21. 07. 2020 Téma: Bezpečnost v IoT

Jak na kybernetickou bezpečnost. Chytře a rychle

Jak splňovat zákon o kybernetické bezpečnosti? Ano, ani IoT se tomuto stále probíranému fenoménu nevyhne. A mnohá IoT řešení se musí vypořádat například s GDPR.
Jak na kybernetickou bezpečnost. Chytře a rychle

Všude vidíte, slyšíte a čtete, jak je bezpečnost nejen v IoT důležitá. Čím je pojem kyberbezpečnost starší, tím se bohužel z legislativního pohledu stává složitější, mnohdy až nepřehledný. Spousta firem v oboru kyberbezpečnosti se soustředí hlavně na technickou stránku věci, ale už tolik nezabývají právě legislativními náležitostmi. 

Mnozí se teď možná ptají k čemu „ta bezpečnostní legislativa” vlastně je, když nejdůležitější je neprůstřelnost systému. V dnešním světě se korporace, úřady a firmy neřídí jen logikou, ale chtě nechtě musí ctít literu zákona. Nebo aspoň nejít vyloženě proti ní.. Ze zákonů vyčtou, co je povinné, co naopak splnit nemusí, kde je šedá zóna a co se stane při porušení.

Vzácná kombinace je, když narazíte na firmu, která klade stejný důraz na obojí. Na technické řešení stejně jako na legislativu.

Představujeme NGSS

Next Generation Security Solutions je česká firma sídlící na Praze 7 a dala si za cíl zlepšit kybernetickou bezpečnost. Dokonce i na místech, kde se nenachází žádné technické oddělení a kde se tématem kybernetické bezpečnosti dosud nezabývali. Jedná se především o nemocnice, úřady nebo i netechnické univerzity. 

Poskytují služby specialistů v oblastí řízení a nastavování bezpečnostních procesů, implementace bezpečnostních služeb a projektové řízení. Pomohou ve všech fázích projektu. Od návrhu, přes implementaci až po monitoring provozu.

Jak jsme se zmínili už na začátku, čím déle je téma kyberbezpečnost aktuálním tématem, tím větší si získává pozornost u zákonodárců, kteří se snaží reagovat a zakotvit vše také v zákonech. To je samozřejmě správně, protože pokud firma nemusí investovat do věci, která nezvýší zisk, efektivitu nebo produktivitu, tak to většinou neudělá. Pokud je to ale zakotveno v legislativě pod velkými pokutami, je situace naprosto odlišná.

Bohužel právě pro subjekty, které nemají vlastní technické oddělení je nová legislativa opravdu obtížná. Těžko mu rozumí a ještě komplikovanjší je pro ně implementace. Tady přichází na řadu NGSS, která má bohaté zkušenosti se zaváděním opatřením právě na místech, kde kyberbezpečnost řeší poprvé. Umí vysvětlit těžká témata i managmentu, který díky tomu pochopí, jak důležitá prevence vlastně je, a že bez investic do bezpečnosti hrozí mnohem větší ztráty a pokuty.

Jaké služby NGSS nabízí?

Kromě technických služeb je u NGSS výhoda právě i znalost právního pozadí. To znamená, že přesně ví, co vaše firma musí po právní stránce splňovat. Všichni mají odlišné povinnosti, specifika, rozpočet a dovednosti. 

Nejzajímavější služba je první konzultace zdarma. V první zprávě napíšete pár slov o své firmě a popíšete, s čím potřebujete pomoct. Vše důležité pak projednáte na osobní schůzce, díky které dostanete přesnější výstupy, co všechno bude třeba udělat a kolik to bude stát přibližně peněz i času.

Originální služba v repertoáru NGSS je tzv. outsourcing rolí pro případy, kdy klient (firma či organizace) nemá nikoho, kdo by dokázal plnit podmínky, který určuje zákon o kybernetické bezpečnosti nebo GDPR. Získáte tak zkušeného odborníka, který bude takovou roli zastřešovat a hlídat, aby vše bylo souladu s legislativou.

Security Management Center

Nabízí vlastní službu GRC (Governance, Risk Management and Compliance), která dokáže z technických a procesních dat vytvořit podklady, podle kterých se může vedení a managment firmy rozhodovat

Security management system - pohled pro vedení společnosti
Ukázka portálu - rozhraní pro vedení společnosti. Zdroj: NGSS

Jedná se o unikátní službu, která dokáže na jednom místě zkombinovat technické, procesní a manažerské vstupy. Hned uvidíte, kolik bezpečnostních rizik hrozí a kolik peněz bude stát jejich odstranění.


Zdroj: NGSS

Službu uvnitř firmy využije hlavně:

  • Vedení organizace (účinnost výdajů, efektivita opatření, návrh investic) 
  • Bezpečnostní management (stav bezpečnostních procesů, shody s normami a legislativou, efektivnost opatření) 
  • ICT management (stav technické bezpečnostní, priority v techn. opatřeních, přehled bezpečnostních zranitelností a jejich řešení)

Příklad z praxe

Klient, který provozuje výrobní podnik má komplikované schéma výrobních procesů a stejně komplikovaná je i IT infrastruktura. Vedení si uvědomilo, že s takto komplikovanou infrastrukturou bude náchylná na kybernetické útoky, které mohou ohrozit plynulost výroby. 

