Ticho před bouří: Kybernetický incident, který nezačíná výpadkem, je o to nebezpečnější
Ticho před bouří: Kybernetický incident, který nezačíná výpadkem, je o to nebezpečnější
Představte si běžný pracovní den. Ve firmě se řeší obchodní výsledky, lidi a jejich výkon, běžná provozní témata a problémy... Vedení má plnou hlavu priorit, trh je nervózní, okolní svět nejistý. A právě v takových chvílích bývá firma zranitelnější, než si připouští. Ne proto, že by nějak selhala. Ale proto, že její pozornost je jinde. Právě v takovém okamžiku bývají kybernetické hrozby nebezpečnější. Útočníci zkoušejí, co projde. Mapují prostředí, testují slabá místa, hledají cestu přes dodavatele, partnery nebo běžné uživatele. Většina pokusů nevyjde. Ale ty, které uspějí, často dlouho nikdo nezaznamená. A to je na tom to nejzrádnější.
Kybernetický incident často nezačíná alarmem, dramatickým kolapsem ani zprávou, že „spadlo to“ nebo „něco se děje“. Často začíná úplně nenápadně:
Mnoho firem si říká: investovali jsme do bezpečnosti, máme perfektní nástroje, skvělý tým IT bezpečáků, jsme dostatečně ochráněni. To všechno je samozřejmě důležité.
Jenže skutečný problém nestojí pouze v otázce, zda je naše infrastruktura dobře zabezpečena.
Rozhodující je něco jiného: poznáme včas, že se děje něco neobvyklého? A dokážeme zareagovat dřív, než se z bezpečnostního problému stane problém obchodní, provozní a reputační?
Hranici mezi zvládnutelným incidentem a plnohodnotnou firemní krizí často určují jediné dva faktory a těmi jsou rychlost odhalení a vhodná předem definovaná reakce. Pokud zůstane útok neodhalen nebo na něj nebude adekvátně reagováno, může se i z obyčejného phishingu stát incident s významným dopadem na celou společnost.
Jakmile jsou zasaženy klíčové systémy, dopady okamžitě pronikají do fungování celé firmy. Výroba se zpomalí. Obchod se zadrhne. Transakce selhávají. Zákazníci vnímají omezení služeb. Narůstá tlak na komunikaci, reputaci i rozhodování vedení. To, co ještě před chvílí vypadalo jako technický incident, se mění ve zkoušku celkové odolnosti firmy.
A situaci dnes komplikuje ještě jedna věc: firmy už dávno nefungují samy pro sebe a „samy v sobě“. Jsou napojené na cloudy, externí poskytovatele, software třetích stran, servisní partnery a digitálně propojené dodavatelské řetězce. Každé takové propojení zvyšuje efektivitu. Zároveň ale rozšiřuje prostor, kudy se může problém dostat dovnitř. Útočníci proto čím dál častěji nehledají nejslabší místo uvnitř firmy, ale nejslabší článek v jejím širším ekosystému. Vstupním bodem pak nemusí být vaše organizace samotná, ale někdo, kdo je na ni napojený.
Proto by se debata ve vedení měla posunout. Méně k tomu, co „máme zavedeno“, a více k tomu, co opravdu chápeme, máme ověřené a pod kontrolou dnes.
A k tomu vedou tyto podstatné otázky:
A to nejsou otázky technické. To jsou otázky manažerské. Týkají se kontinuity provozu, řízení rizik a kvality leadershipu.
Ve světě, kde vnější nejistota roste a kybernetické hrozby s ní, nestačí pocit, že „to máme dobře nastavené“. Skutečná odolnost nestojí na sebejistotě. Stojí na jasném přehledu, realistickém pohledu na vlastní zranitelnost a schopnosti rozpoznat problém dřív, než přeroste v krizi.
A možná nejdůležitější otázka pro každého majitele nebo člena vedení je nakonec velmi jednoduchá: Kdyby dnes v naší firmě začal kybernetický útok tiše a nenápadně, všimli bychom si ho včas?
Co můžete udělat proto, abyste na tuto otázku mohli odpovědět s klidnou duší a kladně?
