj partnerov. „V energetike dôjde k zmene paradigmy riadenia distribučnej siete od izolovaného centralizovaného systému k decentralizovanému systému – SmartGrid,“ vypočítava Tibor Paulen, a hneď dodáva: „Koľko nových subjektov a partnerov sa tak stane súčasťou našej bezpečnosti a akú budú mať motiváciu, aby spolupracovali?“

​Krok vpred

Účinnou metódou je prediskutovať si incidenty, ktoré sa v podobných spoločnostiach už udiali, a skúsiť si predstaviť, ako by to dopadlo práve v danej organizácii. „Táto téma musí byť spoločnou agendou bezpečnostných špecialistov, odborníkov na priemyselné systémy, manažérov zodpovedných za riadenie rizík, topmanažmentu a štátu,“ dodáva Roman Čupka.

Na základe simulovaného incidentu by sa mali identifikovať slabé miesta a zároveň najúčinnejšie riešenia. Pri ich navrhovaní sa však treba zameriavať nielen na výber bezpečnostnej platformy, ale aj na súvisiace procesy – ako incidentom predchádzať, ako na ne reagovať a ako obnoviť prevádzku. A opakovane a pravidelne testovať ich odolnosť. 

Prečo ho urobiť rázne

Rastúce riziká pre prevádzkovateľov kritickej infraštruktúry potvrdzuje aj štúdia firmy Claroty. „Počet hlásených zraniteľností v prevádzkových technológiách sa zvýšil v druhej polovici vlaňajška medziročne o štvrtinu,“ vysvetľuje Roman Čupka. Nejde pritom o triviálnosti. Tri štvrtiny zraniteľností majú vysoké alebo kritické CVSS skóre, ktorým sa označuje vážnosť slabín, a viac ako dve tretiny z nich sú zneužiteľné na diaľku. „Deväť z desiatich kritických zraniteľností nepotrebuje pre svoje zneužitie žiadne špeciálne podmienky,“ dodáva. V praxi to znamená, že vo väčšine prípadov ide o útoky, ktoré sa dajú vykonať na diaľku bez spolupráce s niekým vnútri organizácie. Efektívnejšia ochrana priemyselných riadiacich systémov je do budúcnosti nevyhnutná. Pri incidentoch totiž nehrozí iba prerušenie dodávok energií či vody. V stávke môže byť zdravie obyvateľov a základné služby štátu. Že ste ešte o žiadnom ohrození prevádzkových technológií nečítali alebo ste ho nezažili? Tibor Paulen to hodnotí aj z globálneho hľadiska: „Slovensko je pre potenciálnych útočníkov malé a nezaujímavé. To je však zároveň aj naša nevýhoda, pretože nám to dáva falošný pocit bezpečia.“

Internet vecí rastie každú sekundu

Hnací motor digitálnej revolúcie či mediálny IT boom. I tak by sme vedeli nazvať rastúci trend okolo IoT technológií. Čo sa však v skutočnosti skrýva za touto skratkou? Už dávno to nie sú iba senzory a rôzne „hlúpe“ IT zariadenia, ktoré sa primárne používajú v priemysle či veľkých spoločnostiach. Internet vecí vplýva aj na životy bežných ľudí a tieto zariadenia nájdeme v mnohých domácnostiach. Spravidla spoločnou črtou týchto zariadení je, že komunikujú. Či už je to komunikácia medzi osobou a strojom alebo medzi strojmi, nemali by sme zabúdať na bezpečnosť. Často sú tieto zariadenia obmedzené z hľadiska fyzických zdrojov, a tak je nemožné riešiť efektívne bezpečnosť na úrovni zariadenia. I keď je pravda iná, výrobcovia nevenujú bezpečnosti takú pozornosť ako funkcionalitám, a tak zvyčajne tieto zariadenia čelia úspešným útokom, hneď ako sa zjavia na internete. Aplikovať teóriu, že v prípade nebezpečenstva jednoducho zariadenia odpojím od siete, nedáva v tomto prípade logiku. Jeden z najslabších prvkov zabezpečenia nielen v domácnostiach je router.

Prichádza chvíľka na zamyslenie. Zmenil som heslo na svojom Wi-Fi routeri alebo používam heslo vytvorené výrobcom, ktoré možno dohľadať na internete? K zabezpečeniu IoT sietí treba pristupovať individuálne, krabicové riešenia naše problémy nevyriešia. Začnime zmenou hesla na Wi-Fi routeroch. Katalyzátor digitálneho pokroku, akým je pandémia, stál a stojí za digitálnou transformáciou mnohých odvetví. Výnimkou nie je ani zdravotníctvo. Dopyt po digitálnych službách rastie, žiaľ s ním aj počet nezabezpečených vektorov, ktoré útočníci z radosťou využívajú. Boli sme svedkami, ako veľmi vie nedostatočná bezpečnosť ohroziť kritickú infraštruktúru, a to hovorím o konkrétnych kybernetických útokoch, ktoré zasiahli zdravotnícke zariadenia našich susedov počas najhoršieho obdobia. Telemedicína je neoddeliteľnou súčasťou digitalizované zdravotníctva. Predstava, že lekár vie na základe zozbieraných dát z pacientových IoT zariadení efektívnejšie určiť diagnózu či skontrolovať úspešnosť liečby, bude v blízkej budúcnosti bežnou praxou. A zdravotný stav povedzme prezidenta či riaditeľa nadnárodnej korporácie môže byť pre určitú skupinu ľudí veľmi zaujímavý. Kybernetická bezpečnosť musí byť súčasťou digitálnej stratégie hneď od začiatku. V prípade IoT je problematická hlavne identifikácia a správa týchto zariadení. Skutočne máte prehľad o všetkom, čo je vo vašej sieti? Nemožno chrániť niečo, čo nám je neznáme. Martin Vívodík, bezpečnostný manažér Clico

Vladimír Palečka, špecialista na kybernetickú bezpečnosť, Aliter Technologies, a. s. Zdroje: STATISTA.COM, Banking&finance, McKinsey Digita, IDC, NETSCOUT Threat Intelligence Report, Symantec, gemalto

​IoT zariadenia

SMART HOME

Smartfóny, chladničky, hodinky, požiarne alarmy, bezpečnostné zámky na dverách a bicykloch, medicínske senzory, fitnes náramky, bezpečnostné systémy, meteostanice, hlasoví asistenti, osvetlenie, ovládače, robotické vysávače, kamery, zubné kefky, ďalšie domáce spotrebič

INDUSTRIÁLNE RIEŠENIA

Roboty v skladoch, zváracie stroje, roboty vo výrobe

SMART CITY

Riešenia, kde zariadenia primárne komunikujú medzi sebou a následne systém vyhodnocuje dáta. Patria sem parkovacie a environmentálne aplikácie či riadenie križovatiek.

UMELÁ INTELIGENCIA

Telemedicína a zariadenia napojené na monitorovanie zdravotného stavu a následné vyhodnocovanie. Riešenia vo výrobnej sfére, kde umelá inteligencia dokáže s pripojením na IoT senzor zariadenia vyhodnotiť nutnosť jeho výmeny ešte pred zlyhaním a priamo notifikuje obsluhu.

KOMENTÁR

Veríme falošným mýtom a spoliehame sa na minulosť

Aby som prešiel hneď k veci – pravidelne sa stretávam so situáciou, že tému kybernetickej bezpečnosti nemá vedenie podnikov medzi prioritami. Spolieha sa na to, že „keby niečo“, IT manažér to nejak zvládne. No nezvládne. Je stále veľa podnikov, ktorých vedenie sa s kybernetickou bezpečnosťou ani len nezoznámilo a netuší, ako rýchlo môžu prísť o najcennejšie aktíva. Často sa stáva, že prvá aktivita vedenia príde až potom, keď ich už útočník stihol predbehnúť a zanechal za sebou, žiaľ, významné škody. Priemysel historicky nemal cieľ odolávať kybernetickým hrozbám aj preto, že súčasné výrobné linky a priemyselné systémy vznikali v období pred 10 až 15 rokmi, keď bola aktivita útočníkov slabšia. Dnešné systémy potrebujú reagovať na rádovo zložitejšie a oveľa početnejšie útoky hekerov. Čo im na to chýba? Ak majú podniky zaviesť bezpečnostné opatrenia a monitorovať prostredie a možné útoky, manažéri musia vedieť, čo presne chránia. Úplná, aktuálna a detailná evidencia kritických aktív podieľajúcich sa na výrobnom procese je nevyhnutná podmienka aj pre spoľahlivý monitoring a implementáciu účinných bezpečnostných opatrení. Kľúčový obranný prvok v boji proti hekerom je dobre zaškolený pracovník. A povedomie o hrozbách, zraniteľnostiach systémov a odporúčaných bezpečnostných postupoch pri práci v priemyselnom prostredí je na nezaplatenie. Aj keď pri obrane pred útočníkom potrebujeme aj technické prostriedky, vyškolený človek – používateľ zostáva rozhodujúcou oporou pri obrane pred hrozbami kybernetickej bezpečnosti.