Obrátili se tedy na NGSS s prosbou o pomoc při zabezpečování infrastruktury s využitím GRC.

Zjistili jsme například, že plánovaná investice do bezpečnosti sítě bude v danou chvíli neefektivní, protože její přínos se neprojeví dříve než po pěti letech v návaznosti na jiné plánované projekty a s ohledem na vývoj trhu těchto řešení lze očekávat, že odložení investice o čtyři roky výrazně ušetří prostředky. Současně jsme zjistili, že výše plánované investice je v nepoměru k očekávanému snížení rizik a okamžitě dostupné prostředky lze alokovat s větším efektem do oblasti správy přístupových oprávnění.

Bezpečnostní testy

Pomocí bezpečnostních testů se zjistí, jak a kde je firma náchylná na bezpečnostní incidenty. Zde se řeší pouze technická stránka věci. Je to jediný způsob, jak odhalit nedostatky v infrastruktuře. Testy pomáhají zjistit, jestli splňujete požadavky, které na vás klade legislativa či směrnice.

Jsou dostupné 3 varianty testů:

  • Test zranitelností - Pomáhá identifikovat jestli jsou přítomné známé zranitelnosti
  • Penetrační test - Ověřuje, jestli lze proniknout do systému
  • Analýza provozu - Kontrola síťového provozu, jestli útok už neprobíhá

Nejlepší je samozřejmě kombinace všech 3 testovacích scénářů. Lze se domluvit na délce a rozsahu testování. Hodí se, když třeba zavádíte nové technologie, nebo jste továrnu vybavili novými IoT zařízeními a senzory. Tak samozřejmě čím menší rozsah testování, tím bude všechno rychlejší a levnější.

Můžete prověřit bezpečnost:

  • Webové aplikace
  • Operační systémy
  • Infrastrukturní služby (IoT)
  • Cloudové a SaaS služby
  • Komunikační infrastruktura
  • Síťový provoz

Příklad z praxe

 „Provedený test odhalil významné nedostatky v zabezpečení prvků síťové infrastruktury, systémů historicky vyvinutých specificky pro potřebu klienta a provozovaných na již nepodporovaných technologiích a závažné nedostatky v zabezpečení zdravotnické techniky, kdy byl testerem získán neoprávněný přístup na radiodiagnostické zařízení.

Monitorováním komunikace bylo dále zachyceno několik počítačů, infikovaných botnety.

Audity a srovnávací analýzy

Jedna z velkých předností NGSS je právě pomoc při splnění kritérii, které nařizuje zákon o kybernetické bezpečnosti či směrnice typu GDPR. Takový audit neboli GAP analýza prověří, jak současná infrastruktura splňuje kritéria a co všechno chybí ke splnění.

Audit je nejlepší začátek, jak zjistit bezpečnost celé vaší infrastruktury a jestli splňujete podmínky, které udává zákon. Chcete získat důvěryhodnou certifikaci ISO 27001? Audit je správná cesta, jak jít tomu naproti.

Audit se hodí vlastně vždy, ale nejvíce pokud:

  • spadáte pod zákon o kybernetické bezpečnosti
  • je pro vás kritická bezpečnost informačních systémů a fyzická bezpečnost
  • spravujete citlivé údaje
  • chcete zajistit kontinuitu činnosti

Jinak audit probíhá podobně, jako bezpečnostní testy. Nejdříve se ujasní, proč audit vlastně potřebujete a podle toho se ujasní rozsah. Nemusíte se bát, že se naruší normální činnost firmy nebo podniku. Vše probíhá za normálního provozu bez rizika narušení. Zjištěné informace budete dostávat pravidelně a na konci auditu získáte kompletní report s přehledem nedostatku s řešením, jak je napravit.

Příklad z praxe

Klient, veřejná vzdělávací instituce sice přímo nespadá pod povinnosti zákona o kybernetické bezpečnosti, ale chce s ním být v souladu z důvodu sdílení části informačních a komunikačních služeb s organizacemi, které požadavky plnit musí. Výsledek analýzy má také sloužit jako jeden ze vstupů pro plánování investic. Instituce neměla zavedený systém řízení bezpečnosti informací.

Organizace pak byla na základě výsledků této analýzy schopna ad-hoc vyřešit základní nedostatky a vytvořit střednědobý a dlouhodobý plán investic do bezpečnosti informací.

Další služby

Ukázali jsme si ty nejdůležitější služby / produkty, které NGSS nabízí. S nimi budete mít kompletní přehled, jak na tom z pohledu kybernetické bezpečnosti jste. Hlavně s rozmachem IoT senzorů a zařízení je stále těžší zůstat v obraze.

Nejhorší je, pokud nemáte žádné procesy, jak postupovat při přidávání nových IoT zařízení. Může se stát, že najednou budete mít v podniku senzory, které tam nemají co dělat. Případně mají přístup do sítě, kde nemají co pohledávat. NGSS pomůže právě při zavádění takových procesů a provede analýzu, jestli nebyla bezpečnost již narušena.

