Kybernetická rizika a jejich dopad na činnosti

organizace

Certifikovaný risk manažer

17. – 18. 4. 2018, Praha

Řízení kybernetických rizik v rámci ERM organizace

Ještě před 15 - 20 lety hrály informační technologie spíše minoritní roli v činnosti většiny organizací

V současné době představují informační a komunikační technologie, sociální média, transakce prostřednictvím

internetu klíčovou úlohu v dnešních business modelech a při získávání nových zákazníků.

Automaticky ale otevřené a propojené systémy otevírají

vstupní bránu pro kybernetické útoky.

Řízení kybernetických rizik v rámci ERM organizace

rozvoj informačních a komunikačních technologií změny podnikatelských modelů formy kybernetických rizik motivace kybernetických útočníků kybernetická bezpečnost jako součást procesu řízení rizik

organizace > Zařazení kybernetických rizik v procesu ERM > úloha producentů antivirových programů > člověk jako kritický článek kybernetické ochrany > pojištění kybernetických rizik

kybernetická ochrana na úrovni státu a EU doporučení pro organizace všech úrovní

Některé základní pojmy KYBERNETICKÝ PROSTOR - virtuální oblast, kde pracují, případně spolu prostřednictvím

elektronických komunikací komunikují informační systémy, jednotlivé počítače i počítačové sítě. V kybernetickém prostoru jsou zpracovávány a vyměňovány informace a ukládána, sdílena či přenášena data v elektronické podobě. BEZPEČNOST INFORMACÍ - zajištění důvěrnosti, integrity a dostupnosti informací, tj. že informace je dostupná v požadovaném čase, v požadovaném rozsahu a požadovaným (oprávněným) uživatelům, je chráněná před neoprávněným přístupem a je v úplné (správné), celistvé a nezměněné podobě. BEZPEČNOSTNÍ OPATŘENÍ - technická opatření a organizační opatření. Cílem obou skupin je eliminovat hrozby, resp. rizika, kterými jsou ohroženy (z hlediska dostupnosti, důvěrnosti či integrity) informace, případně informační a komunikační systémy. KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT - je kybernetická bezpečnostní událost, která představuje narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací. KOMUNIKAČNÍ SYSTÉM - zajišťuje přenos informací mezi koncovými účastníky. Zahrnuje koncové komunikační zařízení, přenosové prostředí, správu systému, personální obsluhu a provozní podmínky a postupy.

Některé základní pojmy

INFORMAČNÍ SYSTÉM - je funkční celek zabezpečující cílevědomé a systematické shromažďování, zpracovávání, uchovávání a zpřístupňování informací a dat. Zahrnuje datové a informační zdroje, nosiče, technické, programové a pracovní prostředky, technologie a postupy, související normy a pracovníky. INTERNET VĚCÍ - Internet of Things ( IoT) je celá škála zařízení, která jsou prostřednictvím Internetu řízeny, kontrolovány (chytré hodiny, televize, domácí spotřebiče BOYD – Bring Your Own Device – používání vlastních elektronických zařízení, zejména laptopů, telefonů, tabletů v organizaci s připojením do firemních systémů INSIDER - nebezpečný uživatel (zaměstnanec, stážista), který zneužívá svého legálního přístupu do komunikačního a informačního systému organizace zejména k neoprávněnému zcizování citlivých dat a informací KRITICKÁ INFRASTRUKTURA - systémy a služby, jejichž nefunkčnost nebo špatná funkčnost by měla závažný dopad na bezpečnost státu, jeho ekonomiku, veřejnou správu a v důsledku na zabezpečení základních životních potřeb obyvatelstva

Kybernetická bezpečnosti v kontextu globálních rizik

World Economic Forum 2018

Moderní informační technologie

Moderní informační

technologie

Uživatelé Internetu

Chytré telefony, tablety, PC

Rozvoj IoT

Vývoj - Nejlepší příklady zahrnují autonomně řízená auta a donáškové drony, stejně jako produkty, které budou stále častěji tvořit inteligentní domácnosti, jako jsou inteligentní měřiče a další zařízení domácí automatizace

Informační a kybernetická bezpečnost

kybernetická bezpečnost je podmnožinou

informační bezpečnosti. Je tomu tak proto, že

cílem informační bezpečnosti je ochrana

informací v jakékoliv podobě, zatímco cílem

kybernetické bezpečnosti je ochrana

informací pouze v digitální podobě.