1. Zkraťte na minimum dobu, za kterou problém odhalíte
2. Mějte připravený a nacvičený plán reakce na incident
3. Určete, co je pro firmu opravdu klíčové
4. Pracujte s přístupy tak, aby nikdo neměl víc oprávnění, než opravdu potřebuje
5. Nevěřte automaticky nikomu, vše průběžně ověřujte
6. Testujte skutečnou odolnost, né jen dokumentaci
7. Hlídáte-li sebe, hlídejte i své dodavatele
8. Mějte zálohy, které lze opravdu obnovit
9. Zajistěte si přehled o dění napříč celým prostředím
10. Udělejte z kyberbezpečnosti téma pro vedení firmy
Kybernetický incident často nezačíná alarmem, dramatickým kolapsem ani zprávou, že „spadlo to“ nebo „něco se děje“. Často začíná úplně nenápadně:
- Někdo se přihlásí cizími údaji.
- Podezřelé spojení vypadá důvěryhodně.
- Systémy fungují. Lidé pracují. Obchod běží dál.
- Navenek se neděje nic.
- Jenže v tu chvíli uvnitř dost možná někdo cizí sleduje, jak firma funguje.
- A právě takové „ticho před bouří“ bývá nejnebezpečnější.
- Útočník ještě neútočí naplno. Učí se.
- Zjišťuje, které systémy jsou klíčové, kde jsou citlivá data, kdo má vyšší oprávnění a co by firmu nejvíc bolelo.
- Když se problém konečně projeví naplno — výpadkem, zablokovanými systémy, ztrátou dat nebo ochromením služeb — bývá na klidnou reakci už pozdě.
- V tu chvíli útočník často zná prostředí lépe, než organizace rozumí tomu, co se jí právě děje.
Mnoho firem si říká: investovali jsme do bezpečnosti, máme perfektní nástroje, skvělý tým IT bezpečáků, jsme dostatečně ochráněni. To všechno je samozřejmě důležité.
Jenže skutečný problém nestojí pouze v otázce, zda je naše infrastruktura dobře zabezpečena.
Rozhodující je něco jiného: poznáme včas, že se děje něco neobvyklého? A dokážeme zareagovat dřív, než se z bezpečnostního problému stane problém obchodní, provozní a reputační?
Hranici mezi zvládnutelným incidentem a plnohodnotnou firemní krizí často určují jediné dva faktory a těmi jsou rychlost odhalení a vhodná předem definovaná reakce. Pokud zůstane útok neodhalen nebo na něj nebude adekvátně reagováno, může se i z obyčejného phishingu stát incident s významným dopadem na celou společnost.
Jakmile jsou zasaženy klíčové systémy, dopady okamžitě pronikají do fungování celé firmy. Výroba se zpomalí. Obchod se zadrhne. Transakce selhávají. Zákazníci vnímají omezení služeb. Narůstá tlak na komunikaci, reputaci i rozhodování vedení. To, co ještě před chvílí vypadalo jako technický incident, se mění ve zkoušku celkové odolnosti firmy.
A situaci dnes komplikuje ještě jedna věc: firmy už dávno nefungují samy pro sebe a „samy v sobě“. Jsou napojené na cloudy, externí poskytovatele, software třetích stran, servisní partnery a digitálně propojené dodavatelské řetězce. Každé takové propojení zvyšuje efektivitu. Zároveň ale rozšiřuje prostor, kudy se může problém dostat dovnitř. Útočníci proto čím dál častěji nehledají nejslabší místo uvnitř firmy, ale nejslabší článek v jejím širším ekosystému. Vstupním bodem pak nemusí být vaše organizace samotná, ale někdo, kdo je na ni napojený.
Proto by se debata ve vedení měla posunout. Méně k tomu, co „máme zavedeno“, a více k tomu, co opravdu chápeme, máme ověřené a pod kontrolou dnes.
A k tomu vedou tyto podstatné otázky:
- Jak rychle bychom si všimli, že se něco děje?
- Který výpadek by nás ochromil nejvíc?
- Kde jsme zranitelní právě teď?
- Jak moc jsme závislí na partnerech, kteří mohou být slabším článkem než my sami?
