Kybernetická bezpečnosť a nová legislatíva

Kybernetická bezpečnosť už nie je (av skutočnosti nikdy nebola) vlastná len veľkým spoločnostiam, štátnym organizáciám a bezpečnostným zložkám. Ohrození sú všetci používatelia informačných systémov a výpočtovej techniky všeobecne. Každý rok prebehnú tisíce útokov spôsobujúcich škody v rádoch desiatok až stoviek miliónov korún. 

Bezpečnostné hrozby

Bezpečnosť podnikového IT je kľúčovým faktorom pre ochranu dôvernosti, integrity a dostupnosti informácií v organizácii. Bezpečnostné hrozby, ako sú hackerské útoky, phishing, malware a sociálne inžinierstvo, môžu mať devastujúce účinky na podnikové systémy a procesy, čo môže viesť nielen k už spomínanej finančnej strate, ale tiež veľmi často k strate dobrej povesti a môžu mať aj právne dôsledky.

V Českej republike sa kybernetickou bezpečnosťou zaoberá Zákon o kybernetickej bezpečnosti č. 181/2014 Zb (ZKB) a Vyhláška č. 82/218 Zb. Tieto záväzné dokumenty korešpondujú s európskou smernicou NIS (Directive on Security of Network and Information Systems) z roku 2016 a týkajú sa prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb ako napríklad zdravotníctva, verejnej správy, digitálnej infraštruktúry, energetiky, infraštruktúry finančných trhov a podobne. Ukázalo sa, že tento rozsah je nedostatočný a celkovo je potrebné požiadavky na kybernetickú bezpečnosť aktualizovať.

Koncom minulého roka bola na európskej úrovni vydaná nová norma NIS2, ktorá bude v Českej republike zavedená v polovici roku 2024 formou novelizácie ZKB. Nová norma NIS2 je vcelku logickým pokračovaním už aplikovanej smernice NIS a reaguje na potrebu zaistiť dostatočnú úroveň kybernetickej bezpečnosti u podstatne rozšíreného okruhu povinných subjektov.

Nová smernica si kladie za cieľ najmä:

• zabezpečenie dostatočnej miery kybernetického zabezpečenia podnikov a inštitúcií pôsobiacich v EÚ,
• vyrovnanie rozdielov v odolnosti medzi jednotlivými členskými štátmi a odvetviami,
• zavedenie jednotnej stratégie členských štátov proti najvýznamnejším hrozbám a útokom,
• umožnenie spoločnej reakcie na prípadné krízy,
• podstatné rozšírenie okruhu inštitúcií, ktoré ju budú musieť povinne splniť.

Počas roku 2023 a prvej polovice roku 2024 majú firmy z verejného a súkromného sektora čas na prípravu plnenia nových povinností. Konkrétne sa odhaduje, že počet povinných organizácií stúpne z existujúcich niekoľkých stoviek na šesť až sedem tisíc. Je ale dôrazne odporúčané sa kybernetickou bezpečnosťou na podnikovej úrovni veľmi zaoberať aj v prípade, že daná organizácia nebude pod NIS2 spadať a využiť nový zákon ako odporúčanie pre realizáciu podnikových bezpečnostných opatrení.

Tu nájdete novú smernicu EÚ o kybernetickej bezpečnosti „NIS2“ a návrh NOVÉHO ZÁKONA O KYBERNETICKEJ BEZPEČNOSTI, plánovaná platnosť zmien v kybernetickej bezpečnosti od 2024.

Spoločnosť OR-CZ je v súčasnej dobe vo finálnej fáze prípravy na certifikáciu podľa ZKB a vyhlášky 82/2018 Zz, to znamená podľa pôvodnej smernice NIS. V procese zavádzania požiadaviek ZKB sme získali značné znalosti a skúsenosti so zavádzaním kybernetickej bezpečnosti. Naša spoločnosť je tiež poskytovateľom celého radu bezpečnostných prostriedkov a technológií ako sú firewally, antivírusy, zálohovanie, bezpečnostný dohľad, etický hacking. Vítame teda novú smernicu a sme pripravení poskytnúť našim zákazníkom plnú podporu so zavádzaním najnovších bezpečnostných štandardov a účinných bezpečnostných postupov, aby minimalizovali riziko útokov a ochránili svoje dôležité informácie a operácie.

