Vyspovedali sme audítora Kybernetickej bezpečnosti!
- Datum: 29.06.2015
- Autor: Vít Lidinský
Prinášame Vám zaujímavý rozhovor s vedúcim audítorom kybernetickej bezpečnosti.
Kybernetické útoky sú stále sofistikovanejšie a ich počet neustále rastie vďaka našej závislosti na moderných technológiách. Jedno výrazne podmieňuje druhé.
Role hackera sa tiež mení. Oveľa viac sa zameriava na Vašu komunikáciu s bankami, finančné transakcie,posielanie citlivých informácií elektronickou poštou, kradnutie užívateľských účtov.
Príklad, ktorý hovorí za všetko: celkový objem obchodu prostredníctvom Internetu neustále rastie, v štátoch G20 bude v roku 2016 tento objem viac než 105 biliónov korún. Vo Veľkej Británii došlo k nárastu obchodu prostredníctvom Internetu o 10% len medzi rokmi 2010 a 2016. 94% spoločností s viac než 10 zamestnancami celosvetovo je na Internete.
Hacker má dnes niekoľkonásobne vyššiu príležitosť k ukradnutiu osobnej identity za účelom finančných ziskov. Stačí si uvedomiť, kde všade sa Vaše citlivé dáta nachádzajú: banky, poisťovne, nemocnice, úrady, operátori. Informácie sú pre nich kľúčovým generátorom zisku, ale tiež obrovské riziko.
Strata, alebo cielené zverejňovanie takýchto dát môže znamenať stratu dôvery užívateľov a reálny koniec podnikania spoločnosti.
Nárast kybernetických útokov se nevyhýba ani Slovenskej a Českej republike. Už dávno neplatí, že ide o problém iba veľkých nadnárodných firiem. Tiež štát sa začas kybernetickou bezpečnosťou intenzívne zaoberať.
Samozrejme, vyskytujú sa rôzne klasifikácie, ak ide o utajované informácie, osobné a citlivé dáta, tiež dáta systému kritickej informačnej infraštruktúry alebo významného informačného systému.
- V roku 2014 prišlo k zvýšeniu počtu kybernetických incidentov o 48% oproti roku 2013. Ich celkový globálny počet je viac než 40 miliónov. Viac než 95% týchto incidentov je úspešných z dôvodu nedostatočnej ochrany.
- Verejná správa si bezpečnostné riziká uvedomuje, preto na situáciu zákonodarci reagovali schválením zákona č. 181/2014 o kybernetické bezpečnosti.
- Ten sa inšpiroval z medzinárodného štandardu noriem rady ISO/IEC 2700 - systému riadenia informačnej bezpečnosti – Information Security Management System (ISMS).
- Aplikácia do zákona pomáha najmä tým, že vynucuje povinnosť sa kybernetickou bezpečnosťou zapodievať. Naviac definuje technologické, organizačné a tiež personálne požiadavky.
Organizácie majú 1 rok na zavedenie kybernetickej ochrany
V súčasnej dobre beží ročná „prípravná“ lehota, požiadavky zákona tak verejná správa musí plniť od 1.1.2016. Do tejto doby má verejná správa mnoho povinností, s ktorými sa musí vysporiadať. Nutné podotknúť, že zákon o kybernetickej bezpečnosti sa nevzťahuje iba na verejnú správu, ale aj na ďalšie komerčné organizácie (napr. významní poskytovatelia telekomunikačných služieb alebo vybrané spoločnosti, ich podnikateľské aktivity spadajú do kritickej infraštruktúry štátu).
Kto se bude zodpovedať za faktické zavedenie kybernetickej ochrany?
Aplikácia bezpečnostných opatrení majú podľa zákona č. 181/2014 na starosti tri hlavné „role“. Manažér, Architekt a Audítor kybernetickej bezpečnosti. Tieto hlavné zodpovední osoby po povinnom preškolení zavedú systém riadenia bezpečnosti informácií. Ten vzniká z množstva procesných a administratívnych opatrení, školení zamestnancov a tiež z implementácie vybraných bezpečnostných nástrojov a zaistenia ich chodu.
