Digitalizace nás posunula do nové éry

S rostoucí digitalizací se úřady a samosprávy stávají cílem pro kybernetické útoky. Jak se bránit proti tomuto neviditelnému nepříteli?

O tom jsem hovořila s Vladimírou Teskovou, charismatickou expertkou na kybernetickou bezpečnost, která svým profesionálním zaměřením proráží skleněný strop v tradičně mužském světě IT a zároveň dokáže okouzlit svým přívětivým vystupováním. Jako členka Aliance All4Cyber, nezávislého sdružení, které spojuje přední společnosti v oblasti kybernetické bezpečnosti, přináší své zkušenosti a poznatky z praxe. Bezprostředně nastiňuje, proč je důležité věnovat pozornost této problematice a ze svých zkušeností doporučuje kroky, které by měly úřady a samosprávy podniknout, aby se ochránily před neviditelným nepřítelem. A kromě toho došlo i na otázku, jaké je být ženou v IT.

Co je podle vás největším problémem v oblasti kybernetické bezpečnosti v současné době?

Přeskočili jsme etapu přirozeného rozvoje IT a kybernetické bezpečnosti tím, že jsme velmi rychle přešli od nulového stavu k plné digitalizaci. Tato rychlost způsobila, že jsme nestačili přirozeně růst a vyvíjet se v oblasti IT a kybernetické bezpečnosti. Jen si vzpomeňte, jak rychle jsme se od prvního tlačítkového telefonu dostali k zařízením, ve kterém máte najednou celou kancelář, foťák, diktafon, banku, platby, prostě všechno.

Jak to, co popisujete, ovlivnilo naši připravenost na kybernetické hrozby?

Vznikla ohromná mezera v oblasti kybernetické bezpečnosti, kterou musíme co nejdříve zaplnit. IT jako takové je podhodnoceno, zejména co se týče investic a lidských zdrojů. Jeden IT specialista často zastává mnoho rolí, od správy počítačů a sítí až po návrhy nových řešení a opravy. Když se pak objeví požadavek na kybernetickou bezpečnost, je to často vnímáno jako součást IT, ale není tomu tak. Kybernetická bezpečnost je samostatný obor, který se sice s IT prolíná, ale není totožný. To je obzvláště problematické v institucích jako jsou kupříkladu nemocnice, kde je IT specialista vystaven velkému tlaku. Musíme si uvědomit, že kybernetická bezpečnost je stejně důležitá jako IT samotné a je nedílnou součástí naší digitální přítomnosti. Digitalizace nás posunula do nové éry, kde téměř vše probíhá v digitálním světě. Pracujeme, bavíme se, spravujeme své finance a vzděláváme se online. Přitom jsme ale také přesunuli svou bezpečnost do tohoto světa, aniž bychom jí věnovali dostatečnou pozornost. To je vidět na mnoha příkladech a jsou to zdánlivě banální věci, jako je obchodování v aplikacích nebo prodej zboží online. Přesto i při prodeji něčeho takového, jako je použitý svetr, můžete snadno přijít o peníze. Je to šokující, jak snadno se to může stát. Tyto problémy nejsou způsobeny pouze technickými chybami, ale také tím, že podvodníci využili vakua v oblasti kybernetické bezpečnosti a přesunuli své aktivity do digitálního světa.

To má od podzimu napravit směrnice NIS II přísnějšími pravidly pro tisíce firem včetně veřejné správy.

Bohužel je to ale opět vnímáno jako další regulace. Nicméně, právě tato regulace má sloužit jako ochranný obal, který nutí firmy, úřady a služby, aby se zabývaly svou kybernetickou bezpečností. Díky ní si musí klást otázky, zda spadám pod regulaci, co musí udělat pro její dodržování, jakou analýzu musí provést a zda poskytované služby a shromažďovaná data spadají do její působnosti. To vše vede k tomu, že začnou připravovat svůj systém na kybernetickou bezpečnost.

Jaké kroky byste doporučila samosprávě, která třeba dosud neuvažovala o zlepšení kybernetické bezpečnosti? Často se setkávám s názorem, že malá obec nebo úřad s malou agendou nepotřebuje tohle řešit.

