česky english Vítejte, dnes je pátek 29. březen 2024

Kyberkriminalita – problém, kterého se obává až polovina českých firem

DPS 1/2016 | Články
Autor: Elektrotechnický zkušební ústav

Organizace stále více spoléhají na obrovské množství digitálních dat. Kyberkriminalita proto představuje čím dál větší hrozbu a řada nedávných událostí jen dokládá, že tuto hrozbu je nutné brát velice vážně. Až dvě třetiny českých firem nemají spolehlivou ochranu. Takové množství firem v této době podceňuje hrozbu kyberzločinů, což nahrává do karet všem hackerům. Dostat se k citlivým datům už není nijak těžké. Stačí mít základní znalosti IT a lehce zručnější hacker se dostane ke všemu, co potřebuje.

Kyberzločinci mezi zaměstnanci

Nové technologie organizací vyžadují mnohem důkladnější bezpečnostní opatření, která je potřeba brát v úvahu při koncepčním řízení informační bezpečnosti. Firmy se obávají zejména o své finanční informace, vnímají také hrozbu možnosti narušení celého chodu firmy či její pověsti v případě uniku citlivých dat.

Kyberútoky jsou záležitostí úzké skupiny kybezločinců. Přesto si vysoké procento manažerů z oblasti IT myslí, že jejich zdrojem jsou nespokojení zaměstnanci, kteří se touto formou chtějí firmě mstít. To, že za kyberútoky stojí samotní zaměstnanci firem, si myslí více jak polovina firem u nás.

Vedle hackerů a mstivých zaměstnanců se také často hovoří o kyberútocích, které jsou sponzorované státem, který by tak měl dokonalý přehled o finančním hospodaření jednotlivých firem. Že za útoky stojí stát si myslí dokonce každý třetí manažer v České republice. Zatímco v Maďarsku viní z kyberzločinů většinou schopné hackery a kriminální spolky.

V boji proti kyberzločincům je pro firmy důležité mít funkční bezpečnostní dohledové centrum. Takové centrum má až polovina všech firem v Maďarsku, zatímco v Česku podobné centrum nemá téměř 7 z 10 firem.

Prevence a ochrana

Stejně jako si majitel osobního počítače svá citlivá data bedlivě střeží před viry a napadením z internetu různými antiviry, je třeba stejného zabezpečení i u velkých firem, kde by ztráta takových dat znamenala skutečně veliký problém.

Řešení firemní ochrany proti kyberútokům nabízí Elektrotechnický zkušební ústavu (EZÚ). Nabízejí tři úrovně zabezpečení.

„Cílem a zároveň přínosem první úrovně je zajištění základních požadavků kybernetické bezpečnosti, a to napříč celou organizací. Ve výsledku to pro organizaci znamená zajištění ochrany před velkými finančními ztrátami či poškozením aktiv organizace při realizaci určité hrozby, popř. zmenšení dopadu takové realizace. Přináší ale také zkvalitnění a zrychlení procesů v organizaci, zvláště těch týkajících se IT služeb, a efektivní vynaložení nákladů na zajištění kyberbezpečnosti,“ představuje základní úroveň zabezpečení Michal Hager, technik kybernetické bezpečnosti v EZÚ.

Tato úroveň zabezpečení je důležitá, přesto se jedná pouze o odrazový můstek k důkladnějšímu zajištění kybernetické bezpečnosti ve společnosti. Soustředí se na zavedení a kontrolu základních procesů nutných k vytvoření kybernetického zabezpečení, jakými jsou například řízení rizik, řízení hrozeb a zranitelností, příprava a realizace bezpečnostních opatření, neustálé zlepšování ochrany a provádění interních auditů.

Konečným výstupem první úrovně je Základní certifikát kybernetické bezpečnosti (Essential Certificate of Cybersecurity). Aby však organizace úspěšně získala tento certifikát, je zapotřebí několika následujících kroků.

  1. Provedení situační analýzy – zjištění aktuální situace a nedostatků v kybernetickém zabezpečení.
  2. Osobní certifikace – školení a následná certifikace interních pracovníků organizace zodpovědných za řízení, implementaci, údržbu a neustálé zlepšování kybernetické bezpečnosti, včetně provádění interních auditů, v rámci organizace.
  3. Implementace požadavků platných mezinárodních standardů a legislativy zaměřujících se na kybernetické bezpečnosti pro zajištění základní úrovně kybernetické bezpečnosti a zajištění potřebného hardware a software.
  4. Ověřování a následná certifikace základního kybernetického zabezpečení podle platných mezinárodních standardů a legislativy související s kybernetickou bezpečností. Provedení auditu nezávislou certifikační autoritou.

„Druhá úroveň se vyznačuje přechodem z čistě systémového pohledu na kybernetickou bezpečnost na pohled zahrnující také bezpečnost software, sítí, digitálních úložišť, dodavatelského řetězce a bezpečnostní testy. I samotný systémový pohled je pro další navýšení kybernetického zabezpečení organizace rozšířen,“ dodává Hager.

Druhá úroveň navazuje na úroveň první, proto dochází k uvolnění výše zmíněného prvního kroku a rozšíření požadavků a činností v krocích následujících. V návaznosti na přínosy první úrovně produktu se v této úrovni přidává kybernetické zabezpečení dodavatelského řetězce organizace a jednotlivých částí IT infrastruktury organizace. Přináší také ještě větší efektivitu při uvolňování nákladů na kybernetické zabezpečení.

Konečným výstupem druhé úrovně je Rozšířený certifikát kybernetické bezpečnosti (Enhanced Certificate of Cybersecurity). Jak z výše zmíněné návaznosti vyplývá, na tento certifikát je možné dosáhnout až po úspěšném získání Základního certifikátu kybernetické bezpečnosti.

Třetí úroveň kybernetické bezpečnosti opět navazuje na úroveň předešlou a představuje nejdetailnější pohled na kybernetickou bezpečnost. Tento pohled zahrnuje konkrétní bezpečnostní komponenty a podrobněji pohlíží také na bezpečnost softwaru a bezpečnostní testy. Nově se objevuje zaměření na bezpečnost hardwaru a firmwaru. Díky tomu dochází k zajištění nejvyšší možné úrovně kybernetické bezpečnosti.

Tento detailní pohled je tvořen především platným mezinárodním standardem ČSN ISO/IEC 15408 (Common Criteria) a k němu se vážících standardů. Vše je završeno ziskem Certifikátu nejvyšší úrovně kybernetické bezpečnosti (Top-level Certificate of Cybersecurity).

„Realizovat tuto úroveň je možné pouze po úspěšné certifikaci druhé úrovně produktu v dané organizaci. Ověřování a následná certifikace této úrovně může nastat po uplynutí minimálně jednoho roku od vydání Rozšířeného certifikátu kybernetické bezpečnosti. Prevence je vždy lepší než následné řešení problémů s ukradenými firemními daty, vyřazeným počítačovým systémem nebo infikovanou sítí,“ uzavírá Michal Hager.