A to nejsou otázky technické. To jsou otázky manažerské. Týkají se kontinuity provozu, řízení rizik a kvality leadershipu.
Ve světě, kde vnější nejistota roste a kybernetické hrozby s ní, nestačí pocit, že „to máme dobře nastavené“. Skutečná odolnost nestojí na sebejistotě. Stojí na jasném přehledu, realistickém pohledu na vlastní zranitelnost a schopnosti rozpoznat problém dřív, než přeroste v krizi.
A možná nejdůležitější otázka pro každého majitele nebo člena vedení je nakonec velmi jednoduchá: Kdyby dnes v naší firmě začal kybernetický útok tiše a nenápadně, všimli bychom si ho včas?
Co můžete udělat proto, abyste na tuto otázku mohli odpovědět s klidnou duší a kladně?
Desatero odolnosti proti „tichému“ kybernetickému incidentu
1. Zkraťte na minimum dobu, za kterou problém odhalíte
- U kybernetického útoku často nerozhoduje jen to, zda k němu dojde, ale hlavně jak rychle si ho firma všimne. Čím dříve podezřelou aktivitu odhalíte, tím menší bývají škody.
- Proto je důležité mít průběžný dohled nad firemním prostředím, tedy sledovat, co se děje v síti, na počítačích, serverech i v cloudu.
2. Mějte připravený a nacvičený plán reakce na incident
- Ve chvíli, kdy dojde k bezpečnostnímu incidentu, bývá největší problém chaos: kdo má co dělat, kdo o čem rozhoduje a kdo s kým komunikuje.
- Proto by každá firma měla mít připravený plán reakce na incident, tedy IRP (Incident Response Plan). Ten by měl jasně říkat:
- kdo za co odpovídá,
- komu se problém hlásí,
- kdo rozhoduje o dalších krocích,
- jak bude firma komunikovat dovnitř i navenek.
- Důležité je ale nejen plán mít, nýbrž ho také pravidelně testovat.
- Bez nácviku totiž ani dobrý plán v krizové chvíli nemusí fungovat.
3. Určete, co je pro firmu opravdu klíčové
- Ne všechno má pro firmu stejnou hodnotu. Některé systémy, data nebo procesy jsou pro její fungování zásadní, jiné méně. Firma by proto měla vědět, co jsou její skutečné priority — tedy co musí chránit především.
- Jde o tzv. „korunní klenoty“ firmy: například klíčová data o zákaznících, účetní systémy, výrobní technologie, obchodní aplikace nebo důležité interní know-how.
- Pomoci může analýza dopadů na podnikání. Ta pomáhá určit:
- co by firmu při výpadku bolelo nejvíc,
- co by zastavilo provoz,
- co by mělo největší finanční nebo reputační dopad.
- Díky tomu lze lépe rozhodnout, kam soustředit ochranu, monitoring i schopnost rychlé obnovy.
4. Pracujte s přístupy tak, aby nikdo neměl víc oprávnění, než opravdu potřebuje
- Velká část incidentů souvisí s tím, že někdo získá přístup tam, kam by se běžně dostat neměl. Proto je zásadní dobře řídit uživatelské účty a oprávnění.
- To znamená pravidelně kontrolovat:
- kdo má k čemu přístup,
- zda lidé nemají zbytečně široká oprávnění,
- zda nejsou citlivé pravomoci soustředěny do rukou jednoho člověka.
- U privilegovaných účtů, tedy účtů s vyššími právy, pomáhá správa a kontrola privilegovaných přístupů.
- Jednoduše řečeno: čím menší a lépe řízené přístupy, tím menší prostor pro zneužití.
5. Nevěřte automaticky nikomu, vše průběžně ověřujte
- Dříve se firmy často řídily principem, že co je „uvnitř“, je důvěryhodné. Dnes to už neplatí. Útočník se může dostat dovnitř přes ukradené heslo, napadené zařízení nebo externího dodavatele.
- Proto se stále více uplatňuje přístup Zero Trust, tedy „nikdy automaticky nedůvěřuj, vždy ověřuj“.