Ak sa v súčasnosti priemyselný podnik rozhodne začať riešiť bezpečnosť, skôr či neskôr narazí na financie. Nie je pravda, že na to treba extra ťažký plný mešec. Je veľa organizačných, ale aj technických bezpečnostných opatrení, ktoré je možné zrealizovať aj s minimálnym rozpočtom. Hlavne začnite. Viaceré útoky sa útočníkom podarili práve preto, že linky a systémy nie sú dostatočne izolované od internetu aj od ostatného interného prostredia. Systémy, ktoré o sebe poskytujú informácie do verejnej siete, sú vystavené významnému riziku. Preto je nevyhnuté komunikáciu s priemyselnými systémami zredukovať na nevyhnutné minimum potrebné na samotný výrobný proces. Útočníci sa často spoliehajú na to, že výrobné linky a priemyselné systémy nie sú „zaplátané“ a zneužívajú publikovanú zraniteľnosť. O zraniteľnostiach priemyselných systémov totiž informuje mnoho verejných zdrojov a odolnosť proti útočníkom je výrazne posilnená jedine vtedy, ak podnik systematicky pláta tieto diery. Je veľa možností, ako okamžite začať s budovaním odolnosti priemyselného podniku proti útokom a výrazne tak znížiť riziko. No najväčším problémom však zostávajú falošné mýty, ktorým veríme a bránia nám konať!

David Dvořák, OT security špecialista Asociácia kybernetickejbezpečnosti

Infraštruktúra a priemysel sa stali lukratívnymi cieľmi

Covid bol azda najúčinnejším transformátorom a urýchľovačom v digitálnej histórii ľudstva. Rýchlosť implementácií však so sebou prináša množstvo ohrození.

Pre priemyselný sektor a jeho dodávateľský reťazec just-in-time pandémia poslúžila na urýchlenie a zefektívnenie výrobných procesov. Na udržanie produktivity a konkurencieschopnosti boli organizácie nútené umožniť vzdialený prístup zamestnancom aj dodávateľom, čo sa stáva občas dvojsečnou zbraňou – najmä keď chýbajú správne digitálne a kyberbezpečnostné opatrenia. Tieto nedostatky boli rýchlo lokalizované útočníkmi ako lukratívny cieľ. Uplynulý rok stal sa tak pozoruhodný a významný aj pre kybernetickú bezpečnosť prevádzkových technológií a priemyselných kontrolných systémov.

Vydieranie, medializácia aj phishing

Už počas roka 2020 zaznamenali prevádzkové technológie a priemyselné kontrolné systémy významný vzostup ransomvérových útokov. Rástli nielen počty incidentov v priemyselných spoločnostiach, ale zvýšil sa aj dosah útokov na kontinuitu výroby. Spolu s tým rástli aj priame útoky na riadiace systémy vystavené do internetu. Hekerské APT skupiny útočili nízko kvalifikovanými taktikami, technikami a postupmi, pričom preferovali funkčnosť a psychologický dosah útoku oproti klasickému útoku, ktorý sa deje v tajnosti. Pozoruhodné je, že takto útočili takzvané APT skupiny, ktoré používajú práve najnebezpečnejšie a sofistikované techniky útoku zamerané na pokročilé trvalé hrozby (advanced persistent threat – APT).

Potreba vzdialenej práce a prístupu zvýšili riziko prevádzkovej odolnosti prevádzkových technológií a priemyselných riadiacich systémov. Ohrozenie v tejto oblasti predstavujú, ako aj v iných oblastiach agresívne phishingové kampane zamerané voči zamestnancom alebo malvérom napadnuté webové stránky, ktoré využívajú covidovú paniku.

​Zraniteľnosti narastajú

Rastúci počet útokov je možné korelovať s rastúcimi zraniteľnosťami v OT/ICS (Operational Technology/Industrial Control Systems) infraštruktúrach, ktoré rok čo rok narastajú. Dôvodom sú inherentné a notoricky známe zraniteľnosti prevádzkových komponentov staršej výroby, zlé programovacie návyky a chybný bezpečnostný dizajn pri nových komponentoch či obchádzanie ochranných mechanizmov systému. Často absentujúce „plátanie“ operačných systémov a v prostredí IT aj prevádzkových technológiách je nedostatočne zabezpečená architektúra. Minulý rok sprevádzali kritické zraniteľnosti, ako napríklad Zerologon, ktorý umožnil útočníkovi prevziať kontrolu nad Microsoft Active Directory pomocou eskalácie privilégií. Skupina zraniteľností pod názvom Amnesia33 a Ripple 20 mali značný dosah na milióny zariadení po celom svete. Koniec roka sprevádzalo objavenie útoku proti dodávateľskému reťazcu, kde bol implantovaný trójsky kôň do monitorovacieho softvéru SolarWinds Orion ako súčasť procesu aktualizácie. Tento vysoko sofistikovaný typ útoku pomocou infikovanej záplaty umožnil útočníkovi získať prístup k mnohým organizáciám vo svete vrátane vládnych agentúr. Dosah útoku v celom rozsahu a ďalšie napáchané škody budú známe neskôr.

Štatistiky môžu byť ešte horšie

Obete útokov boli spoločnosti zo všetkých priemyselných sektorov – tie, ktoré boli viac zasiahnuté spomalením ekonomiky, ako sú výroba, automobilový priemysel, doprava a oceliarsky priemysel. Rovnako ako tí, ktorým sa počas krízy darilo dobre, čiže lodná doprava, farmaceutické spoločnosti, výrobcovia potravín a dodávatelia energie. Je všeobecne známe, že len 30 percent bezpečnostných incidentov je reportovaných verejnosti, a preto čísla v štatistikách útokov môžu byť podstatne vyššie. V medziročnom porovnaní s prvým polrokom 2019 zaznamenal v roku 2020 sektor vodárenstva a odpadových vôd nárast zraniteľnosti v ICS o 122,1 percenta, zatiaľ čo v kritických odvetviach výroby došlo k nárastu o 87,3 percenta a v energetike rástli zraniteľnosti o 58,9 percenta. Tento prieskum odkrýva trendy v oblasti rizík a zraniteľností, a tak napovedá bezpečnostným manažérom aj integrátorom prevádzkových technológií, aby prehodnotili doterajšiu stratégiu kybernetickej bezpečnosti a posilnili kybernetickú obranu v rámci spoločnosti.

​RIEŠENIE

Čím vyššie privilégium, tým väčšie ohrozenie celej infraštruktúry

Privilegované účty predstavujú najväčšiu bezpečnostnú zraniteľnosť IT systémov každej organizácie. Podľa prieskumov spoločnosti CyberArk sa kybernetické útoky realizujú až v 85 percentách práve kompromitáciou účtov s vyššími oprávneniami. Tým sa hekerom otvárajú dvere do IT systémov celej organizácie. Takým bol aj nedávny útok na Uber, ktorému „zmizli“ kľúče k ich cloudovému prostrediu a s nimi aj 45 miliónov záznamov o cestujúcich a vodičoch.

Problém sú zamestnanci aj dodávatelia

Ak sa útočníkom podarí získať prístup do privilegovaných účtov, môžu tak získať kontrolu nad celou IT infraštruktúrou. Dokážu extrahovať citlivé dáta, zmeniť funkčnosť aplikácií a systémov či úplne paralyzovať celú organizáciu. V kybernetickej bankovej lúpeži na Bangladéšsku centrálnu banku tak zmizlo 80 miliónov dolárov a obdobný bol aj útok na filmovú spoločnosť Sony Pictures. „Ak zamestnanci ukladajú súbory do cloudového priestoru alebo posielajú informácie cez osobný e-mail, neúmyselne vystavujú citlivé údaje spoločnosti veľkému riziku,“ upozorňuje Daniel Hetenyi, bezpečnostný odborník zo spoločnosti CyberArk. Ďalšou hrozbou sú aj bývalí zamestnanci. Majú vedomosti o citlivých informáciách, a tak vedia, ako legitímne môžu bezpečnostné opatrenia obísť. V praxi to potvrdzuje aj bezpečnostný expert: „Stretávame sa dokonca aj s prípadmi, keď bývalí zamestnanci majú stále aktívne účty v systémoch.“ Často sa útoky dejú aj cez prístup dodávateľov. V tomto prípade je vstupnou bránou pre útok kombinácia sietí VPN, agentov a ad hoc procesov na zabezpečenie prístupu vzdialených dodávateľov k dôležitým interným systémom. Tieto možnosti prinášajú nekonečnú kombináciu problémov pre používateľov aj správcov.

