BQ5A3158-RGB

Ako prežiť kyberútok?

Treba zachovať chladnú hlavu, nepodliehať panike a zhromaždiť dôkazy. A byť pripravený.

Zabezpečiť kontinuitu svojho podnikania bez vkladu do kyberbezpečnosti je v dnešnom online svete nemožné. Napriek tomu ju firmy radia na chvost investičných priorít. Len málo manažérov si uvedomuje, že reputačné a finančné následky po útokoch môžu naprávať roky. Viac sa dozviete v rozhovore s expertom na kybernetickú bezpečnosť Ľubomírom Kopáčkom.

Ako pristupujú slovenské firmy k otázke kyberbezpečnosti?

Väčšina sa touto témou zaoberá, až keď je neskoro. Najčastejšie ak už organizácia čelila útoku, ak je predmetom zákonnej regulácie, a ak má materskú firmu v zahraničí alebo potrebuje naplniť požiadavku na kyberbezpečnosť od svojich obchodných partnerov. Treba povedať, že výrazne lepšia situácia je práve v spoločnostiach so zahraničnou účasťou, kde sa kyberbezpečnosť berie vážne. Predovšetkým to platí vo firmách pochádzajúcich z Nemecka a Francúzska.

Podobná situácia je aj v štátnych inštitúciách?

Tie sa v drvivej väčšine iba snažia formálne naplniť požiadavky zákona o kybernetickej bezpečnosti. Od jeho účinnosti žijú v omyle, že po audite je pre nich téma uzatvorená. Neuvedomujú si, že audit sa bude pravidelne opakovať a teda, že kybernetická bezpečnosť musí byť systematicky riadená.

Mnoho manažérov nemá prehľad v problematike kybernetických útokov. Čo by ste im poradili?

Pohnúť sa z bodu nula je často najťažšie. Práve tu je potrebné žiadať o pomoc a pomôcť. Ako prvé je dôležité poznať mieru ohrozenia aspoň v hrubých rysoch. Na tento účel odporúčam jednoduchý nástroj „Dáta v ohrození?“. V priebehu 5 minút zodpoviete 10 krátkych otázok a následne získate vyhodnotenie, ktoré vám ukáže cestu ako nad problémom uvažovať. A čo je najdôležitejšie – nasmeruje vás k ďalším krokom ako problém riešiť.

Aký je motív útočníkov pri cielení na firmy a organizácie?

Neexistuje jednotný motív, ale najbežnejšie motívy sú peniaze a poškodenie organizácie.

Dá sa konkretizovať, koľkým útokom čelia slovenské firmy a štátne inštitúcie v ročnom priemere?

Nedá. Zasiahnuté subjekty sa k útokom neradi priznávajú, vnímajú to ako reputačné riziko a obávajú sa poškodenia dobrého mena. Štátne inštitúcie a organizácie, ktoré sú regulované zákonom o kyberbezpečnosti, majú zákonnú povinnosť hlásiť závažné incidenty autorite, v tomto prípade Národnému bezpečnostnému úradu. Takáto informácia je však predmetom utajenia a teda sa o nej okrem dotknutej inštitúcie a NBÚ nik nedozvie.

Existujú aj subjekty, ktoré kyberútokom nečelia?

Ak si to nejaká spoločnosť myslí, je to utópia a jednoznačný dôkaz, že majú nulovú viditeľnosť. V skutočnosti o žiadnych incidentoch nevedia preto, lebo nie sú schopné ich identifikovať. Incidentom čelí každá jedna firma alebo štátna inštitúcia bez výnimky. Z toho čo vravíte vyznieva, že slovenské subjekty venujú kyberbezpečnosti nedostatočnú pozornosť. Hoci je v dnešnom online svete nevyhnutná pre zabezpečenie ich biznis kontinuity. Prevažne ju považujú za zbytočnú investíciu. Nedochádza im, že môžu prísť o cenné dáta, citlivé informácie, ohrozený môže byť výrobný proces, a v hre je aj strata dôveryhodnosti pred klientami či dodávateľmi, ktorú si budovali roky. Schopní manažéri dobre vedia, aké ťažké je firmu budovať a určite si dokážu predstaviť, že ešte ťažšie by bolo napraviť si reputáciu po takomto incidente. Mnoho firiem používa dokonca stratégiu, kedy si spočítajú škody pri najhoršom možnom scenári, toto číslo si porovnajú s výškou investícií do kyberbezpečnosti, a rozhodnú, že potenciálne škody sú jednorazovo akceptovateľné. To môže z čisto ekonomického pohľadu dávať zmysel. Áno, ale má to chybičky krásy. Ten najhorší možný scenár sa môže zopakovať, a nie raz. Bude sa opakovať dovtedy, kým organizácia nezačne kyberbezpečnosť aktívne riadiť tak, aby mohla útokom predchádzať. Tu už ekonomický pohľad až taký zmysel nedáva. Incidenty môžu byť pre firmy aj likvidačné.

Čo je potrebné zmeniť, aby dokázali moderní manažéri incidentom predísť?

