Kybernetická bezpečnost nezačíná drahým softwarem ani dlouhou směrnicí. Začíná tím, že organizace ví, co je pro ni důležité, kdo k tomu má přístup a co udělá ve chvíli, kdy něco přestane fungovat. Největší rozdíl často nevytváří jeden dokonalý nástroj, ale několik dobře nastavených návyků, které fungují každý den.
Bezpečnost je součást běžné práce
Mnoho incidentů nezačíná dramatickým útokem na datové centrum. Začíná běžnou situací: někdo otevře přílohu, použije stejné heslo na více místech, nechá aktivní účet po odchodu kolegy nebo odloží aktualizaci systému, protože se zrovna nehodí do provozu. Každý jednotlivý krok může působit nevinně, ale dohromady vytváří prostor pro chybu.
Dobře nastavená kybernetická bezpečnost proto není oddělená disciplína IT oddělení. Dotýká se vedení, lidí, procesů, dodavatelů i každého systému, který pracuje s důležitými daty. Cílem není odstranit každé riziko. Cílem je rozumět tomu, která rizika jsou skutečně podstatná, snížit pravděpodobnost incidentu a být připravený reagovat bez zmatku.
Začněte tím, co by vás skutečně zastavilo
Ne všechna data a systémy mají stejnou hodnotu. Výpadek interního kalendáře může být nepříjemný, ale výpadek e mailu, účetnictví, zákaznického portálu, cloudového úložiště nebo přístupu k produkčním datům může zastavit velkou část organizace. První krok proto není nakupovat další nástroje. První krok je pojmenovat, co by se stalo, kdyby konkrétní systém nebyl dostupný jeden den, tři dny nebo celý týden.
U každého kritického systému by měl existovat člověk, který rozumí jeho významu pro provoz. Nejen technický administrátor, ale i vlastník na straně byznysu nebo vedení. Ten dokáže říct, kdo systém používá, jaká data obsahuje, jaký dopad má výpadek a jaké kroky jsou nutné pro návrat do běžného provozu.
Začněte pěti systémy, bez kterých by se vaše organizace nejvíc zpomalila nebo zastavila. U každého si napište, kdo ho vlastní, kdo jej spravuje, kdo má administrátorský přístup a kde jsou jeho zálohy.
Chraňte identity, ne jen hesla
Účet uživatele je často nejcennější vstupní bod. Když útočník získá přístup k e mailu, může resetovat hesla k dalším službám, vydávat se za kolegu, číst komunikaci nebo přesvědčit další lidi k nebezpečné akci. Proto je ochrana identity často důležitější než snaha postavit jednu neproniknutelnou hranici kolem celé organizace.
Vícefaktorové ověření přidává k heslu další vrstvu kontroly. Ideálně by mělo být zapnuté všude, kde účet umožňuje přístup k citlivým datům, administraci, financím, e mailu nebo vzdálenému připojení. U nejdůležitějších účtů je vhodné používat silnější metody ověření, které jsou odolnější vůči phishingu a podvodným přihlašovacím stránkám.
Stejně důležité je přestat pracovat se sdílenými účty. Jeden společný administrátorský účet sice může být pohodlný, ale bere organizaci možnost zjistit, kdo konkrétně provedl změnu. Každý člověk by měl mít vlastní identitu, vlastní přístup a oprávnění odpovídající své práci.
Projděte e mail, cloudové úložiště, správu domény, účetnictví, vzdálený přístup a administraci webu. U všech těchto služeb ověřte, zda je zapnuté MFA a zda existuje záložní postup pro obnovu účtu.
Přístup má odpovídat roli, ne historii
Největší problém s oprávněními často nevzniká při nástupu nového člověka. Vzniká postupně. Zaměstnanec přejde do jiného týmu, externista dokončí projekt, účetní převezme novou agendu nebo vývojář dostane dočasný přístup k produkčnímu prostředí. Přístupy se přidávají, ale stará oprávnění už nikdo neodebere.
V dlouhodobém horizontu tak vznikají účty s širšími právy, než lidé skutečně potřebují. Bezpečnější přístup je řídit oprávnění podle aktuální role. Člověk má mít přístup k tomu, co potřebuje ke své práci, ale ne automaticky ke všemu, co kdy v minulosti používal.
Tento princip se týká nejen zaměstnanců. Stejně pečlivě je potřeba řešit externí partnery, dodavatele, účetní kanceláře, konzultanty i technické servisní účty. Přístup by měl mít jasný účel, vlastníka a pravidelně ověřovanou platnost.
Aktualizace nejsou technický detail
Aktualizace systémů často působí jako nepříjemná údržba. Ve skutečnosti ale opravují známé chyby, které mohou být veřejně popsané a aktivně zneužívané. Pokud zůstává neopravený operační systém, prohlížeč, VPN, firewall, e mailová brána nebo plugin ve webu, může organizace ponechat otevřenou cestu, kterou útočníci už dobře znají.