Některé základní pojmy

Formy kybernetických útoků

• Únik informací, kdy dochází k vyzrazení chráněné informace subjektu, který nemá pro jejich použití autorizaci

• Narušením integrity rozumíme poškození, změnu, nebo úplné zničení dat.

• Potlačení služby je úmyslné bránění v přístupu k informacím, aplikacím, či systému (tedy například zahlcení stránek e-shopu tak, že běžní uživatelé k nim nemají přístup

• Nelegitimní použití je užití informací neautorizovaným subjektem či neoprávněným způsobem

JIROVSKÝ, V. Kybernetická kriminalita nejen o hackingu, crackingu, virech a trojských koních bez tajemství. Praha

Neautorizovaný / nebo free software

• Velmi častý jev jak u společností tak individuálních uživatelů - úspora peněz? - typický trend naší společnosti • RIZIKA: - porušení autorských práv - možné sankce - neprobíhají aktualizace a „záplatování“ bezpečnostních rizik - často obsahují skryté trojské koně, monitoring, reklamu atd. = vysoké bezpečnostní riziko

Základní typologie útoků

Hacker nebo hacking – tento pojem se objevuje v USA v 50. letech minulého století. • Nadaný uživatel informačních technologií, programátora, který se

nespokojí se standardními postupy, ale snaží se hledat nová a často neortodoxní řešení, která jsou často spojena s průnikem do počítačového systému nestandardním způsobem (tedy prolomením bezpečnostního systému, nalezením nestandardní cesty přístupu).

• Spíše než osobní zisk a způsobení škody v systému si hacker dokazuje svoji technickou převahu. Pojem hacker byl v minulosti velmi často dezinterpretován,

• v dnešní době nelze vyloučit, že toto původní „čisté“ úsilí bylo přesměrováno do oblasti kybernetickou bezpečnost ohrožující

Cracking - narušení nebo obcházení zabezpečení systému, programů nebo aplikací tak, aby mohly být následně neoprávněně užívány. Typicky se jedná o prolomení přístupových hesel do programu nebo systému a následné užívání. Tyto upravené programy jsou dále sdíleny na různých fórech a cracker zde hledá finanční prospěch.

Základní typologie útoků

Phishing – je metoda podvodu, která se snaží o odcizení digitální identity uživatele – jeho hesel, čísel bankovních karet, přístupu do internetového bankovnictví - cílem je následné odcizení finančních prostředků. - vytvoření falešné zprávy, zasílané obvykle elektronickou poštou, kterou se snaží získat potřebné údaje (fabrikovaný dotaz banky na ověření hesla a čísla účtu pro kontrolu nebo elektronického obchodu k ověření čísla kreditní karty a PIN. Zpráva je maskována jako důvěryhodná, kopíruje maximální komunikaci finančního ústavu)

-Pokud je uživatel přesvědčen, že komunikuje řádnou formou s bankou a tyto údaje vyplní a zašle, jsou jeho účty či platební karty zneužity

Zaměření většinou na koncového uživatele

Typologie kybernetických útoků

malware (škodlivý software) se všemi jeho variacemi a podskupinami. V principu se jednání o jakýkoli software, který při svém spuštění v systému začne v daném systému provádět škodlivé operace. Může být časován nebo reagovat na určitý spouštěcí mechanismus – například otevření určitého emailu. Může se jednat o téměř neškodné informace, monitorující seznamy navštívených webových stránek a směřování marketingu. Tyto programy jsou také označovány jako spyware (špionážní software). Jen společnost Symantec identifikovala v roce 2015 více než 355 milionů nových, unikátních malware, v roce 2017 Již téměř 670 mil

