Argumentem, který vyvrací vžitou představu o čistě technickém charakteru kybernetické bezpečnosti, může být citace nebo opis některé z mnoha definic kybernetické bezpečnosti, např.: Kybernetická bezpečnost je souhrn právních, organizačních, technických a vzdělávacích prostředků směřujících k zajištění ochrany kybernetického prostoru. (Zdroj: Výkladový slovník Kybernetické bezpečnosti)
Různé podoby IT bezpečnosti si můžeme demonstrovat na potenciálním scénáři: Vývojáři společnosti, která vyvíjí mobilní aplikace, přestal fungovat notebook. Poruchu nenahlásil a počítač zavezl do servisu. Na pevném disku byla uložena data k vývoji aplikace. Technik v servisu data okopíroval a prodal je konkurenční společnosti.
V uvedeném případě nešlo o primárně technický problém, nýbrž o chybějící bezpečnostní procesy nebo o vývojářovu neznalost či lehkomyslnost. Před incidentem by organizaci ochránilo zavedení povinností obdobné události nahlásit, přesunout před odevzdáním do servisu data z pevného disku na jiné úložiště, pevný disk zašifrovat, nebo se servisem uzavřít dohodu o mlčenlivosti obsahující sankce přiměřené hodnotě chráněných informací.
Kybernetickou bezpečnost tedy nelze chápat jako věc čistě technickou, řízenou pod taktovkou vedoucího IT. Jde o systém, který pro svou funkčnost vyžaduje zahrnutí všech částí v rámci hranic, které vedení organizace stanoví. Těmito částmi jsou lidé, technologie a procesy.
Kromě technologie jsou pro zajištění kybernetické bezpečnosti zásadní lidé a procesy, jimiž se činnosti lidí a provoz technologií řídí. Program rozvoje bezpečnostního povědomí chápeme jako souhrn procesů, které mají za cíl:
Pro program rozvoje bezpečnostního povědomí jsou zásadní tyto procesy a činnosti:
Při tvorbě programu rozvoje bezpečnostního povědomí je třeba pomýšlet na následující skupiny:
Jak již bylo řečeno, cílem programu zvyšování bezpečnostního povědomí je snížení rizik antropogenního charakteru, tedy způsobených lidským faktorem. Ke splnění tohoto úkolu je nejdříve nutné tato rizika určit, ohodnotit a prioritizovat. Až poté lze přistoupit k nastavení programu tak, aby na zjištěná rizika co nejefektivněji odpovídal. Riziko představuje bezrozměrnou veličinu, která může být stanovena řadou různých metod. V oblasti kybernetické bezpečnosti se riziko vždy odvíjí od:
Rizika lze určovat a hodnotit ve vztahu k jednotlivým aktivům (nejčastěji jde o skupiny chráněných informací, jako jsou např. účetní data, smlouvy s klienty apod.), nebo ve vztahu k organizaci jako takové.
V počáteční fázi, kdy je navrhována celková podoba programu rozvoje bezpečnostního povědomí, lze použít některou z jednoduchých a časově nenáročných metod (nikoli nejpřesnějších), jako je např. metoda Analog Risk Assessment Method (dále jen „ARA“). Jedná se o metodu, která umožňuje přehledné porovnání hrozeb prostřednictvím jejich zakreslení do grafického pole. Poloha hrozby v poli je stanovena odhadem vzájemné pravděpodobnosti (likelihood) a dopadů hrozby (severity) na základě zodpovězení sady otázek „ano/ne“ odpovědnými osobami v organizaci.
Lidská selhání se týkají chyb uživatelů i administrátorů, chybných rozhodnutí vedoucích pracovníků, nerozpoznání bezpečnostního incidentu apod. Rčení praví, že chybovat je lidské, a zcela lidským chybám předejít nelze. Jasná komunikace správných postupů a upozorňování, na co si dát pozor, pravděpodobnost chyb výrazně snižuje.
Není přitom důležitá pouze osvěta uživatelů a jejich školení, ale také vzdělávání osob zastávajících bezpečnostní role v organizaci. Rozšiřování znalostí ohledně řízení kybernetické bezpečnosti prostřednictvím renomovaných kurzů a účast na konferencích a seminářích s bezpečnostní tematikou pomáhá vyvarovat se chyb při řízení kybernetické bezpečnosti.
Pod úmyslnou škodlivou činností si lze představit např. kybernetický útok z vnitřní nebo z vnější sítě, útok pomocí sociálního inženýrství, špionáž či použití vybavení neautorizovanými uživateli nebo neautorizovaným způsobem.