Bezpečný přístup není aktualizovat vše bez rozmyslu ve stejný okamžik. Je potřeba vědět, co je kritické, jaké systémy mohou být změnou ovlivněné a kdo ověří, že po aktualizaci vše funguje. Pro běžná zařízení a aplikace ale dává smysl používat automatické aktualizace, pokud je to možné.
Nezapomínejte ani na zařízení, která nejsou na první pohled vidět. Síťové prvky, Wi Fi body, tiskárny, kamery, konferenční systémy, chytré televize nebo starší servery mohou zůstávat roky bez kontroly. Pokud už zařízení nelze bezpečně aktualizovat, je vhodné zvážit jeho oddělení od důležitých systémů nebo náhradu.
Jednou za měsíc projděte seznam používaných nástrojů. Zrušte nepoužívané účty a aplikace, aktualizujte podporovaný software a označte systémy, které už výrobce nepodporuje.
Phishing funguje hlavně na spěch a důvěru
Phishingová zpráva dnes nemusí obsahovat špatnou češtinu nebo podezřelý obrázek. Může vypadat jako naléhavá žádost vedení, informace od banky, pozvánka do online dokumentu, faktura od dodavatele nebo zpráva od kolegy, jehož účet už byl napaden. Útočníci vědí, že lidé reagují rychle, když vidí hrozbu zablokovaného účtu, neuhrazené faktury nebo urgentního úkolu.
Dobré bezpečnostní návyky proto nezačínají zákazem klikání. Začínají tím, že lidé znají jednoduchý postup. Když jim něco nesedí, nemají se stydět zprávu zastavit, ověřit jiným kanálem a nahlásit. Nejhorší situace je ta, kdy člověk tuší problém, ale neví, komu se ozvat, nebo má pocit, že tím bude obtěžovat IT tým.
Zvláštní pozornost vyžadují požadavky na změnu bankovního účtu, platebních údajů, fakturačních kontaktů nebo urgentní převod peněz. Tyto kroky by neměly být potvrzovány jen na základě jednoho e mailu. Citlivý požadavek je vhodné ověřit přes známý telefonní kontakt, interní systém nebo druhého odpovědného člověka.
Zálohy mají smysl jen tehdy, když funguje obnova
Zálohování patří mezi nejdůležitější opatření proti výpadkům, lidské chybě, poškození dat i ransomwaru. Přesto se u mnoha organizací řeší až ve chvíli, kdy něco zmizí. Problém je, že záloha sama o sobě ještě negarantuje návrat do provozu. Musí být dostupná, oddělená, chráněná a pravidelně ověřovaná.
Zvlášť citlivé je ukládání záloh do stejného prostředí, které chrání. Pokud útočník získá administrátorský přístup, může se pokusit poškodit produkční data i dostupné zálohy. Proto dává smysl oddělovat zálohy od běžné infrastruktury, chránit přístup k nim samostatně a pravidelně zkoušet obnovu.
Při testu obnovy nestačí ověřit, že existuje soubor. Důležité je zjistit, zda lze obnovit konkrétní službu, databázi nebo dokumenty v přijatelném čase. Organizace pak získá realistickou představu o tom, co by se při výpadku skutečně stalo.
Vyberte jeden kritický systém a simulujte obnovu do izolovaného prostředí. Zaznamenejte, co fungovalo, co chybělo a jak dlouho celý proces trval. To je hodnotnější než pouhé potvrzení, že záloha někde existuje.
Sdílení dokumentů potřebuje pravidla
Cloudové nástroje zjednodušily spolupráci, ale zároveň usnadnily nechtěné sdílení. Odkaz s volným přístupem se může dostat mimo organizaci, starý externista může zůstat ve složce i po skončení projektu a citlivý dokument může být dostupný širší skupině, než je nutné.
Pro citlivá data je vhodnější sdílet konkrétním lidem nebo řízeným skupinám než přes veřejné odkazy. U externího sdílení dává smysl nastavit dobu platnosti, pravidelně procházet aktivní přístupy a rozhodnout, které typy dokumentů se vůbec smějí posílat mimo interní prostředí.
Stejné pravidlo platí pro mobilní zařízení. Telefon nebo notebook je součástí firemního prostředí, pokud z něj člověk čte e maily, přistupuje do cloudu nebo pracuje s dokumenty. Základní ochrana zařízení, zamykání obrazovky, aktualizace a možnost vzdáleného odebrání přístupu jsou proto běžnou součástí provozní bezpečnosti.
Sledujte změny, které mohou znamenat problém
Bezpečnostní monitoring nemusí znamenat, že někdo celý den sleduje technické záznamy. Důležité je vybrat několik událostí, které skutečně vyžadují pozornost. Může jít o nové administrátorské oprávnění, opakované neúspěšné přihlášení, přihlášení z neobvyklého místa, náhlé přeposílání e mailů mimo organizaci nebo hromadné stahování dokumentů.