Nastavit takové procesy je nelehký a komplexní úkol hodný odborníků. Jestli takové nemáte, svěřte ho specializované firmě, která a výsledek může i ručit.

Outsourcing rolí

Ne každá organizace nebo firma má zaměstnance, který může plnohodnotně zastávat bezpečnostní role. To u NGSS dobře ví, a přichází právě se službou outsourcing rolí. Vezmou na sebe zodpovědnost a budou pravidelně pomáhat se zajištěním všech potřebných bezpečnostních postupů a procesů.

Takové role nabízí pro:

  • Bezpečnostního manažera a manažera kybernetické bezpečnosti
  • Architekta kybernetické bezpečnosti
  • Interního auditora (včetně role auditora kybernetické bezpečnosti)
  • Pověřence pro ochranu osobních údajů („DPO“)
  • Manažera pro ochranu osobních údajů

Součástí služby je i zpracování nebo úprava smluv, aby vše bylo v souladu s legislativou. Cílem je zajistit bezpečnost při práci s citlivými údaji i u firem, které nemají nikoho, kdo by takové role dokázal zastávat, a hlavně je plnohodnotně plnit.

Ochrana osobních údajů, GDPR

Strašák každé firmy a organizace, která pracuje s daty svých zákazníků, klientů nebo zaměstnanců. To se v podstatě dotýká všech společností. Ale třeba i společenství vlastníků bytů nebo družstev.

GDPR se nevyhýbá ani IoT řešením, kamerám a senzorům.
Ilustrační foto. Zdroj: Canva.com

Pokud teprve začínáte s podnikáním, tak se vyplatí hned od začátku nastavit procesy, tak aby vyhovovaly směrnici. Doporučujeme provést i audit vždy jednou za pár let, protože technologie se mění, aktualizují se i postupy a procesy. Proto je vždy dobré ověřit, jestli je vše v pořádku.

Služba spočívá v prvotní analýze, vyhodnocení rizik, v poradenství při řešení konkrétních problémů nebo spolupráce při identifikaci vyšetřování událostí. 

Školení kybernetické bezpečnosti

Kevin Mitnick, nejznámější hacker a specialista na sociální inženýrství říká: „Je jedno kolik investujete milionů nebo miliard dolarů do infrastruktury, kterou spravuji lidé. Stačí je hezky poprosit a oni vám přístupy stejně dají”. Tady platí jasné pořekadlo. Řetěz je silný pouze tak, jako jeho nejslabší článek. A lidé vždy budou tím nejslabším článkem v řetězci.

Pokud vám záleží na dodržování bezpečnostních pravidel, bez pravidelných školení o kybernetické bezpečnosti to půjde jen velmi těžko. NGSS připravili zábavnější a interaktivnější formu, která dokáže zaměstnance „vtáhnout do děje” a mnohem lépe pochopí, co je v sázce a jak se proti tomu dá bránit.

Školení se připravují vždy na míru podle typu organizace nebo firmy. Kromě „klasických poučení” typu neklikat na přílohy od neznámých odesílatelů, pozor na příponu dokument.text.exe apod., se také připraví různé scénáře z pohledu sociálního inženýrství, které mohou potkat třeba úředníky nebo pracovníky na technické podpoře. Školení se vyplatí provádět pravidelně aspoň jednou za rok. Nové phisingové útoky se také lepší a nesetkáte se s nimi jen v e-mailu, ale zaskočí vás třeba po telefonu.

Pár slov na závěr

Kybernetická bezpečnost je nejvíce měnící se prostředí v IT. S příchodem nových technologií nebo zařízení mají útočnici stále nové možnosti, jak způsobit firmám a organizacím vrásky na čele. Argument, že jste dělali audit před 3 lety, bohužel neobstojí, ať už před soudem nebo před vašimi zákazníky.

NGSS pomůže s pravidelným monitoringem vaší infrastruktury, tak abyste měli přehled v reálném čase o rizicích, které hrozí. Nastaví potřebné procesy, tak, aby každý věděl, jak se do infrastruktury přidávají nová IoT zařízení nebo jak se zaměstnanci mají zachovat v různých situacích.

Potřebujete poradit s výběrem služby?

Napište nám a určitě vás nasměrujeme tím správným směrem

Články na podobné téma
Jaká rizika jsou spojená s IoT a jak se jim můžete bránit

Jaká rizika jsou spojená s IoT a jak se jim můžete bránit

Dneska se podíváme blíže na bezpečnost u IoT. V roce 2020 vypadá predikce následovně: IoT zařízeních připojených do sítě přesáhne 30 miliard a hodnota trhu se v minulém roce vyšplhala na 80…
2020-02-20
Odhalili jsme 7 mýtů o bezpečnosti v IoT

Odhalili jsme 7 mýtů o bezpečnosti v IoT

Jak je to s bezpečností v případě internetu věcí (IoT)? Odhalte s námi 7 mýtů kolem tohoto tématu. Pojmu internet věcí nebo Internet of Things (IoT) je všude plno. Pokroky v tomto oboru mění naše…
2019-12-01