Správa aktív

Prieskum stavu kybernetickej bezpečnosti v sektore malé a stredné podniky

Podľa posledného prieskumu stavu kybernetickej bezpečnosti v sektore MSP (malé a stredné podniky) na Slovensku, ktorý realizovala Slovak Business Agency v spolupráci s Národným bezpečnostným úradom Slovenskej republiky prostredníctvom agentúry Actly na vzorke 1 009 malých a stredných podnikovhttps://www.nbu.gov.sk/wp-content/uploads/2022/08/SBA-Sprava_z_prieskumu_Kyberbezpecnost_SBA_09082022_Actly_RR.pdf , stále nie je problematika kybernetickej bezpečnosti vnímaná ako niečo, čomu je potrebné venovať zásadnú pozornosť. MSP síce vnímajú hrozby, ale riešeniu kybernetickej bezpečnosti venujú len zlomok svojho rozpočtu. Ak už na niečo venujú financie, tak sú to zväčša technické bezpečnostné opatrenia. Dôvodom je, že motiváciou na investovanie sú najmä hrozby kybernetických útokov, ktorých počet sa podstatne zvýšil príchodom pandémie a vojnou na Ukrajine. Prieskum ukazuje viacero zaujímavých, ale určite nie prekvapujúcich faktov:

• takmer polovica nezamestnáva žiadnych špecialistov na kybernetickú bezpečnosť (týka sa to skôr menších spoločností a je to z ich pohľadu „logické“, vnímajú skôr potrebu zabezpečiť prevádzku IT a/alebo OT infraštruktúry),
• takmer 2/3 oslovených subjektov nevykonalo analýzu rizík kybernetickej bezpečnosti,
• podobne takmer 2/3 nemajú spracované riadenie kontinuity činností (BCM – Business Continuity Management), čo v zásade logicky vyplýva z neexistencie analýzy rizík.

Výsledky teda nie sú prekvapivé, pretože MSP sú z hľadiska svojich finančných možností naplniť interné ľudské kapacity alebo delegovať správu kybernetickej bezpečnosti na externého dodávateľa poddimenzované. Ak sa pozrieme na reakcie podnikov (reprezentované osobami s rozhodovacou právomocou v oblasti riadenia spoločnosti), tak očakávajú zlepšenie svojej kybernetickej bezpečnosti najmä cez opatrenia technického charakteru, školenia a vzdelávacie kurzy financované cez grantové schémy. Takže kde a najmä ako začať?

Vychádzajme zo zistenia, že takmer 2/3 oslovených subjektov nemá realizovanú analýzu rizík. Prečo? Je to neochota zafinancovať ju, podcenenie potreby takejto analýzy alebo len nevedomosť? Pozrime sa na to očami obyčajného človeka. Poisťujeme sa, lebo sa bojíme, že ak by nám prestalo zdravie slúžiť alebo by sa nám niečo stalo na horách či v zahraničí, tak sa náš komfort žitia zníži, pretože sa zrejme zníži príjem financií, ktorý potrebujeme. Naše zdravie, našu schopnosť pracovať sme vyhodnotili ako niečo dôležité, čo keď sa naruší, tak sa zhorší „kontinuita“ úrovne nášho komfortu žitia.

Kontinuita „biznis procesov“

Späť na úroveň biznisu či podnikania. Čo je v našej organizácii, firme, spoločnosti také dôležité, že keď to nebude dostupné, tak sa „biznis procesy“ zastavia, prípadne „len“ spomalia a obmedzí nás to v poskytovaní služieb, výrobe či dodávaní tovaru? Sekundárne následky sú platobná neschopnosť a prepúšťanie zamestnancov. Odpoveďou na otázku, „čo je dôležité“ pre kontinuitu našich „biznis procesov“, je práve analýza rizík, do ktorej sa subjekty prekvapivo nehrnú. Pritom analýza rizík a najmä analýza rizík z pohľadu kybernetickej bezpečnosti nie je „raketovou vedou“ a začína v podstate jednoducho. Dôslednou správou aktív.

Aktíva sú z hľadiska formy všetok majetok. Medzi aktíva patrí hotovosť, pohľadávky, materiál, výrobky a podobne. Aktívum možno považovať za investíciu, ktorá pomôže zvýšiť kúpnu silu alebo, po lopate povedané, pomôže plniť organizácii jej poslanie. Komerčnej firme pomáha vytvárať zisk. Teda prirodzene najcennejšie aktíva budú tie, ktoré vyprodukujú – pomôžu vyprodukovať – najväčšie množstvo peňazí s najmenšou námahou.

Ak to posunieme do roviny IT aktív, pretože pri kybernetickej bezpečnosti nás zaujímajú práve tie, tak to bude akýkoľvek finančne hodnotný IT komponent, ktorý prispieva k dodaniu služby alebo tovaru, teda všetok hardware, software, siete, cloudové služby, klientske zariadenia. Aj informácie spracúvané pomocou hardvérových a softvérových komponentov sú aktíva. Ak potrebujeme pre dosahovanie výsledkov našej činnosti IT technológie, tak sú to naše IT aktíva, a ak ich nebudem chrániť, tak žiadne výsledky našej činnosti dosahovať nebudeme.

