Žiadne unáhlené nákupy. Kyberbezpečnosť si vyžaduje koncepciu

Viete, ktoré dáta majú najväčšiu hodnotu? Tie, ktoré máte stále pod kontrolou. Na vlastnej koži sa o tom presvedčili mnohé firmy a organizácie - odhaduje sa, že len vlani sa do nepovolaných rúk dostali miliardy citlivých záznamov. Tento rok navyše priniesol novú výzvu - mnohí zamestnanci pre pandémiu COVID-19 museli zostať pracovať z domu, čím sa nároky na zabezpečenie citlivých údajov ešte zvýšili.

„Pri súčasnej situácii ešte viac ako inokedy platí, že kybernetickú bezpečnosť treba riešiť koncepčne,“ hovorí Michal Sekula, bezpečnostný odborník spoločnosti Atos. „Organizácie by mali vedieť, čo potrebujú chrániť a ako sa k tomu dopracovať,“ vysvetľuje. Pre mnohé firmy počítačová bezpečnosť stále zostáva abstraktnou hrozbou. V stávke je však veľa a skutočná hodnota prijatých opatrení sa často ukáže, až keď je neskoro.

Základné otázky bezpečnosti
„Organizácia v prvom rade musí poznať odpoveď na základné otázky: aké dáta chce chrániť, kde ich uchováva a kto k nim má prístup,“ hovorí odborník. „Mala by poznať riziká, ktoré s dátami súvisia - či je pre ňu kľúčové zabrániť krádeži, strate alebo len nedostupnosti údajov,“ popisuje základnú analýzu, ktorá by mala predchádzať každému rozhodnutiu.

Samotných spôsobov, ako citlivé údaje ochrániť, je pritom viacero a každý z nich má svoje špecifiká. „Základným riešením na úrovni používateľa sú takzvané DLP nástroje,“ hovorí odborník.

Úlohou Data Leakage Prevention alebo Data Loss Protection nie je riešiť bezpečnostné incidenty, ale zabrániť, aby k nim vôbec došlo. Ostatne, takýto prístup firmám i ostatným správcom citlivých dát predpisuje napríklad európske nariadenie GDPR a z neho vychádzajúci zákon o ochrane osobných údajov; firmy by však už len zo záujmu o ochranu vlastnej povesti mali svoj prístup k bezpečnosti postaviť najmä na prevencii. Na pamäti treba mať aj to, že citlivé údaje nie sú len osobné - patria medzi ne napríklad i finančné dáta firmy, výrobná dokumentácia, obchodná komunikácia, či čokoľvek, čo má pre organizáciu hodnotu.

Prevencia sa oplatí
DLP nástroje dozerajú na to, aby citlivé údaje neopustili firmu - kým k dokumentu, obsahujúcemu napríklad rodné čísla zákazníkov môžu pristupovať zamestnanci, ktorí ho potrebujú k výkonu svojej práce a môžu si ho medzi sebou posielať, úlohou DLP je zabezpečiť, aby sa nedostal do nepovolaných rúk. „Systém automaticky zabráni, aby si niekto takéto dáta skopíroval na externé úložisko, posielal ich cez svoj súkromný e-mail alebo si ich nahrával napríklad na USB kľúč,“ hovorí expert Atosu. Toto riešenie funguje bez ohľadu na to, či zamestnanec pristupuje k dátam na lokálnej sieti alebo v cloude.

Kým DLP rieši bezpečnosť na úrovni používateľa, na opačnej strane sa o to, aby sa dáta nedostali do nepovolaných rúk, stará napríklad databázový firewall – jednou z možností je IBM Guardium. „Úlohou tohto systému je zabrániť neautorizovaným osobám, aby sa k dátam vôbec dostali,“ vysvetľuje M. Sekula. Systém má nastavené pravidlá, kto, čo a kedy s týmito dátami robiť môže a nikoho iného k nim nepustí.

Dôležité je, že tieto systémy zachovávajú záznamy o aktivitách pre účely auditov, alebo prípadných vyšetrovaní bezpečnostných incidentov.

Rutina ako prvok ochrany
Firemné dáta ochráni i šifrovanie. Tento spôsob je však vhodný skôr v prípade, že sa dáta často nevyužívajú – napríklad pri zálohách. Aby sa k odšifrovaným dátam dostali len tie správne osoby môže zabezpečiť správa identít a prístupov jednotlivých používateľov.