Další formy útoků

Podmnožinou malware je vir (virus) - soubor, který parazituje na určitých programech nebo částech systému, může se bleskově rozšiřovat a způsobit poškození nebo změnu dat, stahovat další malware, poškodit operační systém, případně vytvořit do systému tzv. „zadní vrátka“ kterými lze do systému proniknout i přes kvalitní zabezpečení Detekce Ransomware v roce 2017 (Symantec)

Ransomware – zablokování počítačů, služeb vymáhání výkupného (od malých částek až po velké sumy) Novinkou 2017 je těžba kryptoměn

Další formy útoků

nevyžádaná pošta (spam), rozesílána uživatelům, zahlcuje poštovní schránky, často obsahuje škodlivý program nebo virus, který se po otevření instaluje a aktivuje. Přílohy, které jsou využívány:

Hlavní předměty, obsahující malware v emailu: - Zaslání účtu, faktury - Nedodaný email - Právní oznámení - Skenované dokumenty - Oznámení o nedodání zásilky

Procento spamů:

Další formy útoků

DDoS – Distributed Denial of Service – znemožnění fungování webových stránek zahlcením serveru nesmyslnými dotazy

Botnet – vytvoření útoku pomocí velkého množství infikovaných

počítačů (zombie), které napadnou cílové stránky

a servery a způsobí omezení nebo úplné

znemožnění Přístupu (DDoS)

Další formy útoků

Kyberšikana (cyberbullying) - téměř identická se šikanou tradiční. Cílem někoho poškodit za pomoci počítače či mobilního telefonu, stejně jako internet nemá žádné hranice Kyberterorismus - aktivně souvisí s terorismem jako takovým a slouží k jeho propagaci, náboru a koordinaci teroristických činů, zveřejňování návodů na výrobu zbraní. Je to jedna z globálních hrozeb 21. století a často míří nejen na ovlivnění veřejného mínění, získání či převody finančních zdrojů, ale přímo ohrožuje národní bezpečnost a kritickou infrastrukturu státu. Kybernetická špionáž, válka

Kybernetická válka

Bezpečnostní expert vlády USA Richard A. Clarke ve své knize Cyber války (květen 2010), definuje "kybernetické války" jako „činnost ze strany národního státu s cílem proniknout do počítačů nebo sítí jiného státu za účelem poškození nebo narušení." - kyberprostor je pátá oblast válčení, - Pentagon formálně uznal kyberprostor jako novou doménu válčení, kde probíhají stejně důležité vojenské operace jako na zemi, na moři, ve vzduchu a v kosmu

Kybernetická kriminalita

Cíle kybernetických útoků

INDIVIDUÁLNÍ I FIREMNÍ: - zneužití platebních prostředků (platební karta na internetu, zneužití elektronického bankovnictví atd.);

- řešení sporných situací při nákupu přes e-shop (nedodání zboží);

- odcizení elektronické identity; - krádež dat (ransomware atd.); - zneužití nebo jakákoliv porucha zařízení chytré domácnosti

nebo firmy a tím způsobení škody na majetku (včetně požáru, vytopení atd.). - zneužití uchovávaných (citlivých) údajů svých klientů a dalších subjektů, jehož význam naroste v souvislosti s GDPR implementovanou od května 2018;

Cíle kybernetických útoků

- výpadek sítí (konektivita), obecně přerušení provozu ICT a tím přerušení poskytování potenciálně jakýchkoliv služeb (webové služby, on-line aplikace pro klienty), resp. přerušení (výrobní) činnosti dané firmy a dopad do celého výrobního řetězce (např. kybernetický útok u subdodavatele automobilky);

- zneužití moderních technologií – internet věcí (v budoucnu autonomní vozidla, chytré budovy atd.) – ale v blízké budoucnosti i rizika spojená s provozem domácnosti (napadení systémů jejího řízení s potenciálně závažnými dopady); - v roce 2017 nárůst o 600%

- poškození značky/reputace společnosti – výzvu představuje vůbec vyčíslení a doložení těchto dopadů – nejcennější světové značky v řádech stovek miliard dolarů;