Smernica NIS2 stanovuje množstvo požiadaviek na výrobné podniky rôznych odvetví, poskytovateľov digitálnych služieb, výskumné organizácie a prevádzkovateľov kritickej infraštruktúry. Niektoré z najdôležitejších požadovaných opatrení:

1. Zabezpečenie siete: Organizácie budú musieť zabezpečiť, aby ich siete a informačné systémy boli chránené proti neoprávnenému prístupu, útokom a zneužitiu. To zahŕňa implementáciu bezpečnostných opatrení ako sú firewall, antivírusové programy, šifrovanie a ďalšie.
2. Identifikácia a overovanie: Organizácie budú musieť implementovať identifikačné a overovacie mechanizmy pre užívateľov, zariadenia a aplikácie. To zahŕňa dvojfaktorovú autentizáciu, heslá s vysokou úrovňou komplexity a ďalšie.
3. Zabezpečenie dát: Organizácie budú musieť zabezpečiť, aby citlivé dáta boli chránené proti neoprávnenému prístupu, zneužitiu a strate. To zahŕňa použitie šifrovania, zálohovania dát a ďalšie bezpečnostné opatrenia.
4. Kontinuálny monitoring: Organizácie budú musieť vykonávať pravidelný monitoring svojich informačných systémov a sietí, aby mohli rýchlo identifikovať a reagovať na bezpečnostné incidenty.
5. Plánovanie a pravidelné testovanie: Organizácie budú musieť mať plán pre riadenie bezpečnostných rizík a pravidelne testovať svoje bezpečnostné opatrenia.
6. Správy o bezpečnostných incidentoch: Organizácie budú musieť informovať relevantné orgány o bezpečnostných incidentoch, ktoré môžu mať vplyv na ochranu kritickej infraštruktúry alebo digitálnych služieb.

OR-CZ môže byť nápomocná pri implementácii NIS2 a zaistení bezpečnosti vášho IT:

1. Zavedenie silných hesiel: Používanie silných a unikátnych 8 hesiel pre všetkých užívateľov, vrátane administrátorov, je kľúčovým prvkom zabezpečenia podnikového IT.
2. Zavedenie viacfaktorovej autentifikácie: Autentifikácia s viacerými faktormi vyžaduje, aby používatelia dokázali svoju identitu (mimo hesla) pomocou niekoľkých rôznych metód, napríklad PINu, biometrických informácií, bezpečnostných tokenov a iných vopred stanovených informácií.
3. Používanie firemného antivírusového softvéru: Antivírusový softvér pomáha chrániť počítačovú sieť pred vírusovými útokmi a inými bezpečnostnými hrozbami.
4. Šifrovanie dát: Šifrovanie dát je dôležitou súčasťou ochrany dátových súborov pred neautorizovaným prístupom.
5. Zabezpečenie siete: Sieťové bezpečnostné opatrenia, ako sú firewally, VPN a ďalšie, pomáhajú chrániť počítačovú sieť pred neautorizovaným prístupom a útokmi.
6. Pravidelné aktualizácie softvéru: Pravidelná aktualizácia softvéru je dôležitá na odstránenie chýb a zaistenie, že podnikové IT je v bezpečí.
7. Monitorovanie siete: Monitorovanie siete pomáha odhaliť potenciálne bezpečnostné hrozby a pomôže IT oddeleniu na ne rýchlo reagovať.
8. Obmedzenie a logovanie prístupu: Obmedzenie prístupu umožňuje prideliť používateľom prístup iba k tým zdrojom, ktoré potrebujú na prácu a všetky prístupy a požiadavky centrálne logovať.
9. Udržiavanie záloh dát: Udržiavanie záloh dát pomáha obnoviť dáta po malware útoku alebo inom poškodení.
10. Vzdialený prístup: Vzdialený prístup poskytuje používateľom prístup k sieti a súborom z akéhokoľvek miesta po celom svete. Je dôležité zabezpečiť, aby vzdialený prístup bol bezpečný.
11. Zavedenie princípu Zero Trust.

