Bezpečnost informací a kybernetického prostoru

Standardy pokrývající oblast zabezpečení firemních informací vznikly již před více jak dvaceti lety v rámci stanovení postupů pro bezpečnost informací. Od té doby ale uplynula dlouhá doba, během níž se dramaticky proměnily hrozby a s nimi související rizika, zejména protože se informace kdysi ukládané ve fyzické formě dostaly do virtuálního internetového prostoru. „Naší misí je podpořit firmy v prezentaci jejich systémů managementu informační bezpečnosti,“ říká Ing. Roman Prášek, Ph.D., manažer Cyber Security Services ve společnosti TÜV SÜD. „Využíváme přístupy, které vedou organizace k reakci na dlouhodobé i aktuální hrozby a k optimalizaci nastavení systému managementu informační bezpečnosti.“

Představte si internet jako silniční síť, po které se vozí zlaté cihly. Zlaté cihly vaší firmy zajištěné vysokými ploty s bránami, které se otevírají jen povolaným návštěvníkům. Ty zlaté cihly jsou vaše informace ve formě dat, na něž si brousí zuby kdekdo a z různých důvodů. Chce je buďto přímo odcizit, nebo třeba ‚jen‘ znepřístupnit a vymáhat za jejich uvolnění tučné výkupné. Ať již je záměr útočníka jakýkoli, vždy sleduje slabá místa od dopravy (šifrování informací), díry v plotech (systém zabezpečení), či chování jednotlivců, kteří s nimi (ne)opatrně nakládají. Riziko úniku či ztráty dat ale nehrozí jen zvnějšku, nýbrž i zevnitř, pokud nejsou zaměstnanci řádně poučeni a proškoleni v otázkách kyberbezpečnosti. A v ohrožení nejsou jen vaše cenná data, ale také data vašich obchodních partnerů. Kybernetická bezpečnost a s ní úzce související bezpečnost informací jsou proto dnes nejvyšší prioritou pro prevenci vzniku hmotných i reputačních ztrát a udržování konkurenceschopnosti. A neplatí to pouze pro subjekty kritické infrastruktury nebo nadnárodní korporace, ale pro firmy všech velikostí a oborů podnikání.

Důvodů, proč se zabývat certifikací právě v téhle oblasti, je celá řada, tím primárním je samozřejmě ochrana duševního vlastnictví firem a ochrana před kybernetickými útoky. Z byznysového pohledu vám certifikace umožňuje rozšiřovat podnikání – řada firem ji po svých dodavatelích dnes přímo vyžaduje. Certifikace také výrazně pomáhá i ke získání státních zakázek, protože firma pak může zákazníkům z této oblasti jednodušeji doložit i soulad s legislativními požadavky.

„Standardy, podle kterých se certifikuje bezpečnost informací a kyberbezpečnost, se neustále vyvíjejí a doplňují tak, aby odpovídaly požadavkům doby. Spolupráce s námi samozřejmě nevyřeší firmě všechny její problémy, ale může jí poměrně zásadně pomoci v identifikaci rizik a hrozeb a jejich eliminaci,“ říká Roman Prášek. „Naší rolí je především kontrola nastavených procesů a prověřování správného nastavení odpovědností. Audit plnění příslušných standardů může firmě pomoci „otevřít oči“ v těchto otázkách a najít kritická místa v jejím systému – protože každý systém je tak silný jako jeho nejslabší článek.“ 

Možností ohrožení firemních systémů či úniků informací dnes existuje nespočet. Proto i skupina norem, které se na tuto problematiku soustředí, je poměrně široká. „Nejznámějšími standardy jsou ISO/IEC 27001, což je mezinárodní norma pro systémy řízení informační bezpečnosti, a ISO/IEC 27002, která obsahuje soubor postupů pro opatření informační bezpečnosti. Vedle toho však existují i další standardy orientované na specifické oblasti – ochranu osobních údajů, cloudová řešení, fungování kritické infrastruktury typu zdravotnických či energetických provozů,“ vysvětluje Roman Prášek a dodává: „Ovšem ne každá firma musí nutně použít všechny existující standardy, a právě i v této oblasti jim dokážeme pomoci – orientovat se v současných předpisech, aby bez rozmyslu neaplikovaly vše a nepořizovaly kvůli tomu nákladný hardware či software, které pro certifikaci bezpečnosti informací a kyberbezpečnosti ve svém oboru nepotřebují. Naší snahou je vždy vybírat ta nejúčinnější opatření ke snížení rizik jak z normy ISO/IEC 27001, tak jiného standardu, protože kromě jmenované ISO/IEC 27001 existují ještě mezinárodní standardy, např. ze USA nebo jiných zemí, které všechny reagují na současný rychlý vývoj v této oblasti a zavádějí nová opatření.“