Mnoho menších subjektů si myslí, že pokud nespadají pod zákon o kybernetické bezpečnosti, nemusí se tím zabývat, ale to je chybný přístup, protože i když nespadáte do regulace, můžete být ohroženi. Pokud úřad nebo samospráva chce zlepšit svou ochranu před kybernetickými hrozbami, měla by začít analýzou rizik a identifikací kritických míst. Základem je provést samoidentifikaci pomocí checklistu na webu NÚKIBu a zjistit, zda spadá pod regulaci kybernetické bezpečnosti. Následně by měla zhodnotit stav své kybernetické bezpečnosti, identifikovat aktiva a kritické systémy a položit si otázky „co kdyby“. Specialisté na kybernetickou bezpečnost jim mohou pomoci s analýzou a identifikací kritických míst a navrhnout opatření pro zlepšení kybernetické bezpečnosti. Je důležité rozlišovat mezi nezbytnými, žádoucími a ideálními opatřeními a začlenit je do plánu pro zlepšení kybernetické bezpečnosti. Podstatou je vědět, co se stane, když nastane určitá situace, a identifikovat největší průšvihy.

Jsou i nenákladná opatření, která mohou úřady a samosprávy přijmout, aby zlepšily svou kybernetickou bezpečnost?

Mnoho opatření, která jsou požadována, nestojí mnoho peněz nebo jsou dokonce zdarma. Problém často spočívá v tom, že se jim nikdo nevěnoval. Výborným příkladem, který ráda používám, je vícefaktorové ověření, jež je součástí mnoha existujících řešení, jako je Office 365. Stačí jej pouze zapnout. Přesto se často setkáváme s neochotou toto opatření využívat. Důvodem je často nechuť měnit zaběhlé postupy nebo obava z dočasných nepříjemností, jako je používání autentifikátoru v telefonu nebo přijímání ověřovacích SMS. Je však důležité si uvědomit, že toto jednoduché opatření může výrazně zvýšit bezpečnost.

Čím si myslíte, že to je?

Lidé často nechtějí používat nová bezpečnostní opatření, protože je to obtěžuje nebo protože jsou přetížení. Nicméně, když se vysvětlí výhody a rizika, většina lidí chápe, že je důležité zvýšit bezpečnost. Například zmiňované vícefaktorové ověření může být trochu nepříjemné, protože vyžaduje použití autentifikátoru v telefonu nebo přijetí ověřovací SMS. Ale proč je to tak důležité? Když někdo získá vaše uživatelské jméno a heslo, může se dostat do vašeho systému a způsobit škodu, aniž byste si toho všimli. Ale s vícefaktorovým ověřením, když se někdo pokusí přihlásit, přijde vám na mobil zpráva, a vy můžete okamžitě reagovat. Můžete zavolat správci systému nebo bezpečákovi a požádat ho, aby ověřil, co se děje. Tímto způsobem můžete zabránit potenciálnímu průšvihu a vyřešit kybernetický incident, aniž by došlo ke škodě.

Jaké nejčastější chyby zaměstnanců v oblasti kybernetické bezpečnosti jste zaznamenala?

Nejčastější chyby jsou způsobeny především důvěřivostí a nedostatečnou opatrností. Často se jedná o základní chyby, jako je neověřování pravosti e-mailů nebo klikání na odkazy v podezřelých zprávách. Problém je také v tom, že lidé často neprojeví dostatečnou skepsi a neověřují, zda je zpráva skutečně od toho, od koho se tváří. Když jdu do nějaké firmy, často vidím stejné chyby. Lidé jsou příliš důvěřiví a nepozorní. Například, při phishingových kampaních, které jsme prováděli, byla úspěšnost až 95 %. Mně běžně chodí na náš účet příkazy od spolumajitele. Například mi přijde e-mail, který vypadá, jako že je od něj, se žádostí: „Vlaďko, potřebuju zaplatit tohle“. Je to formulováno velmi osobně, obsahuje moje jméno a vypadá, jako že pochází od něj. Jenže tohle není náš standardní způsob komunikace. Problém je, že lidé často nepoužívají rozum a nezkontrolují, zda je e-mail skutečně od toho, od koho se tváří. To může vést k úspěšným phishingovým útokům. A ve velké společnosti by takový e-mail mohl projít bez povšimnutí, pokud by nebyl dostatečně ověřen. Pokud by útočník dokázal takový e-mail vytvořit a odeslat, mohl by mít úspěch. Je důležité, aby zaměstnanci byli pravidelně proškolováni a testováni, aby se předešlo potenciálním problémům.