Zo všetkých strán počúvame, že skutočný problém č. 1 je nedostatok bezpečnostných expertov.
To je obrovská príležitosť pre kariérny rast. Napr. certifikačný orgán TAYLLORCOX má v portfóliu akreditované kurzy pre budúcich bezpečnostných konzultantov a manažérov. Po novom sú tiež kurzy pre role ušité na mieru podľa zákona č. 181/2014 Sb.
Okrem školení, se snažíme spoločnostiam aj verejnej správe pomôcť formou odborných workshopov. Ako certifikačný orgán máme dlhoročnú skúsenosť s tým, čo všetko organizáciu v rámci kybernetické ochrany čaká. Predávame ďalej skúsenosti s implementáciou systému riadenia bezpečnosti, upozorňujeme na problémy, odpovedáme na otázky, oponujeme návrhy atď.
Nie je výchova bezpečnostných odborníkov časovo náročná?
Vôbec nie, možnosti pre rozvoj tu sú veľké. Platí tu pravidlo, že nepotrebujete vedieť odkiaľ útok príde, alebo ako bude vykonaný, ale kam bude mieriť a ako ho rozpoznať. To je veľký rozdiel.
Hacker musí investovať roky svojho času, než se naučí realizovať profesionálne útoky a získavať citlivé dáta. Ale napr. v kurzu Certified Ethical Hacker vás naučíme za 3 dni, ako rozpoznať a chrániť 95% najzraniteľnejších miest. Znalosti využijete ako firma, štát, ale aj občan.
Problém č. 2 Software a mobilné aplikácie, s ktorými pracujeme.
Na prvom mieste zraniteľnosti je bezpochyby ľudský faktor, ktorý býva najzraniteľnejším miestom kybernetickej bezpečnosti. Druhým najčastejším problémom je zraniteľnosť programov, mobilných aplikácií a databáz. Štatisticky počet zraniteľností se dramaticky zvyšuje každým týždňom.
Získali sme akreditácie a otvorili nový odbor: Secure Programming. V kurzu sa vývojári, software architekti naučia zásady vývoja softwaru, ktorý nie je plný bezpečnostných chýb a medzier, ktoré sú zneužiteľné napr. pre zistenie osobných informácií.
Pritom existujú jednoduché triky, ako vznikajúce zraniteľnosti „zneviditeľniť“. Tie spoločnosti, ktoré budú nové kybernetické útoky podceňovať ohrozujú seba aj svojich klientov. Otázkou potom nie je, či k incidentu dôjde, ale kedy k tomu dôjde a čo to spôsobí.
Aký by mal byť prvý krok organizácie, ktorá sa rozhodne zvýšiť svoju bezpečnosť v informačnom a kybernetickom priestore?
Aplikácia zákona č. 181/2014 je samozrejme obrovská obchodná príležitosť pre poradenské, ale aj technologické spoločnosti. Preto doporučujem z pozície nezávislého audítora nepodliehať rôznym službám, alebo riešeniam „na kľúč“, ktoré sú väčšinou podľa rovnakej šablóny. Nákup skvelého riešenia Vás zodpovednosti nezbaví.
Ako prvý krok vidím investíciu do vzdelania interných zamestnancov. Pokiaľ procesné postupy a technická riešenia vymýšľajú pracovníci vo vnútri organizácie, nie len že takéto riešenia odrážajú skutočné potreby, ale naviac zanechávajú znalosť nastavených procesov a bezpečnostné know-how vo vnútri organizácie. Takýto postup je práve pre oblasť bezpečnosti efektívnejší a v dôsledku tiež lacnejší.
Na otázku ako má organizácie nastaviť systém riadenia kybernetickej bezpečnosti, odpovie nezávislý audit.
Audit kybernetickej bezpečnosti nie je v SR a ČR žiadnou novinkou, upozorňuje zástupca medzinárodne akreditovaného certifikačného orgánu TAYLLORCOX. Realizovali sme viacej než sto auditov u firiem, alebo orgánov verejnej správy dávno predtým, než vyšiel v platnosti zákon č. 181/2014 Sb.