Neprehliadnuteľné výzvy

Ešte pred vyše rokom neprichádzalo do úvahy, že by administrátori pracovali denne z domu. Stalo sa tak a Daniel Hetenyi odporúča: „V súčasnosti je nevyhnutné nastaviť Zero Trust model nielen pre administrátorov, ale aj pre dodávateľov. Každý používateľ má mať len také práva, aké potrebuje v danom čase na danú operáciu.“ Organizácie prechádzajú zároveň digitálnou transformáciou, čo znamená, že čoraz viac služieb využívajú v cloude a používajú agilnejšie modely prevádzky IT. Z jedného nástroja tak majú prístup všade a ak sa k nemu podarí hekerom preniknúť, môže to mať katastrofálne následky. Dreamstime

​Ako správne postupovať?

Mnohé organizácie často ani nevedia, koľko a ako majú účty evidované, kto k nim má prístup, či sa zmenilo heslo, a teda či majú dostatočnú bezpečnostnú politiku. V tomto prípade spoločnosti potrebujú v prvom rade dobrú „hygienu“. Ako prvé je nutné urobiť audit všetkých účtov a následne sa sústrediť na zabezpečenie tých účtov, ktorých zneužitie by malo najväčší vplyv na organizáciu. Na tieto účely slúži viacero profesionálnych spôsobov, medzi nimi aj bezplatný nástroj Discovery and Audit, ktorý slúži na skenovanie všetkých účtov organizácie aj ich rizík. Ďalším krokom je nastavenie kompletného zabezpečenia, čo znamená využiť správne technické nástroje na vynútenie bezpečnostných politík. „Pri výbere platformy na riadenie privilegovaných účtov odporúčam zvoliť niektoré z integrovaných riešení, ktoré bude vďaka svojmu jednotnému prostrediu šetriť administrátorom čas a prácu. Riadenie prístupu k privilegovaným účtom potom zabezpečí, že sa k systémom budú môcť prihlásiť skutočne len oprávnení používatelia,“ uzatvára Daniel Hetenyi.

Ktoré profesie nám chýbajú najviac

ANKETA

V kybernetickej bezpečnosti chýbajú všetky profesie a všade. Odpovede profesionálov však opisujú možnosti, kde začať a ako nastaviť priority.

Ivan Makatura, generálny riaditeľ, Kompetenčné a certifikačné centrum kybernetickej bezpečnosti

Kybernetická bezpečnosť má rôzne roly, ale nebudem osobný. Odstúpim, zoberiem si vzorec a počítam:
Koho je najmenej, kde je priepasť a kde je najvyššia potreba? Zmeriam, koľko trvá potrebná činnosť, napočítam opakovania a vychádza mi – najvyšší dopyt bude po manažéroch kybernetickej bezpečnosti (metóda Activity Based Costing: prácnosť typických činností roly krát počet opakovaní požadovaných výstupov).

Rastislav Janota, riaditeľ, Národné centrum kybernetickej bezpečnosti SK-CERT

Najviac chýbajú manažéri kybernetickej bezpečnosti v organizáciách. Synonymom je veľvyslanec bezpečnosti voči zamestnancom, ale najmä vedeniu organizácie. Je to rola, ktorá by mala ukazovať smer, viesť aktivitu firmy v oblasti kybernetickej bezpečnosti dopredu. Okolo neho by mala vznikať atmosféra pochopenia bezpečnosti. Manažér dokáže identifikovať ďalšie chýbajúce profesie v každej organizácii.

Tomáš Hettych, viceprezident, Asociácia auditu a kontroly informačných systémov

Ak chýba architekt informačnej bezpečnosti, organizácia väčšinou nemá stratégiu a rieši hlavne akútne incidenty. Prostredie je rôznorodé, bez metriky, zdieľaných údajov a zlepšovania. Ak chýba analytik, stráca sa schopnosť analyzovať incidenty a riešiť problémy. Teda sa bude len hasiť, ale bez zistenia príčiny. Ak chýba manažér, neimplementujú sa navrhované opatrenia a nezlepšuje sa úroveň kybernetickej bezpečnosti. V malých a stredných firmách by to mal zvládnuť jeden manažér kybernetickej bezpečnosti.

Martin Oczvirk, riaditeľ odboru informačnej bezpečnosti a certifikácie, Úrad na ochranu osobných údajov

Trápi nás nedostatok technicky zameraných pracovníkov či už stredoškolského alebo vysokoškolského štúdia. Ak sme aj v štátnom sektore kvalitného zamestnanca zlanárili, vždy bolo len otázkou času, kedy nám ho vyfúkol súkromný sektor. Platové náležitosti sú, žiaľ, v štáte limitované. Kvalitné školenia sú pre štátnych zamestnancov takmer nedostupné vzhľadom na nedostatočný rozpočet.

Robert Mramúch, manažér kybernetickej bezpečnosti MH Teplárenský holding

V oblasti energetiky a utilít sú to s istotou profesie a špecializácie, ktoré sú zamerané na prevádzkové technológie. Výrobné a riadiace systémy sú cieľmi útočníkov čoraz častejšie. Preto je potrebné zamerať sa na integráciu už existujúcich profesií a zároveň prehĺbiť náplne zamestnancov o úlohy a roly kybernetickej bezpečnosti. Budeme tak môcť stavať na základnom pilieri kybernetickej bezpečnosti – na ľuďoch.

Peter Dostál, generálny riaditeľ a predseda Predstavenstva, Aliter Technologies, a. s.

Chýbajú nám ľudia vo všetkých oblastiach kybernetickej bezpečnosti: od analytikov cez inžinierov, administrátorov až po špecialistov, architektov a konzultantov. Ponuka na trhu práce je veľmi obmedzená, a tak sú zamestnávatelia nútení vychovávať si vlastných odborníkov a dočasne kumulovať roly. Situácia sa nebude zlepšovať ani v budúcnosti, keďže dopyt rastie rýchlejšie ako ponuka, a tak očakávam outsourcing týchto rolí smerom k špecializovaným spoločnostiam, ktoré budú vedieť efektívnejšie poskytovať služby v oblasti kybernetickej bezpečnosti.

Andrej Žucha, generálny riaditeľ, ALISON Slovakia

Bezpečnosť je tímová práca. Ani najviac certifikovaný profesijný bezpečnostný špecialista nič nezmôže bez ďalších, či už ide o administrátora, analytika alebo audítora. Podstatné je, aby používali pri tom, čo robia, nielen odborné znalosti, ale aj zdravý sedliacky rozum a dokázali správne reagovať aj v najkritickejších situáciách. A počet absolventov v odbore IT bezpečnosti nie je závratné číslo.

Roman Čupka, hlavný konzultant, výkonný riaditeľ, Flowmon Networks, Synapsa Networks

Architekt kybernetickej bezpečnosti. Ich nedostatok je spôsobený najmä neochotou či nemožnosťou organizácií zaplatiť ročnú odmenu okolo 120-tisíc eur. Na druhej strane to, čo trh u nás ponúka, nie vždy reflektuje požiadavky na adekvátne schopnosti a zručnosti. Tie by mali obsahovať analytické, kritické, kreatívne a inovatívne myslenie. Architekt musí vedieť riešiť komplexné problémy a výzvy, neustále sa vzdelávať, rozumieť technológiám a mať skúsenosti s programovaním. Musí to byť tímový hráč, rešpektovaný líder a v súčasnosti sa počíta aj vplyv na sociálnych sieťach.

Vojtech Gáborík, riaditeľ úseku informačných technológií Prvá stavebná sporiteľňa

Každá rola v tíme Cybersecurity má svoje nezastupiteľné miesto. Jednotlivé roly sa vzájomne dopĺňajú a spoločne pomáhajú napĺňať ciele v oblasti bezpečnosti. Všetci vieme, že na Slovensku je nedostatok špecialistov pre takmer každú IT rolu, konkrétne mne najviac chýbajú v operatíve. Nedostatok špecialistov pre Cloud Security Posture Management a incident manažment a pokročilé hrozby vnímam veľmi kriticky.

Vladimír Mlynarčík, riaditeľ pre región Českej a Slovenskej republiky, Clico

Naše skúsenosti zo slovenského, rovnako aj z českého trhu hovoria, že na strane koncových zákazníkov chýbajú odborníci na kybernetickú bezpečnosť na všetkých pozíciách a úrovniach. Či už hovoríme o bezpečnostných analytikoch, systémových inžinieroch, alebo skúsených dizajnéroch bezpečnostných politík.

Daniel Hetenyi, regionálny manažér, CyberArk
Bezpečnostní špecialisti a manažéri sú úzkoprofilový tovar. Len v našej firme máme otvorených viac ako sto pozícii globálne, kde je potrebná znalosť IT bezpečnosti. Na domácom trhu firmy hľadajú čoraz užšie špecializácie kvôli novým trendom v technológiách, ako je bezpečnosť OT sietí a devops security architekti. A tiež je dopyt po mamanažéroch bezpečnosti, ktorí sú nielen strážcami rizík, ale aj ľuďmi, ktorí podporujú a umožňujú celkový rozvoj firmy.