- úmyslný „útok“ zaměstnance a s ním spojená krádež dat, prodej konkurenci;

- nehody/pohromy vedoucí k výpadku ICT a naplnění některých z výše uvedených scénářů

- Dezinformační kampaně, zneužití sociálních médií

IoT jako cíl útoků

Zařízení IoT jsou nejméně chráněná a proto snadným cílem útoků

Základní členění kybernetických útoků

Zdroj: Vlastní zpracování

Kybernetický útočník

Vnější

Organizovaní útočníci

Hackeři

AmatéřiVnitřní

Základní členění kybernetických útoků Interní útočník

• Nespokojený zaměstnanec, pomsta za spáchanou křivdu (nepovýšení, nezvýšení platu, výpověď)

• Finančně motivovaný útočník - odcizit finanční prostředky nebo jiná aktiva pro svůj osobní prospěch; případně může jednat pro externí skupinu (například vytváření falešné fakturace, odcizení peněz z účtů, přesměrování příchozích plateb), případně odchází ke konkurenci a chce si vytvořit zajímavou vstupenku

• Neuvědomělý zásah do systému a jeho bezpečnosti, chyba, která může otevřít cestu pro externí útok, prohlížení webových stránek se škodlivým obsahem, otevření emailu s malware

Podle zprávy společnosti IBM o hlavních útocích v roce 2015 činí podíl interních útočníků na všech napadeních systémů překvapivě až 60%, z toho v 44.5% se jednalo o úmyslný čin

Základní členění kybernetických útoků

Externí útočníci • Organizovaní útočníci –teroristické organizace (jejich cílem je politické

prohlášení nebo vyvolání psychické i fyzické škody cíli), haktivisty (kteří usilují většinou o politické prohlášení, nicméně, mohou způsobit i škody), státem podporované skupiny nebo zpravodajské služby (tito útočníci se snaží o sabotáž, získávání informací pro svoji vládu; obecně jsou velmi dobře vyškolení, financovaní a organizovaní a jejich útoky jsou vysoce sofistikované), kriminálně zaměřené skupiny (profesionální organizované skupiny s čistě kriminálním zaměřením a jejich cílem je převážně finanční zisk).

• Hackeři, jak již bylo definováno, většinou pronikají do systému s cílem dokázat si své znalosti a schopnosti.

• Amatéři – většinou méně nadaní jedinci, hackeři, kteří využívají nástroje běžně dostupné na Internetu. Jejich motivace je různorodá – někteří si užívají výzvu proniknout do systému, jiní chtějí ukázat své schopnosti a nechat se najmout; nelze je ovšem podceňovat.

Další rozdělení kybernetických útoků • Neúmyslná činnost (většinou interními zdroji), bez úmyslu způsobit škodu –

například chybné programování, údržba systému, nahrání malware do systému bez vědomí, opomenutí; do této kategorie lze rovněž zařadit i fyzické poškození infrastruktury (požár a další rizika)

• Úmyslná činnost (interními i externími zdroji) - úmysl způsobit škodu; primární kategorií všech aktivit narušení kybernetické bezpečnosti. Motivy : - Politické (špionáž, politické prohlášení, diskreditace představitelů) - Ekonomické (odcizení patentů, formulí, aktiv, narušení konkurence – zablokování pomocí botnetu, získání dat zákazníků , zneužití platebních karet, bankovních účtů); sem můžeme zařadit i čtečky údajů platebních karet, instalované přímo na bankomatech či fyzické odcizení dat nebo hardware

- Sociálně – kulturní (filosofické, teologické cíle, snaha o zviditelnění, zábava)

• Nečinnost (většinou opět interními zdroji) – tedy nečinnost při vzniklé situaci, ohrožení, buď způsobená nedostatečnou kvalifikací, znalostmi nebo pohodlím (není provedena aktualizace software, je ponechán nezabezpečený přístup do systému, není zkontrolováno zařízení zaměstnance atd.)