Co všechno takový audit vlastně zahrnuje a na co se firmy mají připravit? „Do firem vždy přicházíme se znalostí možných rizik. Přitom se neustále objevují nové hrozby a my musíme znát všechna aktuální vhodná protiopatření. Existuje navíc nespočet různých technologií a stále se objevují nové. V některých případech může být jejich používání v pořádku, jinde však už představují riziko,“ popisuje šíři záběru při auditech Roman Prášek. „Naší rolí je upozorňovat na možná rizika a ptát se zákazníků, zda si je uvědomují a jaká v této souvislosti mají opatření. Procesů dotýkajících se ochrany informací a kyberbezpečnosti je ve firmách celá řada – a samozřejmě je nemůžeme reálně kontrolovat všechny, takže prověřujeme namátkově, u těch vybraných však chceme doložit provádění ochrany v praxi a jdeme mnohdy do nejmenších detailů.“

Podobně jako v jiných oblastech bezpečnosti je klíčovým a nejzranitelnějším faktorem člověk. V případě bezpečnosti informací a kyberbezpečnosti to platí obzvláště, protože právě ten, kdo obsluhuje klávesnici, může do firmy bezděky pustit vetřelce nebo vypustit do kyberprostoru citlivé informace. „Proto nás mimo jiné zajímá, jakým způsobem a jak často jsou zaměstnanci školeni, zda jsou si vědomi všech možných rizik a znají postupy, jak je eliminovat,“ říká Roman Prášek. „Naše audity rozhodně neděláme jen „od stolu“. Osobně prověřujeme formy zabezpečení přímo na jednotlivých pracovištích – vedeme rozhovory s firemními IT specialisty, ale také se samotnými zaměstnanci, jak techniku využívají a jak reagují na kybernetické hrozby, např. phishingové emaily.“

Důležité je samozřejmě i nastavení systému jako takového, což představuje několik samostatných oblastí od komunikačních kanálů po antivirovou ochranu. „Zabýváme se například i tím, jak jsou ve firmě využívány konkrétní komunikační kanály typu Whatsapp s ohledem na bezpečnost informací. Není z našeho pohledu problém, pokud se nějaké komunikační platformy využívají pro organizaci schůzek, ale pro posílání důležitých dokumentů už to může představovat riziko. Stejně tak nás zajímá, jaký software firmy používají či jak často jsou počítače kontrolovány a aktualizovány. A všímáme si i pro leckoho nepodstatných detailů. Například pokud náš auditor uvidí ve firmě zapnutý, nezabezpečený počítač, který zjevně nikdo právě nepoužívá, je to pro nás jasný signál, že něco nemusí být v pořádku. Podobně jako když uvidíme tiskárnu nebo odpadkový koš s vytištěnými dokumenty typu cenová nabídka, smlouva atp. Auditor zkrátka musí mít oči otevřené do všech stran a sbírat důkazy nejen z předložené dokumentace interních postupů, ale i z praktického ověření jejich aplikace a nastavení systémů jejich monitoringu a aktualizace.“ 

Podobně jako v jiných oblastech í  mají certifikace  tříletou platnost  s tím, že se každoročně  provádějí  dozorové audity. Primárně se soustřeďují na prověření shody s ISO/IEC 27001, ale mohou zohlednit naplnění dalších standardů nebo požadavků, např. Zákona o kybernetické bezpečnosti  nebo požadavků na cloudové služby, kritickou infrastrukturu. Závěr auditu je buďto shoda s požadavky s případnými doporučeními pro zlepšení, nebo malé či velké neshody reagující na zjištěné nedostatky při auditu.

„Klademe důraz zejména na schopnost rychle reagovat na nové kybernetické hrozby. Naši auditoři každodenně sledují vývoj v této oblasti, a navíc díky zkušenostem z auditování systémů v desítkách firem dokážeme spolehlivě identifikovat zranitelná místa a potenciální kritické situace. Prověřujeme v téhle oblasti i lídry v oborech na bezpečnostní software či poskytování datových úložišť. Za svou prací si stojíme a námi vydané certifikáty nejsou jen ozdobou místností nebo webových stránek, ale potvrzením toho, že to firma myslí s informační bezpečností skutečně vážně,“ uzavírá Roman Prášek z TÜV SÜD Czech.