Jaroslav Oster, súdny znalec, Infoconsult

Predchádzajúce ankety jasne identifikovali aktuálnu potrebu akcelerácie vzdelávania používateľov na všetkých úrovniach, nesporne jednou z dominantne chýbajúcich profesií v nasledujúcich rokoch budú kvalifikovaní tvorcovia a realizátori vzdelávacieho obsahu – lektorské profesie zdatné v témach informačnej a kybernetickej bezpečnosti. Táto potreba je dlhodobo už teraz viditeľná napríklad v školstve.

Ján Adamovský, riaditeľ bezpečnosti, Slovenská sporiteľňa

Technologicky podkutý líder, ktorý je schopný ľudskou rečou vysvetliť kolegom, klientom, ale aj svojej mame, prečo je dôležité sa obozretne správať v digitálnom priestore. Zároveň rozumie širšiemu kontextu firmy a je schopný akceptovať fakt, že bez rizika sa podnikať nedá. Som presvedčený, že s pribúdajúcim počtom bezpečnostných špecialistov rastie aj dopyt po lídroch, ktorí budú vedieť ich schopnosti správne usmerňovať.

Tomáš Zaťko, CEO, etický hacker, Citadelo

Najviac chýbajú kvalitní bezpečnostní manažéri. Obrovské množstvo podnikov ich ani nemá. Ak má, tak často „to iba niekomu prischne“. Ak sa má práca bezpečnostného manažéra vykonávať poriadne, tak ju musí vykonávať človek s kvalitným vzdelaním, prípravou, holistickým prístupom a silnou podporou vrcholového vedenia.

Marián Trizuliak, architekt kybernetickej bezpečnosti Západoslovenská distribučná, a. s.

Ja si myslím, že všetky. „Bezpečákom“ sa nestane študent alebo zamestnanec ukončením nejakého štúdia na univerzite. Bezpečákom sa človek stane postupom času, rôznymi okolnosťami a vývojom. Určite sa nájdu takí, ktorí snívajú o práci v kybernetickej bezpečnosti, avšak drvivá väčšina z nich netuší, čo to zahŕňa. Či už pravidelné znásilňovanie príkazového riadka, prehliadanie miliónov nič nehovoriach riadkov v logoch, neustála obhajoba zmysluplných požiadaviek na informačné systémy. Práca je pestrá a už vôbec nie nudná.

Roman Varga, manažér kyber bezpečnosti, Dôvera, zdravotná poisťovňa, a. s.

Chýba nám Štátny dozorný a poradný orgán – štátny DPO (data protection officer). Profesia, ktorá zhora zastreší prienik kyberbezpečnosti a problematiky ochrany osobných údajov. Za rok na Slovensku v COVID období registrujeme veľa podporných IT projektov, ktoré mali ratio a pretavovali skúsenosti odborníkov. Tieto boli veľakrát neúspešné, lebo ich nebolo možné zhora štátnou autoritou a legislatívne podporiť. Jednoducho, chýba možnosť efektívne odkonzultovať dosahy verejných (štátnych) IT projektov.

Pavol Adamec, výkonný riaditeľ oddelenia Riadenie rizík, KPMG Slovensko

Zdôraznil by som nedostatok kvalitných manažérov bezpečnosti schopných sprostredkovať komunikáciu medzi vedením a technikmi. Táto profesia musí identifikovať, čo je dôležité pre organizáciu a preložiť do jazyka IT, čo, prečo a ako veľmi potrebujeme chrániť. Títo experti by mali chápať význam technických slabín a vysvetliť vedeniu – nie strašením, ale faktami – čo nastane, ak nevyvinieme aktivitu.

Henrich Šnajder, manažér IT bezpečnosti, Orange Slovensko, a.s.

Mimoriadne nám chýbajú dve roly. Bezpečnostní softvéroví analytici vo vývoji DevSecOps, keďže bezpečný softvér a jeho životný cyklus sú veľkou časťou úspechu, ako sa vyhnúť bezpečnostným incidentom. Potom sú to bezpečnostní analytici pre manažment bezpečnostných incidentov a definíciu nápravných a preventívnych opatrení. Bezpečnosť telekomunikačných technológií predstavuje špecifický prienik viacerých kompetencií IT, IP a telekomunikačných sietí a vyžaduje široké a hlboké znalosti.

Marek Zeman, vedúci oddelenia bezpečnosti informačných systémov, Tatra banka

Celý svet posledných dvadsať rokov prežíva nástup digitalizácie. Slovensko zažíva rovnakú vlnu a je hladné po všetkých profesiách v informačnej bezpečnosti. Na zaplnenie potrebných miest sme veľa neurobili a teraz potrebujeme rýchlo trénovať množstvo ľudí na rôzne pozície. Slovensku najviac chýbajú vzdelaní učitelia a tréneri, ktorí dokážu kvalitne vychovávať dostatočne veľa odborníkov.

Ivan Kotuliak, dekan, Fakulta informatiky a informačných technológií STU Bratislava

Najviac nám chýbajú učitelia a lektori, ktorí sa aktívne venujú oblasti kybernetickej bezpečnosti a ktorí by mohli ďalej vzdelávať svojich študentov, ale aj širšiu verejnosť. Je to oblasť, ktorá sa rýchlo a neustále vyvíja a mení. Širším vzdelávaním dosiahneme lepšie povedomie, ale aj ľahšiu implementáciu nutných postupov vrátane ochrany súkromných dát, ktorá je stále na veľmi nízkej úrovni.

Jana Puškáčová, manažérka útvaru Informačná bezpečnosť, MOL IT & Digital Slovensko

Pozície v kybernetickej bezpečnosti dnes bývajú úzko špecializované a navzájom nezameniteľné: ťažko si predstaviť, že by penetračného testera dokázal bez problémov nahradiť správca firewallu, audítor či expert na cloudovú bezpečnosť. Keďže kybernetická bezpečnosť je veľmi dynamická oblasť, profesia, ktorá je kritická dnes, už zajtra nemusí byť prioritou. Preto potrebujeme ľudí, ktorí sú zanietení „bezpečáci“, majú prehľad a nevadí im, že musia na sebe stále pracovať, aby držali krok s dobou.

Richard Kiškováč, bezpečnostný konzultant, Digital Systems, a.s.

V praxi je stále problémom včasná detekcia kybernetických útokov. Takže najviac chýbajú analytici kybernetickej bezpečnosti, zvlášť tí vysokokvalifikovaní pre proaktívnu detekciu pokročilých útokov. Táto pozícia si vyžaduje komplexné znalosti informačných technológií aj taktík, techník a postupov útočníkov a možností ich včasnej detekcie. Vzhľadom na komplexnosť aj napredujúcu digitalizáciu to bude dlhodobo nedostatková pozícia a jej nahradenie umelou inteligenciou nebude jednoduché.

(Špeciálny projekt)

Kto by si mal prečítať stratégiu

Stratégia je východiskovým dokumentom, ktorý komplexne stanovuje prístup Slovenskej republiky k zaručeniu kybernetickej bezpečnosti. Národný bezpečnostný úrad musí pripraviť a do troch mesiacov oznámiť akčný plán Európskej komisii, tak ako nás zaväzuje smernica o bezpečnosti sietí a informačných systémov. Konkrétny plán čiastkových úloh a zdrojov by mal zaujímať ministerstvá, špecializované úrady, samosprávu a – teraz nasleduje všeobjímajúca formulácia – všetkých prevádzkovateľov základných služieb.

Základná služba je totiž komerčná alebo štátom poskytovaná služba podstatná pre chod spoločnosti. Viete o niečom, čo by nebolo pre chod spoločnosti podstatné? Tak to tam nepatrí, všetko ostatné áno. Takže energetika a všetci dodávatelia energií, doprava, elektronické komunikácie, bankovníctvo a finančné služby, pošta, priemysel, zdravotníctvo a, samozrejme, verejná správa.

Novelizácia kľúčového zákona

Už teraz je mimoriadne diskutovanou a očakávanou novelizácia zákona o kybernetickej bezpečnosti, ktorá by mala byť predložená vláde. Dôvodom novelizácie sú najmä skúsenosti z implementácie požiadaviek zákona od roku 2018, spätná väzba z trhu, prichádzajúce nové technológie a nutnosť úpravy v súlade s novými európskymi pravidlami.

V tomto procese vládny kabinet presadzuje posilnenie kompetencií NBÚ s dôrazom aj na ochranu všetkých sektorov kybernetického priestoru krajiny a zároveň apeluje aj na jednotnejšiu reguláciu v tejto oblasti. Piliermi novelizácie sú úpravy definície základných pojmov, postavenie manažéra kybernetickej bezpečnosti či certifikácie v tejto oblasti. Novela zavádza aj takzvaný inštitút blokovania.

K dosahu na podnikateľské prostredie a verejnú správu Peter Habara, hovorca Národného bezpečnostného úradu, uvádza: „Novelizácia zákona o kybernetickej bezpečnosti pozitívne ovplyvní rozpočet verejnej správy aj podnikateľské prostredie zvyšovaním efektivity.“ Národné centrum kybernetickej bezpečnosti SK CERT už teraz zdokonaľuje systém detekcie, reakcie a ochrany, predovšetkým rýchlosť a všestrannosť týchto procesov.