Motivace kybernetických útoků

Přehled úrovní kybernetických útočníků

Amatéři Haktivisté Organizovaný

zločin

Státem podporované

skupiny

Zdroje Omezené technické zdroje

Rozsáhlé sítě, silná emoční motivace

Významné technické zdroje

Zdroje omezené jen státním rozpočtem

Motivace

Dokázání si vlastních schopností a slávy

Činí prohlášení, působí nepříjemnosti, ostudu

Ekonomický zisk

Zrychlení inovace, podmínky pro vyjednávání

Úroveň Neprofesionální, spíše uživatelský přístup a hledání

Někdy nižší sofistikovanost, vytrvalost a cílevědomost

Profesionální, založené syndikáty

Vysoce profesionální, trpěliví, kreativní, přesvědčiví

Příklady největších útoků

500 milionů účtů (Yahoo, 2014) - uživatelských účtů, včetně jmen, e-mailů, telefonních čísel, dat narození, hesel a bezpečnostních otázek a odpovědí používaných pro ověření majitele účtu. Únik se prý však netýkal informací o platebních kartách či bankovních účtech. 359 milionů účtů (MySpace, asi 2008) - Přibližně v roce 2008 bylo v této firmě prolomeno 359 milionů bankovních účtů. V květnu 2016 byla tato data nabídnuta k prodeji na internetu. Přesné datum krádeže není známo, ale podle analýzy nabízených dat to mělo být zhruba osm let před jejich zveřejněním. 160 milionů účtů (Nasdaq, Visa, CPenney a další, 2012) - Průnikem do počítačových sítí postižených firem získala rozsáhlá síť hackerů kódy z kreditních karet, které pak prodávala přes prostředníky do celého světa. S pomocí odcizených kódů zloději účty vybírali. Mezi postiženými byly i společnosti 7-Eleven, francouzský obchodní řetězec Carrefour, belgická banka Dexia a dalších asi 12 velkých nadnárodních firem. 145 milionů záznamů (eBay, 2014) - Databázi firmy napadli na přelomu února a března 2014 hackeři, kteří se dostali k osobním informacím zákazníků, včetně adres, telefonních čísel, dat narození, e-mailů i přístupových hesel. A další …. SONY, nejnověji FACEBOOK …… kdo bude další?

Dark Web

Temný web (anglicky dark web) je ta část obsahu World Wide Webu, která je umístěna na darknetech, tj. překryvných sítích, které využívají Internet, ale jsou přístupné pouze prostřednictvím speciálního softwaru nebo konfigurace Probíhají zde nelegální obchody s odcizenými daty, programy apod.

Řízení rizik

Řízení rizik se zabývá vzájemně propojenými provázanými činnostmi, které se snaží zamezit nebo zmírnit výskyt rizik a dalších nemilých překvapení. Konkrétně se skládá ze čtyř po sobě jdoucích činností: • Identifikace aktiv a hrozeb • Hodnocení hrozeb (určení míry rizika) • Strategie zvládnutí rizik • Průběžný monitoring vývoje (nové hrozby,

zranitelnosti) Řízení rizik zahrnuje široké spektrum problémů. Jedním z nich jsou také rizika kybernetická.

Struktura procesu řízení rizik

Operační rizika

Cyklus řízení kybernetických rizik

• Jak podnikání firmy funguje?

• Jaké IT systémy firma používá?

• Co je klíčové pro váš business a kde se nachází klíčový obchodní majetek?

• Jak s ním uživatelé komunikují a jak s vnějším světem (internet)?