- V praxi to znamená zejména:
- používat vícefaktorové ověřování – například kombinaci hesla a potvrzení v mobilu,
- zvlášť chránit vzdálený přístup a účty s vyššími oprávněními,
- průběžně ověřovat nejen uživatele, ale i zařízení, ze kterých se přihlašují.
- Cílem je, aby samotné heslo nestačilo k tomu, aby se někdo dostal k citlivým systémům.
6. Testujte skutečnou odolnost, né jen dokumentaci
- Mít směrnice a pravidla je důležité. Samo o sobě to ale neříká, jestli firma obstojí při reálném útoku. To ukáže až praxe.
- Proto má smysl provádět:
- penetrační testy – odborně vedené testování, zda a jak lze do systémů proniknout,
- red teaming – simulaci skutečného útoku, která ověřuje nejen technické zabezpečení, ale i připravenost lidí a procesů,
- simulované phishingové kampaně – testy, jak zaměstnanci reagují na podvodné e-maily.
- Důležité je, aby výsledkem nebyla jen zpráva do šuplíku, ale konkrétní seznam opatření: co opravit, co změnit a co dál sledovat.
7. Hlídáte-li sebe, hlídejte i své dodavatele
- Mnoho firem investuje do vlastní bezpečnosti, ale zapomíná, že slabým místem mohou být jejich partneři, dodavatelé nebo externí poskytovatelé služeb.
- Je proto potřeba řídit i rizika tzv. třetích stran, tedy všech subjektů, které mají přístup k vašim systémům, datům nebo provozu.
- To zahrnuje:
- prověření dodavatelů před zahájením spolupráce,
- jasné bezpečnostní požadavky ve smlouvách,
- průběžné hodnocení jejich úrovně zabezpečení,
- přehled o tom, kdo má k čemu přístup.
- Firma by měla vědět nejen to, komu důvěřuje, ale také proč a za jakých podmínek.
8. Mějte zálohy, které lze opravdu obnovit
- Zálohy jsou jednou z posledních pojistek, když dojde k výpadku, útoku nebo ztrátě dat. Jenže záloha má hodnotu pouze tehdy, když ji lze rychle a spolehlivě obnovit.
- Dobrou praxí je pravidlo 3-2-1: mít alespoň 3 kopie dat, na 2 různých typech médií a 1 kopii odděleně, ideálně mimo hlavní prostředí firmy.
- Zásadní pravidlo zní: záloha, kterou jste nikdy neotestovali, není jistota. Pokud firma nezkusí obnovu v praxi, nemůže spoléhat, že vše bude v kritické chvíli fungovat.
9. Zajistěte si přehled o dění napříč celým prostředím
- „Tichý“ incident se často prozradí jen drobnými signály. Třeba neobvyklým přihlášením, nečekaným přenosem dat nebo změnou v chování systému. Aby si jich firma všimla, musí o nich vůbec vědět.
- Proto je potřeba sbírat a vyhodnocovat logy, tedy technické záznamy o tom, co se v systémech děje. Ideálně centralizovaně, z více míst najednou:
- ze serverů,
- z pracovních stanic,
- z cloudových služeb,
- ze síťových prvků.
- Tyto záznamy je potřeba nejen uchovávat dostatečně dlouho, ale také průběžně analyzovat. Právě v nich se často objeví první nenápadné známky kompromitace, tedy známky toho, že se do prostředí někdo dostal.
10. Udělejte z kyberbezpečnosti téma pro vedení firmy
- Kyberbezpečnost dnes není jen technická disciplína pro IT oddělení. Má přímý dopad na provoz, finance, reputaci i schopnost firmy fungovat v krizi. Proto musí být součástí řízení firmy a práce vedení.
- Management by měl dostávat pravidelné informace v jazyce, kterému rozumí — né jen technické detaily, ale především odpovědi na otázky:
- jaké je riziko,
- jaký by byl dopad,
- jak pravděpodobné je, že problém nastane,
- jak dobře je firma připravena.
- Kyberbezpečnost by tak měla být součástí širšího řízení rizik, kontinuity provozu a firemní strategie. Ne jako izolované IT téma, ale jako součást celkové odolnosti firmy.