Ďalší rozmer kvality

Európsky parlament prijal v roku 2020 Nariadenie o kybernetickej bezpečnosti, populárne označované ako Cyber Act, a jeho priamym dôsledkom je úprava kompetencií európskych inštitúcií. V tejto súvislosti Európska agentúra pre kybernetickú bezpečnosť (ENISA) pripravuje návrh na certifikácie výrobkov, procesov a služieb kybernetickej bezpečnosti. Na Slovensku by túto certifikačnú schému mal prevziať Národný bezpečnostný úrad a následne budú môcť o akreditáciu na posudzovanie zhody požiadať aj iné slovenské certifikačné orgány.

Ak rozmýšľate, prečo stále opakujeme posudzovanie zhody a certifikácia, povedzme si, čo je ich prínosom pre občiansky život, riadenie štátu aj biznis. Digitalizácia a pripojiteľnosť sú mantrou súčasnosti. Na internet je pripojených čoraz viac zariadení, ale bezpečnosť a odolnosť proti kybernetickým hrozbám neboli v nich dostatočne zabudované v čase, keď boli navrhnuté.

„Certifikované výrobky a služby vo všeobecnosti garantujú kvalitu a zvyšujú dôveryhodnosť produktu v očiach zákazníka. A týka sa to nielen oblasti kybernetickej bezpečnosti, a nielen počítačov či mobilov,“ prízvukuje Ivan Makatura, generálny riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti. Takže ak sa budete rozhodovať pri kúpe zubnej kefky s mobilnou aplikáciou, máte pri tej certifikovanej vyššiu záruku, že vám nikto nehekne osobné údaje. O energetike a zdravotníctve nehovoriac. Zariadenia v priemysle komunikujúce cez internet by si počtom a vplyvom zaslúžili vlastnú prílohu.

To, čo nás najviac páli

Vráťme sa však k prevádzkovateľom základných služieb. November 2021 je prvým termínom, keď musia prevádzkovatelia odovzdať na Národný bezpečnostný úrad záverečné správy auditu kybernetickej bezpečnosti. Takže už teraz by stovky miest, obcí, firiem a inštitúcií mali mať za sebou implementáciu bezpečnostných opatrení s cieľom chrániť dáta a informácie, ktoré spracúvajú. Účelom následného auditu je overiť plnenie povinností a posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami zákona a inými súvisiacimi právnymi predpismi.

Rozdiely v pripravenosti sú obrovské. „Spoločnosti, ktoré sú riadené reguláciami v oblasti bezpečnosti, sú pripravené až ukážkovo. Zvyšok Slovenska sa zatiaľ hľadá,“ sumarizuje Igor Straka, manažér kybernetickej bezpečnosti TÜV SÜD Slovakia, s. r. o.

Podľa skúseností profesionálov z praxe prevádzkovatelia často neodlišujú fakt, že informačná a kybernetická bezpečnosť je niečím iným ako prevádzka infokomunikačných technológií. „Chýbajú ľudia, peniaze a skúsenosti. V každom prípade audit kybernetickej bezpečnosti je správny krok, ktorý vytvára tlak a prebúdza sebareflexiu manažérov,“ uzatvára Straka.

Nevídaná finančná kapitola

Nový program financovania Digitálna Európa na roky 2021 až 2027 podporuje digitalizáciu ekonomík a spoločností Únie. Predstavuje rozsiahlu implementáciu kľúčových digitálnych technológií, akými sú napríklad aplikácie umelej inteligencie a najmodernejšie nástroje kybernetickej bezpečnosti. Európskym podnikom, najmä malým a stredným, pomôže využívať obrovské príležitosti digitálnej transformácie, rozšíriť činnosti a získať konkurenčnú výhodu.

Program investícií Európskej únie na roky 2021 až 2027 s názvom Horizont Európa je deviaty rámcový program pre výskum a inovácie. Plynulo nadviaže na Horizont 2020, ktorý bol najväčší a najvýznamnejší program financujúci projekty vedy, výskumu a inovácií v programovom období 2014 až 2020. Pre program Horizont Európa navrhuje Komisia prideliť astronomický rozpočet 100 miliárd eur, čo môže iniciovať vznik nového trhového segmentu a odvetvia.

Ak sa Slovensko nezačne pripravovať na tieto možnosti už dnes, nebudeme schopní spracovať projekty v krátkom čase a čerpať finančné stimuly. Príležitosť v kybernetickej bezpečnosti tak vzniká pre výskumné centrá, softvérové domy, tvorcov aplikácií či inovatívne technológie a výrobky úplne novej generácie.

Hrozby a zraniteľnosti

Typy hrozieb a zraniteľností, ktorých neriešenie môže mať vážny dosah na systém kybernetickej bezpečnosti

• Neustály rozvoj nových techník a spôsobov útokov
• Zraniteľní používatelia
• Útoky zamerané na bežných používateľov s veľkými finančnými stratami
• Narastajúci počet technologických zraniteľností
• Nedostatok odborného personálu
• Laxný prístup k požiadavkám vyplývajúcim z legislatívy alebo zo štandardov
• Nízka úroveň bezpečnostného povedomia
• Zneužívanie nových technológií na vykonávanie útokov
• Slabá detekcia
• Pomalý výkon trestného práva v oblasti počítačovej kriminality s neistým výsledkom
• Útoky na kritickú infraštruktúru štátu, orgány štátu a obranné mechanizmy s mocensko-politickým pozadím
• Nelegálne aktivity presahujúce kybernetický priestor

Zdroj: Stratégia kybernetickej bezpečnosti SR 2021-2025

Cítite sa ohrození v kyberpriestore?

Prieskum bol realizovaný medzi slovenskou internetovou populáciou staršou ako 15 rokov technikou jednotného online dotazníka metódou CAWI. Respondenti boli vybraní zo Slovenského národného panelu, pričom výberovými kvótami boli pohlavie, vek, vzdelanie, kraj a veľkosť miesta bydliska

Komentár

Bezpečnostné bezvedomie

Za svoj život sa veľa vecí o bezpečnosti naučíme. Deti učíme nerozprávať sa s cudzími ľuďmi, nebrať od nich cukríky, zvykneme si zamykať pri odchode dvere a zatvárať okná. No keď príde na počítače a internet, tak zrazu nič z toho neplatí. Za každý cukrík ďakujeme s nadšením, pošleme niekam údaje, o ktoré nás niekto požiada. Akoby webové stránky mali certifikát pravdy už len tým, že sú publikované, a akoby každý chcel na sociálnych sieťach len naše dobro. Iba veľmi málo sa zamýšľame nad tým, či sme dosť opatrní.

Určite jedným z dôvodov je fakt, že internet je stále nová technológia a väčšina z nás si nevie ani predstaviť, aké riziká prináša. Je o virtuálnom kontakte a tam nám zatiaľ neštartujú bezpečnostné kontrolky. Nebezpečenstvo si spájame s fyzickou aktivitou, s krádežou peňaženky, s vlámaním či so stretnutím s človekom, ktorý nebezpečne vyzerá. Takto nastavené povedomie sme si budovali roky, často na svojich chybách či chybách najbližších.

Vo virtuálnom prostredí je situácia odlišná. Problémy často nie sú vidieť okamžite – prejavia sa s časovým posunom alebo formou, ktorú si s pôvodom na internete nespojíme – napríklad vás vykradnú vďaka informáciám o dovolenke, ktorú radostne postujete na sociálnej sieti. Jednoducho nám chýba bezpečnostné povedomie.

Kde nastala chyba? A ako to budeme riešiť?

V princípe máme dve možnosti. Počkať ešte desať až 20 rokov, kým sa všetci naučíme na vlastných chybách. Je to síce pohodlné, ale dôsledky môžu byť katastrofálne pre nás samotných, ale aj prostredie, kde sa pohybujeme – doma aj v zamestnaní.

Druhou možnosťou je vzdelávanie. A hneď jedným dychom dodávam, že očakávať samoštúdium je naivná predstava. V súčasnosti vidím ako jedinú efektívnu možnosť budovanie bezpečnostného povedomia priamo tam, kde ľudia pracujú s počítačmi. V zamestnaní, v škole, pri výkone činnosti. U detí a mládeže sú školy zodpovedné za ich prípravu na život. Ak sa teda venujú rôznym aspektom života a kybernetický priestor je dnes jeho neoddeliteľnou súčasťou, budú sa musieť viac venovať aj kybernetickej bezpečnosti.

U zamestnávateľov je to komplikovanejšie. Pracujú s dospelými ľuďmi a vo vzdelávaní typicky robia len to, čo musia, kde sú exemplárnym príkladom školenia bezpečnosti pri práci na základe štátnej regulácie, alebo vzdelávajú podľa vlastných priorít. Zákon o kybernetickej bezpečnosti síce už hovorí aj o povinnom vzdelávaní, ale táto regulácia je záväzná len pre malú časť zamestnávateľov a ani tam ešte nie je nutnosť povedomia zažitá. A teraz mi oprávnene môžete dať otázku, čo robí vo vzdelávaní pre svojich zamestnancov štát. Veľmi málo. Je náročné motivovať ťažko skúšaných zamestnávateľov, keď samotný štát, ktorý by mal byť príkladom, drasticky zaostáva. Takže nás čaká ešte veľa spoločnej práce. Netvárme sa však, že nevieme, kto to robiť má a prečo. Oboje je známe. Škoda len, že zatiaľ, zdá sa, nepochopené.