Schéma norem kybernetických rizik

Řízení rizik zahrnuje normy, procedury, vnitřní předpisy, organizační struktury a zahrnuje administrativní technické, manažerské nebo právní postupy

Řízení kybernetických rizik - normy

ISO 27000 - série norem pro oblast bezpečnosti informací. - celosvětově uznávané - základní usměrnění pro zavedení systému řízení rizik v

oblasti informačních technologií - vazba na další související dokumenty - certifikace

Řízení kybernetických rizik - normy

Norma ISO/IEC 27032:2012 Information technology - Security techniques - Guidelines for cybersecurity obsahuje doporučení ohledně bezpečnosti v kyberprostoru. V kyberprostoru stále existují otázky ohledně bezpečnosti, které stávající oblasti bezpečnosti, jako jsou například bezpečnost internetu, sítí a ICT, neřeší. Norma ISO/IEC 27032 ustanovuje nejlepší praktiky pro řešení těchto otázek. Poskytuje doporučení pro efektivní sdílení informací a koordinaci řízení incidentů mezi organizacemi, uživateli, vládami a poskytovateli služeb. Norma se zaměřuje na klíčové hrozby týkající se kyberprostoru, sociální inženýrství, malware, odcizení identity, řízení rizik v kyberprostoru v rámci organizací a poskytování bezpečných a zabezpečených služeb poskytovateli služeb.

Atributy úspěšného projektu řízení rizik

Přiměřenost

rozsahu projektu

Rozsah projektu ERM musí proporčně odpovídat velikosti

společnosti a míře rizik, kterým čelí. U firem s vysokou mírou rizika

bude potřebná centrální riziková funkce CRO, rizikové výbory a

složitější systému. U firmy s malou mírou rizika je ERM možné

organizovat ekonomičtěji.

Soulad s cíli

organizace

Implementace procesu ERM není samostatná aktivita, vždy musí být

sladěna s cíli organizace, ostatními činnostmi či kontrolami.

Neznamená tedy pouhé přidání několika políček do organizační

struktury.

Komplexnost ERM

Aby byl proces ERM skutečně efektivní, musí být komplexní a

zahrnovat veškeré činnosti dané organizace, všechny složky musí

být v projektu zapojeny tak, aby žádná důležitá rizika nezůstala bez

povšimnutí

Propojení

s klíčovými procesy

Veškeré aktivity ERM musí být pevně propojeny s klíčovými

procesy organizace a stát se součástí každodenní činnosti, od

vrcholového vedení a po nejnižší organizační složky a každého

pracovníka

Dynamičnost

procesu

ERM je dynamický proces, reagující na vznikající a měnící se

rizika, kterým organizace čelí. Registr rizik se nesmí stát statickým

úložištěm dat, ale aktivním, dynamickým nástrojem pro proaktivní

řízení rizik a příležitostí.

ISO 31000

Definice oblastí rizik

Rizika spojená s uživateli, administrátory systémů, jejich nadřízenými, anebo dalšími pracovníky organizace • porušení bezpečnostní politiky, • provedení neoprávněných činností, zneužití oprávnění ze strany

uživatelů a administrátorů; zneužití identity fyzické osoby; • nedostatečné bezpečnostní povědomí uživatelů a administrátorů;

nevhodné nastavení přístupových oprávnění; nedostatečné monitorování činnosti uživatelů a administrátorů a neschopnost odhalit jejich nevhodné nebo závadné způsoby chování;

• nedostatečné stanovení bezpečnostních pravidel, nepřesné nebo nejednoznačné vymezení práv a povinností uživatelů, administrátorů a bezpečnostních rolí;

• porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění ze strany administrátorů kritické informační infrastruktury;

• zneužití ze strany zaměstnanců, sabotáž; nedostatek zaměstnanců s potřebnou odbornou úrovní;

• zneužití vyměnitelných technických nosičů dat

Definice oblastí rizik

• poškození nebo selhání technického anebo programového vybavení;

• užívání programového vybavení v rozporu s licenčními podmínkami;

• nedostatečná údržba informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému;

• zneužití nebo neoprávněná modifikace údajů; nedostatečné postupy při identifikování a odhalení negativních bezpečnostních jevů, kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů

• nedostatečná bezpečnostní architektura; • nedostatečná ochrana prostředků kritické informační

infrastruktury; • nedostatečná ochrana vnějšího perimetru

Definice oblastí rizik

• kybernetický útok z komunikační sítě; • škodlivý kód (například viry, spyware, trojské koně); • cílený kybernetický útok pomocí sociálního inženýrství,

použití špionážních technik; • nedostatky při poskytování služeb informačního systému

kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému;