Najčastejším dôvodom k tomuto kroku bola snaha o zaistenie maximálnej bezpečnosti a ochrany dát, s ktorými pracujú.
Najvhodnejšia forma auditu kybernetickej bezpečnosti je od akreditovaného certifikačného orgánu, ktorý je technologicky nezaujatý. Na organizácie nie je vyvinutý tlak, aby si zakúpili konkrétne riešenie, ale skôr určené požiadavky, čo by mali spĺňať.
Investície do ďalších technológií väčšinou problém nevyriešia. Omnoho viac ide o to, ako sú systémy nastavené. Audit má svoje pravidlá a kritériá: od zloženia auditového tímu, až po faktickú realizáciu a kontrolu všetkých procesov.
Ako moc je finančne náročné zaviesť opatrenia, odpovie audit.
Samozrejme je potreba alokovať zdroje pre svoje zavedenie, chod, vyhodnocovanie a zlepšenie systému riadenia kybernetickej ochrany. Nejde iba o finančné prostriedky na externé služby, ale tiež o pracovníkov vlastnej organizácie a financie na materiálne technické zabezpečenie požadovaných procesov.
Konkrétna čiastka sa vždy odvíja od veľkosti organizácie, jej zamerania a tiež existujúcich bezpečnostných opatrení a vyspelosti používaných informačných technológií. Investície do zavedenia by tiež mala odpovedať hodnote chránených informácií pre spoločnosť.
Ako vnímate naviazanosť súčasnej legislatívy na štandard ISO/IEC 27000?
Osobne som veľmi rád, že Česká republika a Slovenská republika zvolila štandardné a vyskúšané riešenie v podobe ISO normy. Aplikácie už vyskúšaných procesov a technických riešení ukazuje minimum rizík, súčasne už preukázala svoje prínosy.
Ďalším pozitívom je naviazanosť naplnenia požiadavkov zákona na certifikát ISO/IEC 27001. Organizácia, ktorá úspešne absolvuje I. a II. stupeň certifikačného auditu získa medzinárodne platný certifikát.
Stávajú sa tak transparentnejším, dôveryhodnejším smerom k občanom, zákazníkom, obchodným partnerom, alebo akcionárom, či investorom.
Vďaka tomu, že zákon č. 181/2014 doporučuje certifikáciu zavedeného systému kybernetickej ochrany podľa ISO 27001 nastavil povinnosť absolvovať každý rok audit vedený nezávislým certifikačným orgánom. Z pohľadu orgánov verejnej správy nejde o „revolúciu“, ale aplikáciu vyskúšaných postupov s preukázateľnými výsledkami.
Z praxe môžeme potvrdiť, že systémy, ktoré sú už niekoľko rokov certifikované majú omnoho vyspelejší prehlad o aktuálnych bezpečnostných incidentoch. Sú schopní proaktívnych činov namiesto reaktívneho správania sa, kedy už väčšinou hasíte požiar a prajete si, aby rozsah škôd bol čo najmenší.
Máte pre nás nejaké odporučenia?
Rozhodne nenechávať implementáciu zákona č. 181/2014 na poslednú chvíľu. Najmä v organizáciách, kde doteraz nie sú implementované systémy Security Information and Event Managementu, nemajú ochranu perimetru siete alebo anti-DDOS ochranu, sú technické implementačné práce súvisiace s kybernetickou bezpečnosťou značne náročné, a to i časovo v dĺžke najmenej niekoľko mesiacov.
O autorovi: Ing. Vít Lidinský, Ph. D. je Cyber Security ISO/IEC 27001 Lead Auditor v medzinárodnom certifikačnom orgáne TAYLLORCOX. Informačnou a kybernetickou bezpečnosťou sa zaoberá viac než 10 rokov, a to vo verejnej aj súkromnej sfére. Väčšinou času pôsobil ako bezpečnostný manažér, alebo riaditeľ. Teraz sa venuje rozvoju Cyber Security portfólia. Pôsobí ako Lead Audítor ISO/IEC 27001 Information Security Management System v medzinárodnom certifikačnom orgáne TAYLLORCOX. Súčasne je znalcom v obore oceňovavia informačných systémov.