Rastislav Janota, riaditeľ Národného centra kybernetickej bezpečnosti SK-CERT.

Dreamstime

​Vieme, sme zraniteľní

Práca na diaľku výrazne mení spôsob fungovania globálnych spoločností a tento trend nevykazuje známky spomalenia. Podľa spoločnosti Gartner až 88 percent globálnych obchodných organizácií navrhlo zamestnancom pre pandémiu pracovať z domu.

Technológie sa rýchlo vyvíjajú a menia spôsob, akým spoločnosti fungujú. Cloud computing, umelá inteligencia (AI), automatizácia a internet vecí (IoT) vytvárajú spoločnostiam bezprecedentné príležitosti na vyššie príjmy. S vývojom technológií sa však vyvíjajú kybernetické ohrozenia, v ktorých sa organizácie musia zorientovať.

Nárast práce na diaľku

Ďalší krízový rok prispeje k obrovskému nárastu pripojených zariadení, domácej a vzdialenej práce, decentralizovanej pracovnej sily a outsourcingu riešení. To následne zvyšuje množstvo rizík spojených s dátami a infraštruktúrami, ako aj zraniteľnosť okolo viacerých prístupových bodov. V roku 2021 bude zabezpečenie kyberbezpečnosti ešte ťažšie, pretože možnosti nových útokov sú väčšie a vo vzdialenom prostredí často chýbajú opatrenia na implementáciu a kontrolu bezpečnostných a dátových politík.

Nedostatok kvalifikovaného personálu

Komplexné požiadavky na zabezpečenie súladu s predpismi a neustály vývoj kybernetických útokov sú naďalej jednou z najdôležitejších výziev kybernetickej bezpečnosti. Podľa spoločnosti Cybersecurity Ventures sa očakáva, že kríza kvalifikovaných zamestnancov v oblasti kybernetickej bezpečnosti vytvorí 3,5 milióna neobsadených pracovných miest. Je to nárast o 350 percent, keďže ešte v roku 2014 bolo voľných „iba“ milión pozícií.

Zabezpečenie s nulovou dôverou

Oddelenia IT sa predtým spoliehali na virtuálne privátne siete, ktoré uľahčili vzdialeným pracovníkom prístup do firemnej siete. Tieto riešenia sa v covidovom roku ukázali žalostne neadekvátne. Princíp Zero Trust Network Access sa javí ako bezpečnejšia možnosť pre organizácie na riadenie vzdialeného prístupu k špecifickým aplikáciám. Inak povedané – zabezpečenie s nulovou dôverou tak predpokladá, že žiaden používateľ alebo zariadenie nemôžu a nemali by byť vo svojej podstate dôveryhodné.

Ochrana osobných údajov

S narastajúcimi obavami o správu a bezpečnosť údajov sa ochrana osobných údajov stáva čoraz dôležitejšou. Výrazne ovplyvní takmer všetky aspekty spoločnosti, od riadenia podnikovej stratégie po úzke zladenie s bezpečnosťou, s personalistikou, so správou a s obstarávaním.

Internet vecí

Rastúci počet organizácií spoliehajúcich sa na IoT zariadenia na meranie a monitorovanie procesov, zavedenie 5G a pribúdajúci počet zariadení pripojených na internet ponúka útočníkom príležitosť kompromitovať systémy a siete. Organizácie stále musia adekvátne oddeliť nezabezpečené zariadenia IoT a 5G od zvyšku svojej siete. Napríklad v zdravotníctve a čoraz viac používajú senzory IoT umožňujúce vzdialené sledovanie pacienta.

Cloudové hrozby

Počas pandémie sa adaptácia cloudu stala nevyhnutnou na zabezpečenie kontinuity podnikania. Aj keď globálne podniky už pred krízou migrovali, pandémia zafungovala ako katalyzátor. Veľmi rýchla migrácia do cloudu môže však priniesť množstvo nových bezpečnostných hrozieb a výziev, ako sú nesprávne nakonfigurované cloudové úložiská, znížená viditeľnosť a kontrola vrátane zraniteľných cloudových aplikácií.

Integrácia umelej inteligencie

Umelá inteligencia (AI) je pripravená pomôcť s nedostatkom zdrojov a udržať si náskok pred útočníkmi. Analýzou obrovského množstva údajov o rizikách zo štruktúrovaných a neštruktúrovaných zdrojov poskytuje AI informácie o hrozbách, čím sa skracuje čas, ktorý spoločnosti potrebujú na prijatie kritických rozhodnutí a reakciu na nápravu hrozby. Na druhej strane, aj útočníci budú čoraz viac využívať AI na urýchlenie útokov na siete a systémy, pričom dáta z útokov sa použijú na ďalšie zlepšenia.

Vladimír Palečka, špecialista na kybernetickú bezpečnosť, Aliter Technologies, a. s.

Názor

Ohrozené segmenty sa bránia

Zvládnuť pandémiu koronavírusu sa stalo jednou z najťažších úloh pre globálne bezpečnostné organizácie a prinieslo obrovské výzvy aj v kybernetickej bezpečnosti. V roku 2020 vzrástol objem a zložitosť narušení dát, pričom v kritickom prvom štvrťroku sa počet útokov medziročne zvýšil o 273 percent. O to šokujúcejšie je, že jeden heker dokázal ukradnúť 34 miliónov záznamov používateľov od sedemnástich spoločností.

Výsledkom obchodnej vojny a geopolitického napätia bude aj rast útokov na priemyselné riadiace systémy v snahe ochromiť fungovanie strategických podnikov. Kybernetickí zločinci budú naďalej rozvíjať spôsoby a pokúšať sa viac útočiť na entity, akými sú národná elektrická sieť, zariadenia na úpravy vody alebo veľké výrobné podniky.

Zvýšené útoky ohrozujú letectvo. Tento trend označilo Svetové ekonomické fórum za jeden z najväčších problémov, ktorým letecký priemysel čelí. Ekonomické a prevádzkové vplyvy, ktorými v súčasnosti trpí, znamenajú, že letectvo bude v nasledujúcich mesiacoch obzvlášť ohrozené. Najpravdepodobnejšie hrozby sú rovnaké ako pre iné spoločnosti – phishing, krádeže údajov, manipulácia s letovými údajmi a podobne.

Smrť priamo spôsobená kybernetickými útokmi stále nad nami visí ako tichá hrozba. Kritickou oblasťou, na ktorú sa útočníci čoraz viac zameriavajú, je zdravotníctvo. Vplyvom kybernetických útokov na zdravotnícke zariadenia dochádza k úmrtiam pacientov napojených na elektronické systémy. Ak by došlo k trestnému stíhaniu, boli by to prvé potvrdené prípady úmrtia ako priamy dôsledok kybernetického útoku.

Práve v tejto súvislosti je evidentný enormný nárast organizovaných vydieračských útokov. Ransomvér spolu s vydieračskými skupinami, ktoré prevádzkujú kybernetické zločinecké gangy, zostane v roku 2021 jednou z najväčších obáv bezpečnostných tímov. V predchádzajúcom roku tieto útoky vyústili do globálnych finančných škôd v hodnote viac ako jednej miliardy dolárov a tento počet je určite vyšší, keďže mnohé kybernetické bezpečnostné incidenty nie sú hlásené (zdroj: analýza bezpečnostnej firmy Group-IB).

Napriek stále novým hrozbám však existujú nádejné signály, že sofistikovanosť obrannej bezpečnosti vďaka novým inováciám a možnostiam „dobehne“ útočníkov. Technická kybernetická obrana bude mať naďalej mimoriadny význam spolu s potrebou zamerať sa na aktívnu detekciu kybernetických hrozieb, nie iba na ochranu a prevenciu. V priebehu roka dôjde k nárastu využívania SIEM nástrojov (Security Information and Event Management) a strojového učenia, čo môže pomôcť odhaliť útočníkov, skôr ako získajú prístup k citlivým údajom. V tejto súvislosti sa práve nárast trhu nástrojov SIEM až do roku 2025 predpokladá 5,5 percenta ročne.

Prieskum

Top hrozby pre slovenské a české firmy

Predstavitelia slovenských a českých firiem považujú v roku 2021 za aktuálne viaceré kybernetické hrozby – od malvéru, cez výpadky služieb, až po úniky či narušenia dát. Nárast kybernetických incidentov vnímajú ako najväčšie riziko pre svoju budúcu prosperitu – väčšie ako sú napríklad zmeny v legislatíve či nové regulácie, alebo nástup automatizácie a robotizácie.