• přerušení poskytování služeb elektronických komunikací nebo dodávek elektrické energie

• nedostatečná míra nezávislé kontroly

Úloha státu při zajištění kybernetické bezpečnosti

Vnější faktory

Členství státu v mezinárodních organizacích (EU, NATO a další), vztahy s dalšími státy a regiony, ohrožení státu ze zahraničí

Vn

itřn

í fak

tory

Vláda, Parlament Legislativa, vládní opatření, ustanovení organizací pro bezpečnost státu (NBU apod.)

Ministerstva

Praktický výkon legislativy a usnesení v daných rezortech, návrhy zákonných úprav, správa citlivých dat (finanční úřady apod.)

Veřejná správa Výkon legislativy a řízení obce, kraje, správa citlivých dat – registry obyvatel, vozidel, řidičských průkazů

Politické strany Jednak jejich vlastní aparát a systémy, jednak ovlivňování legislativy a přijatých opatření

Organizace spravující kritickou infrastrukturu

Soukromé společnosti, vyjmenované ve vyhlášce ZKB (především energetika, přenosové soustavy, plynárenství, vodní zdroje a další)

Další subjekty s přímou povinnosti reportingu

Organizace vyjmenované ve vyhlášce ZKB, tuto skupinu by bylo vhodné dále rozšířit o finanční instituce, zdravotní pojišťovny

Soukromé podnikatelské subjekty (vč. zajištění

vyčleněných služeb)

Spolupráce na dobrovolné bázi, informovanost o incidentech, využití zkušeností a jejich přenos do orgánů veřejné správy (zejména antivirové společnosti, auditorské a poradenské společnosti a další)

Veřejnost

Využití systémů veřejné správy (evidence, daně atd.), užívání dalších systémů, kde poskytuje citlivá osobní data, vlastní užívání ICT

Úloha státu při zajištění kybernetické bezpečnosti

Kritická infrastruktura

- přenosová a distribuční soustava elektrické energie, zemního plynu

- prodejny pohonných hmot - zásobování pitnou vodou - rostlinná, živočišná a potravinářská výroba - zdravotnictví - silniční a železniční doprava - komunikační a informační systémy - poskytování služeb v bankovnictví a pojišťovnictví - nouzové služby, zejména integrovaný záchranný systém - zajištění výkonu stání správy za krizových situací

Kritická infrastruktura ČR – SWOT analýza

Úloha státu při zajištění kybernetické bezpečnosti

Kybernetická ochrana státu - legislativa

Legislativní předpisy Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon) Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury Vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích)

Pojištění kybernetických rizik

Pojištění jako součást risk managementu

Pojištění není firewall, nezabrání riziku, vzniku škody Pojištění je součástí integrovaného systému řízení rizik - jedním z nástrojů mitigace rizika - vždy vyžaduje aktivní porozumění vedení organizace Pojištění napomáhá zmírnit dopady události na

organizaci - finanční kompenzace dopadu kybernetické události - aplikace doporučení odborníků Pozor na různé druhy pojistného krytí a pojistné

podmínky, výluky a limity Kybernetická rizika a jejich pojištění je specifickou

součástí pojistného programu

Úloha pojištění kybernetických rizik

Pojištění kybernetických rizik obvykle řeší: - Ochranu v případě přerušení provozu a ušlého zisku,

obnovení provozu po kybernetickém napadení - Krytí organizace před dopady úmyslného napadení nebo

neúmyslného poškození chyby digitálních a fyzických systémů

- Krytí nákladů právních závazků a případných regulatorních sankcí, informace klientům apod.

- Nabízí odbornou pomoc při řešení krize a minimalizaci dopadu na činnost organizace

- Náhrada za obnovení reputace, dobrého jména apod.