Co se v tomto případě vyplatí?

Lidé by měli být opatrnější a zkontrolovat, zda e-mail je skutečně od uvedeného odesilatele. Měli by si všímat příloh a odkazů a neotvírat je bez přemýšlení. E-mailoví klienti často ukáží původní adresu odesílatele, aby uživatelé mohli vidět, zda je e-mail skutečně z dané organizace. Školení a demonstrace příkladů z praxe mohou pomoci lidem pochopit, proč je kybernetická bezpečnost důležitá a co se může stát, když nejsou opatrní. Proto je důležité je zaujmout a demonstrovat jim příklady z praxe. Například, v jedné finanční společnosti paní dostala e-mail, který vypadal jako faktura od kolegy. Když se jí nedařilo jej otevřít, poslala jej dál kolegovi, a ten ho poslal kolegyni. Nakonec se ukázalo, že e-mail byl škodlivý a zašifroval jim všechna data. Tato nehoda byla způsobena nepozorností a ochotou pomoci. Lidé jsou stále nejslabším článkem kybernetické bezpečnosti. Je důležité, aby organizace zvažovaly dopad případného útoku na své systémy a data a rozlišovaly mezi různými scénáři. Často se stává, že si organizace nekladou otázku, co se stane, když nebude fungovat nějaký systém nebo když přijdou o data. Tyto dvě věci jsou různé a je důležité je rozlišovat.

Mnoho měst a obcí využívá služeb kybermanažera. Co byste poradila starostům a tajemníkům úřadů, kteří zvažují najmutí kybermanažera pro své organizace, aby co nejlépe využili jeho služeb a zajistili kybernetickou bezpečnost svých úřadů a provozů?

Mně se role kybermanažera hodně líbí, ale doufám, že to nesklouzne do formalit, kdy někdo jednou za měsíc přijde, sepíše papír a odejde. Při výběru kybermanažera by měly úřady sledovat jeho schopnost komplexně zmapovat a ohodnotit rizika související s kybernetickou bezpečností. Rovněž by úřady měly zohlednit jeho zkušenosti s implementací kybernetické bezpečnosti v různých organizacích, zejména těch podobných jejich vlastní organizaci. Důležité je, aby kybermanažer byl schopen komunikovat se zaměstnanci na různých úrovních, identifikovat kritické zranitelnosti a zajistit jejich odstranění. Měl by být schopen navrhnout a implementovat opatření odpovídající specifickým potřebám úřadu a vytvářet bezpečnostní kulturu uvnitř organizace. Zároveň by měl zajistit, aby úřad splňoval zákonné požadavky na kybernetickou bezpečnost. Úřady by měly také zvažovat reference a zkušenosti z jeho předchozích projektů. Díky pečlivému výběru mohou úřady zvýšit svou odolnost vůči kybernetickým hrozbám a zajistit bezpečnost svých systémů a dat.

Co byste doporučila úřadům i s menším rozpočtem, aby se staly „obtížnější kořistí“ pro útočníky a minimalizovaly tak riziko kybernetických útoků?

