Informačná a kybezernetická bezpečnosť je v súčasnosti prioritou a požiadavky na ich riadenie sa neustále sprísňujú. Do zoznamu Základných služieb NBÚ budú čoskoro patriť ďalšie subjekty. Akým spôsobom treba postupovať pre čo najplynulejšie a najefektívnejšie zosúladenie organizácie s legislatívnymi požiadavkami v oblasti kybernetickej bezpečnosti?

Tri piliere informačnej a kybernetickej bezpečnosti

Fungujúca informačná a kybernetická bezpečnosť musí byť založená na spolupráci troch hlavných oblastí:

• hlavný biznis organizácie,
• technológie a
• procesy.

Hlavný biznis je v prípade orgánov verejnej moci poslanie, resp. účel, pre čo bola príslušná organizácia zriadená. V komerčnom prostredí sa samozrejme jedná o hlavnú činnosť, resp. predmet podnikania.

Procesy určujú tok informácií, technológií, ľudí, resp. aktív a vzťahy medzi nimi. V rámci pilierov bezpečnosti bude potrebné zaradiť bezpečnostné aspekty do každého procesu. Možno si to predstaviť obdobne ako bezpečnosť pri práci, ktorá je súčasťou každého procesu a predovšetkým sa vynucuje vo výrobných závodoch.

Technológie ako technické prostriedky pre napĺňanie cieľov hlavného biznisu organizácie možno charakterizovať na dva hlavné druhy:

• prevádzkové technológie a
• bezpečnostné technológie.

Ideálne je, ak jedna technológia obsahuje možnosti pre oba prípady použitia. Dobrým príkladom je operačný systém, ktorý je prispôsobený na beh ľubovoľných programov využívaných v organizácií (informačné systémy), ale zároveň obsahuje možnosti pre vynucovanie bezpečnosti (napr. aktualizačný mechanizmus, blokovací mechanizmus pri nesprávnom prihlásení, antimalvér a pod.)

Systémový prístup

Podrobný návod, akým je možné docieliť želaný stav kybernetickej odolnosti nie je jednoduché nájsť ani vymyslieť. Je potrebné prihliadať na kontext a špecifiká organizácie. V prípade kybernetickej bezpečnosti postupujeme v súlade s Vyhláškou NBÚ č. 362/2018 Z. z., ktorá vychádza z medzinárodne uznávaných štandardov ako ITIL a ISO/IEC 27001 – ISMS.

Základom každého štandardu je iteračný postup v cykle PDCA (plánuj, rob, kontroluj, jednaj). Jeho princípom je práve prepojenie procesov a technológií, samozrejme v nadväznosti na hlavný biznis organizácie.

Na základe tohto postupu môžeme definovať 4 fázy, ktorými si postupne prejde každá organizácia, ktorá chce zlepšiť svoju kybernetickú bezpečnosť.

Fáza 1 – zmapovanie stavu

V prvom kroku je nevyhnutné zdokumentovať a preskúmať aktuálny stav. Práve zapísanie toho čo už je k dispozícií je kľúčové, nakoľko je možné že niektoré aktíva podporujú bezpečnostné mechanizmy, ktoré budú neskôr vynucované.

Fáza 2 – stabilizácia stavu

V tejto fáze sa odstraňujú predovšetkým najkritickejšie nezhody a technické miskonfigurácie. Zaraďujeme sem nastavenie bezpečnostnej brány, logovania, antimalvérových riešení a pod. V tejto fáze je potrebné stanoviť pravidlá a komplexne zabezpečiť infraštruktúru vrátane pracovných staníc či serverov.

Fáza 3 – nastavenie aktívnej bezpečnosti pre zlepšenie odolnosti

V treťom kroku je potrebné nastaviť monitoring IT infraštruktúry. Rozlišujeme dva druhy monitoringu – prevádzkový a bezpečnostný.  Realizuje sa taktiež aj príprava na mimoriadne udalosti – kontinuita.

Zálohovanie, kontinuita a plány obnovy tvoria dôležitú súčasť riadenia informačnej bezpečnosti. Bez proaktívnych opatrení a plánov, postupov, resp. konkrétnych scenárov čo sa bude vykonávať pre prípad mimoriadnej situácie sa už v dnešnej dobe nezaobídeme. Nepostačuje tvrdenie administrátora, ktorý je častokrát z externej firmy alebo živnostník, že zálohy máme, nejako to obnovíme. Nevyhnutné je bezpečne oddeliť zálohy od produkčnej infraštruktúry, stanoviť postupy a pravidelne kontrolovať schopnosť obnoviť údaje zo záloh. Rovnako tak aj plány kontinuity – v prípade, ak bude plánovaná odstávka energie, býva akceptovateľné, že pracovníci majú voľno a organizácia nevykonáva svoju biznis činnosť. Avšak v prípade neočakávaného výpadku, na ktorý sa organizácia vopred nepripravila nemožno očakávať bezstarostné riešenie zo strany IT administrátora.  V praxi sme sa stretli s naivnými očakávaniami vrcholového manažmentu, že v prípade ak majú k serveru zapojenú záložnú batériu – UPS, budú môcť pracovníci pracovať z notebookov (tiež na batérií). Veľmi prekvapivým bolo zistenie, že UPS v danej organizácií nemá takú kapacitu, aby vydržalo celý pracovný deň a rovnako nie je dimenzované pre všetky komponenty siete, vrátane WiFi prístupových bodov.

Súčasťou kontinuity je aj spracovanie havarijných plánov, ktoré sú spracované takým spôsobom, ktoré umožnia aj nezainteresovanému odborníkovi vykonať konkrétne akcie, kroky, ktoré sa vyžadujú pre úspešné preklenutie nečakanej situácie.

Fáza 4 – riadenie aktívnej bezpečnosti

Vo štvrtej fáze sa realizujú dokumentačné podklady, uzatvára sa cyklus bezpečnostného konceptu a všetko čo bolo vytvorené a zavedené sa popisuje. Súčasťou je aj zaradenie do existujúcej dokumentácie a procesov organizácie. Vytvára sa riadená dokumentácia, ktorá je v každom okamihu aktuálna.

Dokumentácia, ktorú svojim zákazníkom navrhujeme nie je vytvorená iba aby bola. Naši technickí a technologickí konzultanti majú skúsenosti z IT oddelení a štruktúra dokumentácie je spracovaná tak, aby vo vybraných častiach mohla byť považovaná za živý dokument, ktorý je zároveň pomôckou a každodenným sprievodcom pracovníkom IT oddelenia.

Záver

Ako sme už spomínali, kybernetická bezpečnosť nie je jednorazová záležitosť a preto „papierová bezpečnosť“ nestačí. Ponúkame Vám skutočnú bezpečnosť, ktorá pomôže nielen zlepšiť Vašu kybernetickú odolnosť ale aj prevádzku či konkurencieschopnosť. Pomôžeme Vám aj s vyššie uvedenými štyrmi fázami a samozrejme aj s celým procesom budovania pilierov kybernetickej bezpečnosti.