Úloha pojištění kybernetických rizik

Pojištění je logickou cestou, jak eliminovat nepříznivé finanční dopady kybernetického útoku, je vhodně se pojistit. pojištění nemá a nesmí nahrazovat systém IT

bezpečnosti. Pojištění by nemělo představovat morální hazard v

absenci opatření k minimalizaci situace, kdy k selhání systémů a naplnění rizika dojde.

Pojištění může fungovat pouze pro nahodilé situace, kdy přes veškerá odpovídající opatření na straně pojištěného přesto dojde ke kybernetickému incidentu.

Pojištění kryje jen špičku ledovce

Pojištění není jednoduchým řešením:

Doporučení k ochraně technologií

Aktualizace a záplatování – pravidelné aktualizace operačního systému jsou zcela nezbytné a musí být provedeny. Nedávný útok WannaCry právě zneužil zranitelností v neaktualizovaných verzích operačního systému Windows. Pravidelné zálohování – zálohování veškerých dat v pravidelných intervalech zajistí, že firemní data budou k dispozici i v případě útoku šifrovacího ransomwaru. Firmy v takovém případě nemusí platit výkupné ani se spoléhat na dešifrovací nástroje. Provést bezpečnostní zkoušku kontrolní sítě (například bezpečnostní audit, penetrační testy, analýzu trhlin) s cílem identifikovat a odstranit jakékoliv bezpečnostní trhliny. Prověření externích dodavatelů a bezpečnostních řešení třetích stran v případě, že mají přímý přístup do kontrolní sítě. Vyžádat si externí poradenství – poradenství osvědčených společností pomáhá organizacím předpovídat budoucí útoky na průmyslovou infrastrukturu firmy.

Doporučení k ochraně technologií

Školení pro zaměstnance – podle dat průzkumu provedeného v České republice se 34 % dotázaných firem nejvíce obává útoku zapříčiněného neopatrností svých zaměstnanců. V případě kybernetické bezpečnosti se nelze totiž spoléhat pouze na technologická řešení. I když se ransomware a další druhy malwaru šíří sítí samostatně, potřebují do systému nějak proniknout. K tomu jim většinou dopomohou samotní zaměstnanci firem, kteří omylem kliknou na podezřelé odkazy nebo otevřou zdánlivě nevinné přílohy e-mailu. Proto je velmi důležité proškolit zaměstnance, především pak obeznámit provozní a technický personál se současnými hrozbami a útoky. Bezpečnostní řešení – využití bezpečnostního řešení s technologií behaviorální detekce hrozeb. Tyto technologie dokáží zachytit malware na základě pozorování jeho fungování v napadeném systému. Výhodou je, že takovéto technologie jsou schopné detekovat i neznámé hrozby ještě před infikováním systému.

Aplikace opatření na úroveň rizika

Hlavní problémy kybernetické ochrany

nedostatečné bezpečnostní povědomí či nedbalý přístup zaměstnanců (55 % oproti 44 % v roce 2015) a neoprávněný přístup k datům (54 % oproti 32 %). Také překážky implementace a rozvoje dedikované pracovní pozice pro zajišťování kybernetické bezpečnosti jsou stále tytéž: rozpočtová omezení (61 %, resp. 62 % v roce 2015); nedostatek kvalifikovaných odborníků (56 %, resp. 57 % v roce 2015); nízké povědomí a podpora ze strany managementu (v obou letech shodně 32 %)

Studie EY - Global Information Security Survey

GDPR

Obecné nařízení o ochraně osobních údajů (GDPR) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů), v anglickém jazyce General Data Protection Regulation – GDPR (dále jen „Obecné nařízení“) bylo přijato v dubnu 2016, ale účinnosti nabude až 25. května 2018. V České republice tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a související zákon č. 101/2000 Sb., o ochraně osobních údajů

GDPR

Doporučené zdroje

Publikace

• Symantec – Internet Security Threat Report (každoročně) • Essential Cyber Security Handbook In Czech - Nam H Nguyen • World Economic Forum – publikace ke kybernetické

bezpečnosti a globálním rizikům • SMEJKAL, Vladimír - Kybernetická kriminalita • Publikace předních auditorských a poradenských společností