Názor

Preťažení odborníci na IT bezpečnosť volajú o pomoc

Čo je v súčasnosti pre firmy a verejnú správu najväčšou starosťou pri zabezpečovaní prevádzky a posilňovaní kybernetickej bezpečnosti? Nie sú to technológie, ani odborné posudky a audity, ktoré legislatíva nariaďuje vybraným organizáciám absolvovať, ale nedostatok odborníkov na kybernetickú bezpečnosť, vzdelávanie a osveta, ako uviedlo 117 respondentov česko-slovenského prieskumu CySec Benchmark.

Oblasť bezpečnosti IT trpí nedostatkom ľudí dlhodobo. Pandémia však medzeru medzi potrebami a ponukou trhu práce ešte prehĺbila.

Neudržateľné preťaženie

Prvým dôvodom je angažovanie špecialistov na IT bezpečnosť v mnohých ad hoc projektoch, do ktorých sa firmy aj verejná správa počas pandémie pustili, aby vedeli zákazníkov obslúžiť na diaľku, umožnili zamestnancom pracovať z domu a zabezpečili tak kontinuitu prevádzky.

Druhým je nárast aktivity hekerov a digitálnych podvodníkov, pre ktorý bývajú bezpečnostní odborníci zahltení incidentmi. Štatistiky firmy xMatters uvádzajú, že ich riešením trávia najmenej polovicu času až v troch štvrtinách organizácií.

Špecialisti na bezpečnosť sú preto na jednej strane na trhu práce mimoriadne žiadaní, ale mnohí z nich sa oprávnene pýtajú, ako dlho dokážu ešte enormný tlak zvládnuť. Prirodzená reakcia v podobe zvýšenia ľudských kapacít nemusí byť schodná. Kvalitní ľudia na pracovnom trhu chýbajú a mnohé organizácie v neistých časoch utlmili či úplne zmrazili náborové aktivity.

Pomocná technologická ruka

Riešenie zdanlivo bezvýchodiskovej situácie môže manažérom zodpovedným za riziká priniesť automatizácia. Väčšina ľudí si tento pojem spája s robotmi v priemysle. Svoje miesto má však aj v bezpečnosti IT, a to v podobe inteligentných softvérových nástrojov. Tie pomáhajú napríklad blokovať útoky v reálnom čase, kontrolovať zhody s bezpečnostnými pravidlami organizácie a aplikovať tieto pravidlá bez vyťažovania ľudských zdrojov. Poskytujú  prepojenie medzi detekciou kybernetických hrozieb a následnou reakciou na bezpečnostné incidenty. Okrem úspory času eliminujú aj časté chyby spôsobené pracovníkmi v IT oddeleniach.

Prínosy automatizácie pre zvýšenie kybernetickej bezpečnosti – a tým aj obmedzenie vynútených výpadkov služieb a zaistenie biz-
nis kontinuity – sú nespochybniteľné. Podľa prieskumu Exabeam
automatizácia uľahčuje prácu a skracuje reakciu na bezpečnostné incidenty a zrýchlenie reakcie následne výrazne znižuje škody, ktoré prípadné narušenia bezpečnosti spôsobujú.

Kľúčová zbraň

Vo svetle týchto zistení nie je prekvapením, že automatizáciu bezpečnosti IT považujú odborníci pre úspešnú a efektívnu ochranu dát a sietí za kľúčovú. Pojem automatizácia však vyvoláva medzi odborníkmi aj negatívne konotácie. Až bezmála polovica 47 percent respondentov prieskumu Exabeam v nej vidí ohrozenie vlastného pracovného miesta.

Strach z nahradenia človeka strojom je odveký, ale vo svetle stoviek tisíc špecialistov na bezpečnosť IT, ktorých podľa neziskovej organizácie ICS(2) chýba iba na starom kontinente 300-tisíc, je vskutku neopodstatnený.

Automatizáciu v kybernetickej bezpečnosti netreba vnímať ako nepriateľa, ale ako príležitosť pre synergiu technológií s expertízou ľudí. Výsledkom je eliminácia ľudských chýb, obmedzenie stresu a preťaženia, efektívnejšie fungovanie jednotlivcov aj celého tímu a menšie riziká pre celú organizáciu.

Roman Čupka, odborník na kybernetickú bezpečnosť, hlavný konzultant Flowmon Networks a CEO Synapsa Networks

Od lídrov čakáme rozhodnosť

ANKETA: Ak by ste mali urobiť iba jedno zásadné rozhodnutie v kybernetickej bezpečnosti počas roka, ktoré by to bolo?

Ivan Makatura

generálny riaditeľ, Kompetenčné a certifikačné centrum kybernetickej bezpečnosti

Žiadne. Všetky strategické rozhodnutia sú už učinené. V tejto fáze rozvoja spôsobilostí v oblasti kybernetickej bezpečnosti nie sú potrebné rozhodnutia, ale už konečne ich uplatnenie v praxi. Okrem každodenných manažérskych rozhodnutí, ktoré sú nutné v operatívnom riadení, by nové strategické rozhodnutia vnášali do rozbehnutých procesov zbytočnú neistotu a dvojkoľajnosť. Budem spokojný, ak Slovensko dokáže efektívne implementovať aspoň časť nových regulácií v ochrane informačných aktív.

Rastislav Janota

riaditeľ, Národné centrum kybernetickej bezpečnosti SK-CERT

Najzásadnejšie rozhodnutie by malo byť, že kybernetická bezpečnosť sa týka každého z nás, jeho firmy alebo organizácie. Dnes si príliš veľa ľudí, paradoxne, myslí opak. Musíme v tejto oblasti začať vzdelávať seba a organizovať vzdelávanie vo svojich firmách. Začať od seba, svojej rodiny a zamestnancov – budovať bezpečnostné povedomie. Je to nesmierne dôležité pre bezpečnejšiu budúcnosť.

Tomáš Hettych

viceprezident, Asociácia auditu a kontroly informačných systémov

Pripravte sa na veľký dopyt po službách v kybernetickej bezpečnosti. Tento rok je termín na prvé audity v tejto oblasti a prevádzkovateľov základných služieb, ktorých sa to týka, sú stovky. Prvé audity kybernetickej bezpečnosti sú už za nami a výsledky nie sú veľmi pozitívne. Čaká nás veľa práce. Takže treba nájsť a certifikovať audítorov, začať radiť a „makať“ na auditoch.

Martin Oczvirk

riaditeľ odboru informačnej bezpečnosti a certifikácie, Úrad na ochranu osobných údajov

Ak len jedno rozhodnutie, tak potom strategické pre Slovensko. A tým je reálne a neodkladné investovanie do kybernetickej bezpečnosti. Nielen kupovaním existujúcich produktov od renomovaných firiem. Štát by mal masívne investovať do výskumných technologických centier pre kybernetickú bezpečnosť a začal osvetovú kampaň, aby zmysel ochrany v kybernetickom priestore pochopil každý. Aj keď to znie utopicky.

Lukáš Neduchal

podpredseda správnej rady, Asociácia kybernetickej bezpečnosti

Skúsim vybrať jedno, a možno prekvapivo nebude z oblasti prevencie. Ako vidíme takmer každý deň, útoky sú čím ďalej sofistikovanejšie, a preto je preventívna činnosť náročnejšia a nákladnejšia. Ak teda vychádzam z toho, že najdôležitejšie sú dnes dáta a z nich spracované informácie, tak zásadným rozhodnutím by bolo dôsledné dodržiavanie postupov a kontrol počas procesu tvorby zálohy dát, ich bezpečnej úschovy a možnosti ich rýchlej a kvalitnej obnovy.

Peter Dostál

generálny riaditeľ a predseda predstavenstva, Aliter Technologies, a. s.

Začnime hneď dnes používať viacfaktorové overovanie identity, alebo si aspoň zlepšime manažment hesiel. V poslednom čase všetci zápasíme s nekonečným množstvom rôznych hesiel do všetkých možných aplikácií. Používať to isté heslo všade je tá najhoršia cesta, pretože ak príde k prieniku do jedného systému, kompromitované budú všetky. Riešenie je pritom jednoduché – špeciálna aplikácia v mobile, ktorá pre každý systém vygeneruje v každom čase jednorazové doplnkové heslo. Alebo pre manažment hesiel existujú aplikácie, ktoré majú uložené heslá do všetkých systémov v zašifrovanom súbore.

Andrej Žucha

generálny riaditeľ, ALISON Slovakia

Jednoznačne investícia do riešení na ochranu údajov šifrovaním. Čím nižšia je ochrana údajov, tým vyššia je ich zraniteľnosť, či už sú to firemné, štátne alebo osobné údaje. Preto akúkoľvek investíciu – časovú alebo finančnú do šifrovacích riešení, počínajúc open source a končiac certifikovanými zariadeniami na úrovni štátnych autorít, považujem v roku 2021 za správnu a dobre zúročenú.