Ideálne by bolo, ak by mali organizácie úprimnú snahu a záujem riešiť kyberbezpečnosť bez toho, aby im to niekto prikazoval. Toto sa však nedeje. Potrebná je zmena myslenia a edukácia manažérov, pretože žiadneho manažéra len tak neosvieti a nepovie: Poďme minúť 5 percent zo zisku na kyberbezpečnosť. Potrebuje vedieť o hrozbách aj možnostiach ochrany, aby vedenie nemuselo aktivovať plán obnovy po katastrofe (Disaster Recovery – DR), ktorým sa potom činnosť organizácie dostáva do normálneho stavu. V skratke je potrebné dostať sa z reaktívneho prístupu na proaktívny.

Hovorili ste o pláne obnovy po katastrofe, ten je nevyhnutnou súčasťou plánu na udržanie biznis kontinuity (Business Continuity Plan – BCP). Čo to ale znamená v súvislosti s kyberbezpečnosťou?

Je potrebné mať pripravené a najmä pravidelne testované rôzne scenáre, ktoré majú vplyv na chod a prežitie organizácie v súvislosti s rôznymi „katastrofami“. Aktuálnym príkladom je povinná práca z domu. Tak, ako bol home office štátom nariadený, sa dá hovoriť o katastrofe z pohľadu biznisu. Ak má organizácia plán na zvládnutie napríklad totálneho a dlhodobého výpadku dodávky elektrickej energie, tak tento istý plán môže aktivovať aj pri povinnej práci z domu, je to totiž presne to isté. Keď príde organizácia o napájanie elektrickou energiou na dlhší čas, tiež môže väčšinu zamestnancov iba poslať domov. Ak chce tento výpadok organizácia prežiť, musí mať pripravený a otestovaný scenár, ako prácu organizovať na diaľku. Dobrou správou je, že v oblasti kyberbezpečnosti netreba nič vymýšľať na kolene, keďže existujú normy a medzinárodné štandardy, ktoré nám pri tvorbe BCP krok za krokom dokážu poradiť ako takéto plány zostavovať.

Čo je teda potrebné riešiť v rámci plánu biznis kontinuity?

Na detailnú odpoveď by nám nestačilo ani niekoľko desiatok strán. Stručné zhrnutie: je nevyhnutné mať plány pripravené tak, aby sa neriadená kyberbezpečnosť nestala prostriedkom, ktorý bude zosilňovať dopady katastrofy. Konkrétnym príkladom je, že spoločnosti by sa mali vyvarovať tomu, aby v prípade nútenej práce z domu pracovali zamestnanci na svojich domácich počítačoch. Dôvod je jednoduchý. Organizácia nemá tieto počítače pod kontrolou a mohli by sa stať prostriedkom pre kybernetický útok na ňu.

Líšia sa plány a úroveň zabezpečenia proti kyberútokom podľa veľkosti, druhu či zamerania firiem?

Samozrejme. Zabezpečenie potrebujú mať vytvorené na mieru podľa toho, či ide o finančnú inštitúciu, online podnikanie alebo sú orientovaní na priemysel a výrobu. Líšia sa nielen podľa sektora, ale úroveň zabezpečenia je rôzna v každej jednotlivej spoločnosti. Mala by byť primeraná účelu a ekonomickým možnostiam organizácie. Toto sa dá jednoznačne nastaviť. Umením je nájsť primeranosť výšky investícií k potenciálnym škodám. U všetkých však platí, že najcennejšie sú dáta a v tom prípade je nepodstatné, o aký sektor ide.

Ako by teda mala vyzerať príprava na kybernetický útok?

Na útok musíme vedieť hlavne reagovať a ideálne mu predchádzať. Dá sa dostať do súladu s niečím, čo je vyskúšané a keď sa toho budeme držať, tak s veľkou pravdepodobnosťou budeme vedieť na útok reagovať. Hovorím napríklad o norme ISO 27001, alebo o vyhláške 362/2018, prípade iné vhodné štandardy.

Je nakoniec možné útok zastaviť?

Len vtedy, keď máme schopnosť ho identifikovať a disponujeme ľuďmi a prostriedkami na jeho zastavenie, alebo aspoň zmiernenie dopadov. V praxi by som manažérom poradil, aby si v takejto situácii zachovali chladnú hlavu, nepodliehali panike a zhromaždili čo najviac dôkazov. Ak si nevedia poradiť sami, mali by požiadať o riadenie celej udalosti špecializovanú firmu. Rozhodne nie je namieste riešiť to svojpomocne.

Aké je Vaše odporúčanie na záver?

Na nič nečakajte! Budem sa opakovať, ale v ohrození je každá jedna firma, a pripravených je len málo. Spraviť aspoň malý krok je lepšie ako nespraviť nič. Na začiatok odporúčam už spomínaný jednoduchý nástroj „Dáta v ohrození?“.

Publikované: 18. mája 2021

Zuzana Omelková

Kybernetická bezpečnosť

Tento článok je súčasťou magazínu č.

Publikované: 18. mája 2021

reklama
reklama