Ďalšou bezpečnostnou vrstvou v podniku môže byť behaviorálna analýza, ktorá využíva strojové učenie. „Každý človek má svoj štýl práce, dáta, s ktorými pracuje, miesta, ku ktorým pristupuje,“ hovorí M. Sekula. „Ak by sa do systému dostal niekto pod jeho menom a snažil sa získať údaje, na ktoré nemá oprávnenie, systém si túto nekonzistentnosť v správaní sa človeka všimne a upozorní na ňu,“ vysvetľuje. V závislosti od nastavenia a prepojenia jednotlivých bezpečnostných systémov v podniku a miery citlivosti údajov potom buď upozorní IT oddelenie, bezpečnostnú službu, alebo môže napríklad vyslať signál na elektronické uzamknutie danej miestnosti s podozrivým človekom.

Veľa systémov, jeden pohľad
To všetko sú však jednotlivé riešenia, ktoré sledujú čiastkové ciele. Komplexný prístup k bezpečnosti si vyžaduje niečo viac - niečo, čo IT alebo bezpečnostnému oddeleniu poskytne ucelený prehľad o situácii.

Tým môže byť niektorý z nástrojov Security Information and Event Management (SIEM), na Slovensku je v ponuke napríklad Q-Radar od spoločnosti IBM. „Každý bezpečnostný a informačný systém vo firme produkuje logy, záznamy o činnosti. Obsahujú správy o všetkom, čo sa udialo. Prechádzať ich manuálne by však už i na úrovni malej firmy bolo nad ľudské sily. A práve tu prichádzajú na pomoc SIEM systémy,“ hovorí odborník spoločnosti Atos.
Riešenie zbiera všetky prevádzkové a bezpečnostné záznamy, analyzuje ich, spája, porovnáva, hľadá v nich súvislosti, dá získaným dátam zmysel a upozorní na to podstatné. „Zjednodušene povedané, ak trebárs stovka zamestnancov nahlási problém so spúšťaním firemnej aplikácie, vďaka rýchlej analýze zo SIEM sa môže IT oddelenie urýchlene sústrediť na samotný zdroj problému, napríklad chybný server namiesto toho, aby sa zaoberalo všetkými čiastkovými problémami stovky užívateľov,“ hovorí odborník.

Ešte o krok ďalej dozor posúva umelá inteligencia - prepojenie SIEM napríklad so systémom Watson od IBM bezpečnostnému tímu nielen ukáže, kde je problém, ale napovie mu, ako ho možno riešiť.

Prepojenie technológií a ľudí
SIEM je stále len nástroj, ktorý poskytne informáciu; o tom, ako ďalej postupovať môže rozhodnúť buď samotné IT oddelenie, ale i napríklad SOC. Security Operation Center vie organizáciám ponúknuť nepretržitú bezpečnosť. Ide o riešenie, ktoré si možno prenajať ako službu.
SOC je akýmsi hubom všetkého, čo súvisí s ochranou pred potenciálnym ohrozením firmy. Tím odborníkov v dohodnutý čas alebo i neustále vyhodnocuje prijaté logy a výstupy zo SIEM, v reálnom čase identifikuje bezpečnostné hrozby a analyzuje bezpečnostnú situáciu podniku. Ak dôjde k incidentu, pomáha bezpečnostné riziko izolovať, odstraňovať následky a zmierňovať škody. Technológie a ľudia sú v tomto koncepte tak procesne spojení, že na bezpečnostné hrozby dokážu reagovať veľmi rýchlo a často tak zachytia ohrozenie ešte skôr, ako napácha akékoľvek škody.

Umenie výberu
„Bezpečnostných riešení je naozaj veľmi mnoho a nie všetky sú vhodné pre každý typ organizácie, firmy, či podniku,“ hovorí odborník spoločnosti Atos. „Ešte skôr, ako sa vedenie rozhodne nakupovať čiastkové riešenia, malo by investovať do bezpečnostného auditu,“ hovorí.

Ide o komplexný pohľad na bezpečnosť podniku - nielen na zabezpečenie zariadení, ale i otestovanie firemných procesov či práce s ľuďmi. Môže sa totiž stať, že namiesto nekoncepčného nákupu nevhodných riešení stačí zmeniť systém práce, prípadne dobre vyškoliť personál a bezpečnostné riziko klesne.
„Dnes často dochádza k situácii, že najdôležitejším kritériom pri budovaní bezpečnosti v organizácii je cena,“ hovorí expert spoločnosti Atos. „Takýmto spôsobom však firma môže skončiť so súborom systémov, ktoré navzájom spolupracujú iba v obmedzenej miere a len zbytočne zahlcujú IT oddelenie. Zistenie stavu, vyhodnotenie situácie a návrh celkovej bezpečnostnej architektúry bez slabých článkov by tak mal predchádzať akémukoľvek nákupu,“ dodáva.


 
Prihláste sa na ITAPA Digital Talk: Umelá inteligencia v bežnom živote
Páčil sa ti článok? Zdieľaj ho a povedz o ňom aj ostatným