Roman Čupka

hlavný konzultant, výkonný riaditeľ, Flowmon Networks, Synapsa Networks

Podporil by som startupy v oblasti kybernetickej bezpečnosti. Napríklad vytvorením prehľadnej a jednoduchej dotačnej schémy pre inovatívne projekty a vývoj nových technológií, ktorá by začínajúcim podnikateľom pomohla konkurovať na globálnych trhoch. Je to jeden zo spôsobov, ako posúvať krajinu k znalostnej ekonomike a zároveň by to mohlo pomôcť zlepšiť osvetu a zvýšiť odolnosť slovenských organizácií voči kybernetickým rizikám.

Anna Stehlíková

manažérka pre bezpečnostné licencie pre región Čiech a Slovenska, Micro Focus

Minulý rok nás upozornil na nutnosť flexibility a rýchlosti našich softvérových riešení. Preto odporúčam posúdiť, ako inteligentne sa vie naša firma adaptovať. Inými slovami, ako inteligentnú máme kybernetickú stratégiu, či vieme automatizovať – strojové učenie, zisťovanie hrozieb a reakcie na ne, vzdialené prístupy, a či máme nasadené vhodné nástroje. Na tieto účely používame tzv. 360° test kybernetickej odolnosti.

Vladimír Mlynarčík

riaditeľ pre región Českej a Slovenskej republiky, Clico

Otázka kyberbezpečnosti je komplexným problémom. Nie je celkom možné oddeľovať jej jednotlivé zložky do samostatných celkov, pretože by sa tým zásadne míňal jej zmysel. Ak by som mal však niektorú oblasť vyslovene prioritizovať, tak pre rok 2021 vnímam ako kľúčovú tému bezpečnosť cloudového prostredia. Trend posunu aplikácií do cloudu a dát je tu prítomný už pomerne dlhý čas, otázka ich bezpečnosti je teda veľmi aktuálna.

Daniel Hetenyi

regionálny manažér, CyberArk

Rozhodne by som sa dal do „upratovania“ v oblasti správcovských účtov a používateľskej identity. Viete s istotou odpovedať, kto a ako využíva vaše silné administrátorské účty? Zneužitie identity a hlavne účtov s vysokými oprávneniami môže spôsobiť podniku značné škody, dokonca úplne zastaviť prevádzku. Preto je poctivá „hygiena“ silných účtov jedným z najefektívnejších nástrojov bezpečnostnej stratégie.

Jaroslav Oster

súdny znalec, Infoconsult

Za mňa by to bola určite dynamická akcelerácia procesov vzdelávania tém informačnej bezpečnosti vrátane oblastí, ako sú prevencia a vyšetrovanie IT kriminality. A to na všetkých úrovniach spoločnosti, samozrejme, podľa reálnych potrieb cieľovej skupiny. Počnúc školským systémom, cez zamestnancov štátnej správy, samospráv, nevynímajúc zdravotníctvo. Značné deficity v bezpečnostnom povedomí je nutné riešiť aj na úrovni vzdelávania súdov, prokuratúry a polície.

Ján Adamovský

riaditeľ bezpečnosti, Slovenská sporiteľňa

Firmám odporúčam venovať sa najmä konsolidácii bezpečnostných technológií. V praxi to totiž často funguje tak, že firmy na neustále vznikajúce hrozby reagujú nákupom tej najlepšej technológie, ktorá im pomáha problém riešiť. Keďže hrozieb je však čoraz viac, vo firme pribúdajú aj technológie a bezpečnostní manažéri sa dostávajú do začarovaného kruhu. Riešenie vidím práve v sústredení sa na menší počet technológií a v ich maximálnom využití.

Tomáš Zaťko

CEO, etický hacker, Citadelo

V oblasti testovania bezpečnosti rozšíriť štandardné penetračné testy aj o red teaming – penetračné testy „na steroidoch“, ktorých cieľom je dostať sa dnu akýmkoľvek spôsobom.

Marián Kľačo

vedúci oddelenia bezpečnosti informácií IT manažment kvality, Volkswagen Slovensko

Zvyšovanie povedomia o kybernetickej bezpečnosti. Každý IT používateľ, či už doma alebo v práci, je potenciálnym terčom útokov sociálneho inžinierstva. Sme tomu vystavení, tak my dospelí, ako aj naše deti. Všetko a všetci sú online. Na internete je veľa užitočných informácií, ale aj veľa nástrah. Preto je viac ako dôležité o nich vedieť, naučiť sa im brániť. Na školách, vo firmách a aj doma.

Roman Varga

manažér kyber bezpečnosti, Dôvera, zdravotná poisťovňa, a. s.

V našom firemnom mikrosvete je to rozšírenie ochrany pred takzvanými ransomvérovými útokmi. Okrem nasadenia EDR riešenia je to zrozumiteľná a cielená interná kyberedukácia a cvičné phishingové útoky. V sektore zdravotníctva je to spoločné hľadanie funkčných a bezpečných IT riešení. Tie väčšinou už na trhu existujú a môžu posunúť náš sektor dopredu. V minulosti sme s našimi riešeniami už posunuli štátne ezdravie (eHealth).

Pavol Adamec

výkonný riaditeľ oddelenia Riadenie rizík, KPMG Slovensko

Pracovné kybernetické predsavzatie je jednoduché: útočník je ako koronavírus. Nebudem preto podliehať pocitom a fámam a nechám priestor pre rady a činnosť odborníkom. Súkromné kybernetické predsavzatie je čisto hygienické podľa R-O-R vzoru: Rozumne budem doma inštalovať programy a nové inteligentné zariadenia. Odvážim sa preštudovať si menu svojich domácich zariadení a pravidelne kliknem na „aktualizovať firmvér“. Riadne a včas si zmením svoje domáce heslá.

Henrich Šnajder

manažér IT bezpečnosti, Orange Slovensko, a. s.

Vypracovanie a schválenie akčného plánu ako nevyhnutný krok k schválenej Národnej stratégii kybernetickej bezpečnosti 2021 – 2025. Ako kľúčové faktory úspechu vnímam rozvoj spolupráce štátu s prevádzkovateľmi základných služieb, kritickej infraštruktúry a poskytovateľmi digitálnych služieb, ďalej rozhodnutia a kroky vedúce k financovaniu a cielenej podpory realizovanej z verejných zdrojov za účelom funkčného zabezpečenia národného kybernetického priestoru.

Marek Zeman

vedúci oddelenia bezpečnosti informačných systémov, Tatra banka

Naša krajina potrebuje ľudí s vybudovaným bezpečnostným povedomím. Ak by som mal možnosť alebo právomoc, mojím prvým rozhodnutím by bolo naštartovať na Slovensku vzdelávanie o informačnej bezpečnosti na všetkých úrovniach. Zahŕňajúc všetky typy škôl, verejnú správu, zamestnancov a aj dôchodcov. Zodpovednosť za vzdelávanie by bola na pleciach jednotlivých inštitúcií. Obsah vzdelávania navrhujem riadiť centrálnou inštitúciou s dobrou víziou a plánom.

Ivan Kotuliak

dekan, Fakulta informatiky a informačných technológií STU Bratislava

V minulom roku nás prekvapila korona a jedným z najvýznamnejších rozhodnutí bol prechod na online vzdelávanie. Pri rozhodovaní o platformách je dôležitá aj bezpečnosť a privátnosť používateľov, preto by som urobil dôkladný audit najčastejšie používaných platforiem pre online vzdelávanie a snažil by som sa zvýšiť počet pripravovaných expertov, ktorý je dnes jednoznačne nedostatočný.

Jana Puškáčová

manažérka útvaru Informačná bezpečnosť, MOL IT & Digital Slovensko

Kybernetická bezpečnosť nie je len o IT rozhodnutiach, ako nakúpiť a implementovať bezpečnostnú technológiu. Na jednej strane je potrebné nájsť rovnováhu medzi dostupnými ľudskými a finan-čnými zdrojmi tak, aby sa čo najúčinnejšie zmiernila hrozba kybernetického incidentu a zachovala sa kontinuita podnikania. Na druhej strane je príliš veľa technických zraniteľností, nedostatočných bezpečnostných procesov a procedúr a zamestnancov vystavených technikám sociálneho inžinierstva, než koľko by bolo možné okamžite zaplátať, revidovať či zaškoliť. Preto je potrebné, aby rozhodnutia o tom, ako a koľko investovať do ľudí, procesov a technológií v kybernetickej bezpečnosti, boli prijímané v súlade s riadením a posúdením bezpečnostného rizika.

Richard Kiškováč

bezpečnostný konzultant, Digital Systems, a. s.

Základným predpokladom na zaistenie kybernetickej bezpečnosti sú zdroje. Z manažérskej praxe viem, že na elimináciu všetkých bezpečnostných rizík sú zdroje len málokedy a niekedy je ich množstvo silne limitované. Najmä v takejto situácii je zásadným rozhodnutím to, ako rozdeliť limitované zdroje na vyriešenie najkritickejších bezpečnostných rizík, alebo iba tých naozaj najzávažnejších slabín.

 

(Natívna informácia)