S rozvojem technologií stoupá odolnost organizací vůči kybernetickým útokům prostřednictvím virů
a spyware programů. Útočníci tak stále více sahají k metodám zahrnujícím psychologickou manipulaci, a to skrze naše přirozené lidské Achillovy paty, tedy například zvědavost, strach či nepozornost. Tyto praktiky označujeme termínem sociální inženýrství. Nejčastějšími typy útoků sociálního inženýrství jsou phishing (útoky prováděné s cílem získat citlivé informace oběti) a na vzestupu je také jeho obzvláště zákeřná a úspěšná forma spear-phishing. Jsou známy i případy, kdy si útočník dokonce půjčí cizí telefonní číslo nebo e-mailovou adresu (tzv. „spoofing“), aby vzbudil dojem, že oběti telefonuje někdo známý. Program rozvoje bezpečnostního povědomí by měl cílit na snižování zranitelnosti jednotlivých skupin osob proti těmto útokům.
Antropogenní hrozby dále rozdělujeme podle původu jejich aktérů na vnitřní a vnější. V případě lidských selhání se jedná většinou o vnitřní hrozby. Škodlivou lidskou činnost provádí útočníci jak zvenku, tak zevnitř. Útoky zevnitř organizace jsou úspěšnější. Pachatel má vždycky motiv, proto by měla být ve firmě zaváděna opatření pro motivaci pracovníků k bezpečnému a etickému chování ve vztahu k datům, informacím a technickým prostředkům.
Co se motivace týče, platí, že ta pozitivní je mocnější než ta negativní. Příkladem dobré praxe je např. odměňování pracovníků, kteří projdou testem odolnosti vůči hrozbám (např. nevpustí neznámou osobu do bezpečné zóny nebo nekliknou na odkaz v phishingovém e-mailu) nebo odměňování oddělení podle plnění bezpečnostních met a úkolů určených vedením organizace.
Nedostatečný důraz na komunikaci je bohužel v řadě společností stále běžnou realitou. Zaměstnanci si přinášejí práci domů na různých nosičích, často třeba na nešifrovaném USB disku. Po použití dat na disku je nesmažou, disk neuloží na bezpečné místo a používají jej k nepracovním účelům. Často by tak nečinili, kdyby věděli, že v případě problému (např. zneužití dat) mohou být obviněni z trestného činu zcizení duševního vlastnictví.
Cílem rozvoje bezpečnostního povědomí není pouze prevence ve smyslu snižování pravděpodobnosti, že k realizaci hrozby dojde, ale také možnost adekvátní reakce v případě narušení kybernetické bezpečnosti. Je třeba zaměřit se na to, jak mohou jednotlivé skupiny osob problém poznat, jak a komu jej nahlásit, případně jak jej řešit, pokud jde o skupinu, které tento úkol náleží.
Důležitým nástrojem pro řízení programu je plán rozvoje bezpečnostního povědomí. Jde o záznam, tedy o interní dokument, který je třeba vydávat v pravidelných intervalech, standardně každý rok. Plán rozvoje bezpečnostního povědomí obsahuje podle vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti v platném znění alespoň:
Kybernetickou bezpečnost je třeba vnímat jako komplexní oblast řízení zahrnující technologie, lidi
a procesy. Organizace s nejlepšími odborníky a výborně poučenými uživateli technických prostředků bez účinných technologií je stejně zranitelná jako organizace disponující špičkovou bezpečnostní technologií bez vzdělaných řídících pracovníků a poučených a svědomitých uživatelů.
Zásadními úkoly v souvislosti s hrozbami a riziky jsou snižování zranitelnosti personálu proti úmyslným útokům a chybám, motivace k bezpečnému chování a aktivnímu přístupu ke kybernetické bezpečnosti, umožnění včasného rozpoznání a adekvátní reakce a zvyšování znalostí osob v bezpečnostních rolích.
Většina velkých organizací provádí pravidelná školení personálu ke kybernetické bezpečnosti. Program rozvoje bezpečnostního povědomí by se však neměl omezovat pouze na školení, ale měl by zahrnovat také testování odolnosti a kontinuální vzdělávání pracovníků bezpečnosti. Kybernetické hrozby a možnosti, jak se jim bránit, se dynamicky vyvíjejí, zejména pokud jde o technologie. Znalosti osob, které navrhují a řídí kybernetickou bezpečnost, na vysoké úrovni, značně zvyšují možnost snížení celé řady kybernetických rizik, jejichž možný finanční dopad je o mnoho vyšší.
Jak praví citát světoznámého spisovatele Arthura Conana Doyla: „Každý řetěz je silný jen tak, jak je silný jeho nejslabší článek.“
Nedovolte, aby lidé byli nejslabším článkem kybernetické bezpečnosti. Sjednejte si důkladné školení kybernetické bezpečnosti pro odborníky i pro běžné uživatele.