Užitečné logování by mělo pomoci odpovědět na jednoduché otázky: kdo provedl změnu, kdy se to stalo, z jakého účtu a co následovalo. Tyto informace jsou důležité nejen při útoku, ale i při běžné provozní chybě, interní kontrole nebo řešení sporné změny.
Je také důležité určit, kdo upozornění skutečně přijímá. Upozornění, které nikdo nečte, vytváří jen zdání kontroly. Lepší je menší počet relevantních signálů než dlouhý seznam notifikací, které se po čase automaticky ignorují.
Incident není chvíle na improvizaci
I dobře chráněná organizace může čelit incidentu. Může jít o napadený účet, ztracené zařízení, podezřelou aktivitu v cloudu, nechtěné sdílení dokumentu nebo ransomware. V takové chvíli je důležité nezmatkovat, nesnažit se problém skrýt a nezačít bez rozmyslu mazat data nebo restartovat zařízení.
Organizace by měla mít předem určeno, kdo rozhoduje o odpojení zařízení, kdo může zablokovat účet, kdo komunikuje s dodavatelem, kdo vede záznam o průběhu a kdo řeší případné informování vedení, klientů nebo dalších dotčených stran. I stručný postup dokáže výrazně zkrátit první hodiny incidentu.
Nejdůležitější je zachovat přehled. Kdy byl problém objeven, co už se stalo, které účty nebo systémy mohou být zasažené a jaké kroky už byly provedené. Tato jednoduchá chronologie pomáhá technickému týmu, vedení i externím specialistům pochopit situaci bez dohadů.
Lidé nejsou nejslabší článek, pokud mají podporu
Bezpečnostní školení často selhává, když je postavené na strachu nebo na hledání viníka. Lidé pak chyby raději skrývají. Mnohem lepší je vytvořit prostředí, ve kterém je normální zeptat se, nahlásit podezřelou situaci a přiznat, že někdo klikl na odkaz nebo zadal údaje na nesprávné stránce.
Dobrá bezpečnostní kultura staví na krátkých a opakovaných připomenutích. Tým nemusí znát každý technický detail. Měl by ale poznat typické podvody, vědět, jak chránit účet, rozumět pravidlům pro sdílení dokumentů a znát kontakt pro rychlé nahlášení problému.
Vedení má v tomto směru zvláštní odpovědnost. Pokud manažeři sami obcházejí bezpečnostní pravidla, například sdílejí hesla, používají soukromé účty pro pracovní data nebo tlačí na obcházení schvalování, těžko lze očekávat, že tým bude bezpečnost vnímat jako skutečnou prioritu.
Bezpečnost roste s přehledem nad daty a procesy
Technologie může výrazně pomoct, ale sama o sobě nevyřeší nejasné vlastnictví dat, nepopsané procesy ani široká oprávnění. Organizace potřebuje vědět, jak data proudí mezi systémy, kdo rozhoduje o změnách a které procesy mohou ovlivnit citlivé informace nebo klíčové služby.
Právě zde mohou mít hodnotu nástroje pro dohledatelnost dat, řízení rolí, auditní stopu a mapování procesů. Pomáhají přenést bezpečnost z úrovně jednotlivých pravidel do každodenní práce. Místo odpovědi „někde to asi je“ pak organizace dokáže rychleji dohledat, co se změnilo, koho se to týká a kdo má rozhodnout o dalším kroku.
Závěr
Kybernetická bezpečnost není cíl, který jednou odškrtnete. Je to průběžná disciplína: chránit identity, aktualizovat systémy, zálohovat data, řídit přístupy, vzdělávat tým a umět reagovat, když se něco pokazí. Organizace nemusí začínat složitě. Potřebuje ale začít důsledně.
Nejlepší opatření jsou často ta, která se opakují bez výjimek. Každý důležitý účet má MFA. Každý citlivý přístup má vlastníka. Každá záloha se občas otestuje. Každý člověk ví, kam hlásit podezřelou zprávu. A každý incident má jasný první krok.
Chcete projít kybernetickou odolnost, práci s daty a řízení přístupů konkrétně pro váš projekt?
Promluvit si s Atodatem →Zdroje
[1] NIST — Cybersecurity Framework 2.0 — nist.gov/cyberframework
[2] CISA — Multifactor Authentication — cisa.gov/multifactor-authentication
[3] ENISA — Cyber Hygiene — enisa.europa.eu/topics/cyber-hygiene
[4] NÚKIB — Ransomware: doporučení pro mitigaci, prevenci a reakci — nukib.gov.cz — doporučení k ransomware
[5] NÚKIB — bezpečný pohyb v kybersvětě — nukib.gov.cz — bezpečný pohyb v kybersvětě