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti nehovorí o IT aktívach, ale o aktívach, a preto ak naše činnosti a dosahovanie výsledkov je závislé aj od OT komponentov (komponenty výrobných technológií), ako sú napríklad prvky automatizovaného riadenia procesov typu HMI, PLC či SCADA nástroje pre vizualizáciu riadiacich procesov, sú to tiež naše aktíva a mali by sme ich chrániť.

Inventarizovanie nechápeme len ako evidenciu nákupu. Pre riadenie kybernetickej bezpečnosti to absolútne nepostačuje. Inventarizácia aktív, ktorá nám má pomôcť pri zvyšovaní kybernetickej bezpečnosti, musí obsahovať oveľa viac informácií ako len rok nákupu, cenu, inventárne číslo a komu bolo aktívum pridelené.

Pri aktívach typu hardvér je vhodné vedieť: výrobcu, typ zariadenia, servisnú zmluvu a jej úroveň, verziu BIOSu, ak ho aktívum má, alebo firmware, alebo operačný systém. Tiež, kde je hardvérové aktívum umiestnené, prípadne kde a ako je pripojené, aby sme boli schopní rýchlo identifikovať lokalitu, budovu, miestnosť, kde sa nachádza, kto je vlastníkom (tu myslíme, kto určuje, kto má aké práva na prístup k aktívu) a kto ho spravuje, teda kto je administrátorom aktíva.

Pri aktívach typu softvér potrebujeme vedieť iné detaily: výrobcu, verziu či posledný aplikovaný patch, na ktorom hardvérovom aktíve je príslušné softvérové aktívum nainštalované, servisnú zmluvu a jej úroveň, pri aplikáciách môžeme informácie rozšíriť, napríklad na akých softvérových knižniciach je aplikácia postavená (pokiaľ sme aplikáciu vyvíjali vo vlastnej réžii, tak to nie je problém, ak to dodávala tretia strana, je to relevantná otázka na tretiu stranu).

Prečo sa nám tieto informácie zídu, načo potrebujeme taký rozsah informácií o našich IT a/alebo OT aktívach? Vráťme sa k tomu, čo sme o aktívach povedali na začiatku. Je to buď priamo náš výrobný prostriedok, alebo nepriamo, teda bez neho by sme menej vyrábali, dodávali, expedovali, naše služby by boli nefunkčné alebo by boli pomalé.

Aktíva potrebujeme chrániť. Aby sme ich mohli chrániť, potrebujeme vedieť o nich všetko, čo sa dá, aby sme mohli vyhodnotiť ich slabé miesta – zraniteľnosti. Každý softvér má nejakú zraniteľnosť. Ak neviem, akú verziu firmware, operačného systému či aplikácie mám, ako viem, či tá moja aplikácia je alebo nie je zraniteľná? Alebo ak neviem, že hrozbou pre moje servery je teplota prostredia vyššia ako 40 stupňov a teplotu v miestnosti, kde servery sú, nemeriam, tak ma v lete môže prekvapiť nečakaná porucha servera.

Na každé aktívum pôsobia nejaké hrozby. Interné či externé, prírodné alebo spôsobené ľuďmi. Tu sme už len krok od toho, aby sme zistili, aká je pravdepodobnosť, že daná hrozba konkrétnu zraniteľnosť aktíva naozaj zneužije a ak k tomu dôjde, aký to bude mať dopad (finančný, právny, reputačný...).

Tým sme sa od aktív dostali k analýze rizík a analýze dopadov a vlastne do biznis kontinuity. Ak totiž vieme, ktoré aktívum je pre nás najcennejšie a poznáme pravdepodobnosť jeho zneužitia aj možný dopad, tak vieme nadefinovať bezpečnostné opatrenia (technologické, organizačné, procesné), aby sme to riziko eliminovali alebo aspoň minimalizovali na akceptovateľnú úroveň. Čo je akceptovateľná úroveň? Napríklad, ak vás jeden deň nefunkčnosti alebo nemožnosti poskytovať služby stojí 5 000 € a vaše existujúce bezpečnostné opatrenia sú také, že v prípade problémov (bezpečnostný incident) ste schopní služby rozbehať do 5 dní, tak priamy finančný následok môže byť až 25 000 €. Pokiaľ je pravdepodobné, že sa incident počas roka zopakuje, tak sa vaše straty násobia. Koľko ste ochotní investovať, aby ste boli schopní buď znížiť pravdepodobnosť výskytu na polovicu, alebo služby obnoviť do 1 dňa?

Ak vieme, ktoré aktívum nám môže narobiť najviac problémov, ak vieme, aká je jeho hodnota, aké má zraniteľnosti a poznáme hrozby, ktoré naň pôsobia, tak vieme určiť spôsob a cenu bezpečnostných opatrení pre konkrétne aktívum alebo skupinu aktív. Návrh správnych bezpečnostných opatrení sa opiera práve o riadenie aktív, hrozieb a rizík.