Posledný bod má zásadnú dôležitosť, pretože v skratke hovorí: Každý je nepriateľ a teda:

• každý zdroj je hrozba,
• každá komunikácia je potenciálne nebezpečná,
• nikto nikam nesmie a ak áno, musí byť jasne zdôvodnené prečo a čo tam bude robiť,
• o všetkom musia byť záznamy,
• neexistujú žiadne bočné a neautorizované cesty, každý prístup musí byť autorizovaný.

Princíp Zero Trust odráža skutočnosť, že 80-90 % všetkých kybernetických bezpečnostných incidentov spôsobujú tzv. oprávnení používatelia. Zero Trust je možné chápať ako bezpečnostný model, ktorý sa sústredí na to, aby sa žiadny užívateľ, zariadenie alebo aplikácia nedomnievali, že majú automaticky dôveryhodný prístup k akejkoľvek časti siete alebo systému. To znamená, že každý užívateľ, zariadenie a aplikácia musia byť overení a autorizovaní pred tým, než im bude kamkoľvek povolený prístup a tento prístup musí byť zaznamenaný. Zero Trust predpokladá, že každá časť siete, každý server, stanica alebo aplikácia môže byť ohrozená a sústredí sa na minimalizáciu rizika a ochranu každého prvku siete zvlášť.

Koncept Zero Trust kladie dôraz na identitu a overenie používateľa alebo zariadenia, nie na to, kde sa nachádza alebo akým spôsobom sa pripájajú k sieti. Z tohto dôvodu sa Zero Trust často označuje ako „identity-centric“ prístup.

Organizácia by mala prijať Zero Trust ako jeden z bezpečnostných modelov na plnenie požiadaviek NIS2 a minimalizovať počet ľudí, ktorí majú prístup k citlivým informáciám a systémom a mala by vytvoriť protokoly pre detekciu a reakciu na bezpečnostné incidenty.

Pri budovaní tejto koncepcie je možné vychádzať z princípov nulovej dôvery amerického Národného inštitútu štandardov (NIST) a výsledkom uplatnenia týchto princípov je a malo by byť výpočtové prostredie so značnou odolnosťou proti väčšine typov napadnutia. Princípov podľa NIST je obvykle uvádzaných sedem nasledujúcich:

1. Všetky zdroje dát a výpočtové služby sú považované za zdroje.
2. Všetka komunikácia je zabezpečená bez ohľadu na umiestnenie v sieti.
3. Prístup k jednotlivým organizačným zdrojom je poskytovaný na základe relácie.
4. Prístup k zdrojom je určený dynamickou politikou vrátane pozorovateľného stavu identity klienta, aplikácie/služby a žiadajúceho aktíva a môže zahŕňať ďalšie atribúty správania a prostredia.
5. Organizácia monitoruje a meria integritu a bezpečnostné postavenie všetkých vlastnených a pridružených aktív.
6. Pred povolením prístupu je všetka autentizácia a autorizácia prostriedkov dynamická a prísne vynútená.
7. Organizácia zhromažďuje čo najviac informácií o aktuálnom stave aktív, sieťovej infraštruktúre a komunikácii a využíva ich na zlepšovanie svojej bezpečnostnej pozície.

Implementácia týchto princípov je, ako už bolo uvedené, veľmi rozdielna a neexistuje produkt, ktorý by ju komplexne zaistil. Napríklad spoločnosť Microsoft vidí ako kľúčový krok na zabezpečenie Zero Trust migráciu do cloudu.

V OR-CZ staviame na dokonalom zmapovaní všetkých zdrojov a stanovení stupňa rizika s cieľom indikovanej neprijateľnej hodnoty pokiaľ možno odstrániť.

V praxi navrhujeme a používame osvedčené a odporúčané riešenia, ktoré sme pripravení implementovať u našich zákazníkov. Rozhodne ale nemôže ísť o statickú záležitosť. Naopak je nutné, aby princípy nulovej dôvery boli neustále aktualizované a prispôsobované novým skutočnostiam. V poslednej dobe ide napríklad o internet vecí, umelú inteligenciu, vysoké dekryptovacie výkony grafických kariet a ďalšie skutočnosti.