Pro úřady s omezeným rozpočtem je klíčové začít s analýzou rizik a identifikovat oblasti, které potřebují zlepšení. Dále je důležité implementovat základní opatření, jako je antivirový software a zálohování dat. Pokud vám někdo tvrdí, že vám může poskytnout stoprocentní zabezpečení, tak nejspíš lže. Nic není zcela bezpečné, ale můžete se snažit udělat maximum pro to, co můžete ochránit, a mít zálohy pro případ incidentu. Tímto způsobem můžete snížit riziko kybernetických útoků a minimalizovat jejich dopad. Úřady by také měly zvážit investici do cloudových služeb, které mohou poskytnout zabezpečené úložiště pro data. Kybernetická bezpečnost je kontinuální proces, který lze rozložit na několik let, a je důležité ji průběžně zlepšovat. Nemusíte provádět velké investice najednou; stačí průběžně identifikovat a posilovat slabá místa v systému.

Zmiňovala jste zálohování dat jako základní opatření…

Ano, zálohování je jedna z nejlepších věcí, které můžete udělat pro svou kybernetickou bezpečnost. Je to podobné jako používání airbagů v autě – neřeknete „ne airbagům“, protože v případě nehody vám mohou zachránit život. Stejně tak je důležité mít zálohy dat, abyste v případě kybernetického útoku nebo jiné katastrofy mohla obnovit své důležité informace. Obecně je důležité uvědomit si, že nechcete být snadným cílem pro útočníky. Pokud děláte vše pro to, abyste měla ochranu, budete mít větší šanci vyhnout se problémům.

Jak se žena ocitne v oblasti IT, kde převládají muži?

V této oblasti jsem se ocitla díky své mamince, která se rekvalifikovala na IT ve věku 53 let. Odmalička jsem byla obklopena tímto prostředím a nikdy mi nepřišlo divné být v mužském světě. Když jsem nastoupila do IT, zjistila jsem, že je to pro mě přirozené. Navíc se situace v posledních letech změnila – v naší firmě máme nyní rovnoměrné zastoupení mužů i žen. Ženské myšlení v kybernetické bezpečnosti má své opodstatnění a dobře funguje v kombinaci s mužským přístupem. Různorodost myšlení hraje obrovskou roli při bezpečnostní analýze a nejlepší výsledky dosahujeme, když pracujeme společně.

Gabriela Rezková

Vladimíra Tesková

(*1981)

Spoluzakladatelka, spolumajitelka a COO české technologické a vývojářské společnosti TeskaLabs.

Společně s týmem se dlouhodobě věnuje vývoji pokročilých softwarových řešení pro kybernetickou bezpečnost, včetně log managementu, SIEM a PKI řešení, která pomáhají firmám splňovat vysoké bezpečnostní standardy. Jako členka Aliance All4Cyber sdílí své zkušenosti a cenné rady spolu s dalšími experty na různých akcích, jako jsou konference, webináře a semináře, se zaměřením na klíčové technologie a nástroje, které firmám pomáhají čelit rostoucím kybernetickým hrozbám.

Deset kroků ke zlepšení kybernetické bezpečnosti

1. Začněte s analýzou rizik a identifikujte oblasti, které potřebují zlepšení, přičemž náklady by měly být přiměřené velikosti úřadu.
2. Implementujte základní opatření, jako je antivirový software, vícefaktorové ověření, zálohování dat
3. Zvažte investici do cloudových služeb, které mohou splnit legislativní požadavky na kybernetickou bezpečnost.
4. Použijte služby, které běží v certifikovaných datových centrech a poskytují zabezpečené úložiště pro data.
5.  Mějte k dispozici logy z jednotlivých zařízení, které mohou pomoci při vyšetřování případných incidentů.
6. Mějte plán na obnovu dat v případě incidentu a buďte schopni prokázat, že jste přijali nezbytná opatření k zabezpečení svých systémů.
7. Minimalizujte vektory útoku a snižte počet možných vstupních bodů pro útočníky.
8. Mějte realistická očekávání a pochopte, že žádná investice nemůže garantovat stoprocentní bezpečnost.
9. Průběžně identifikujte a posilujte slabá místa v systému, abyste postupně zlepšovali celkovou bezpečnost a snižovali riziko kybernetických incidentů.
10. Mějte zálohy pro případ incidentu, abyste mohli snížit riziko kybernetických útoků a minimalizovali jejich dopad.