Ako na inventarizáciu aktív?

Postupov je mnoho, no podstatné je pochopiť, že správa aktív nezačína a nekončí ich inventarizáciou. Správu aktív je potrebné procesne podchytiť. Určiť, ako budete aktualizovať zmeny v informáciách o aktívach. Ako sa o zmene dozviete, napr. kúpa nového počítača, softvéru, zmena servisnej úrovne, výmena počítača s kolegom, aplikovala sa zmena, patch, zmenila sa verzia. Tie podnety na zmenu v katalógu aktív budú kontinuálne, a preto je dobré nad tým porozmýšľať a zvoliť si nástroj/nástroje, ktoré vám prácu zjednodušia. Záleží od množstva aktív, a teda aj veľkosti firmy, organizácie. V menších organizáciách si vystačíme s bežne dostupnými skenermi siete, napríklad nmap. Mnohé skenery nám zároveň ako výstup poskytnú aj informáciu, o aký typ hardvéru ide, aký má operačný systém, aké má otvorené komunikačné porty a výstup nám exportuje do cvs súboru alebo niečoho, čo vieme importovať do tabuľkového procesora, napr. excelu. Je dobré vychádzať aj zo záznamov, ktoré si vediete pri správe majetku, prípadne pri odovzdávaní aktíva zamestnancovi, pri prijímaní zamestnanca aj pri jeho odchode z pracovného pomeru.

V tých väčších spoločnostiach je vhodné poobzerať sa po serióznych nástrojoch na správu aktív. Stačí na internete vyhľadať spojenie „assets management tools“. Jedným z uznávaných je napríklad SolarWind.

Pri pozornom čítaní ste si možno položili otázku, ako aktíva efektívne vyhodnotiť, nakoľko sú pre mňa dôležité. Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti priamo určuje pre informačné aktíva ich klasifikáciu, a to z hľadiska dôvernosti, z hľadiska integrity a z hľadiska dostupnosti. Aj keď sme v texte rozoberali najmä situácie dostupnosti – biznis kontinuitu, aj na hardvérové aktíva sa vieme pozrieť pohľadom dôvernosti a integrity.

Ako?

Zamyslite sa nad svojimi biznis procesmi. Ktorý biznis proces je pre vás najdôležitejší? Ktorý je ten nosný? Môže ich byť aj viacero. Načrtnite si hlavný biznis proces a pomenujte aj pomocné biznis procesy, ktoré hlavnému procesu pomáhajú. Do biznis procesu vstupujú dáta alebo informácie, spracujú sa a vystupujú, aby zase vstúpili do iného bodu. Popíšte si, aké informácie do akého procesu vstupujú. Vyhodnoťte informácie v procese z hľadiska dôvernosti.

Ďalším pohľadom na informácie v rámci nakreslených a popísaných biznis procesov je pohľad na integritu údajov, či proces vieme správne vykonať, prípadne môže ďalej pokračovať, ak nejaká časť dát, údajov, informácií chýba.

Dostupnosť sme rozoberali hneď na začiatku a pre dostupnosť informácií použijeme rovnako tri klasifikačné stupne: nízka, stredná, vysoká.

Ako sme spomenuli, tieto informácie sú spracúvané, prenášané a ukladané na hardvérových aktívach.

Ak je raz informácia, ktorú ste klasifikovali:

• z hľadiska dôvernosti ako chránenú,
• z hľadiska integrity ako strednú a
• z hľadiska dostupnosti ako strednú,

tak aj všetky hardvérové aktíva, ktoré sa podieľajú na spracúvaní takto klasifikovanej informácie, musia mať rovnakú, prípadne vyššiu klasifikáciu.

Áno, je to detailná práca, informácie nie je jednoduché klasifikovať a najlepšie to môže urobiť len tzv. vlastník informačného aktíva (zvyčajne vedúci pracovník oddelenia, ktorý rozhoduje, kto aké prístupy k tomuto informačnému aktívu môže mať a prečo). V MSP subjektoch môže táto práca (inventarizácia a klasifikácia aktív) trvať rádovo dni až týždne, vo veľkých spoločnostiach aj mesiace. V každom prípade je to úvodná činnosť pre to, aby sme mohli pristúpiť k analýze rizík a riadeniu kontinuity nášho biznisu.

Apropo, úplne rovnako odporúčame pristupovať k sumarizácii a klasifikácii vašich informačných aktív doma. Zamysleli ste sa niekedy nad tým, ktoré informácie (čísla kreditných kariet, osobné údaje, fotografie atď.) by ste neradi ukázali komukoľvek? Niektoré osobné informačné aktíva je vhodnejšie mať uložené mimo telefónu, notepadu či notebooku alebo minimálne ich mať zašifrované a prístup k nim zabezpečený viacnásobnou autentifikáciou.

Autor: Ing. Peter Matej; eMsec s.r.o.