Petr Frýdl, information security consultant ze společnosti Anect, informuje, že české firmy budou muset v příštích letech investovat velké úsilí a často i hodně finančních prostředků do posílení své odolnosti proti hackerům a dalším kybernetickým rizikům.
Investice se podle něj nevyhnou především několika tisícům společností, které budou spadat do působnosti nového zákona o kybernetické bezpečnosti či pod evropské nařízení DORA, které se zabývá digitální provozní odolností finančního sektoru.
Mějte přehled o tom, co se u vás děje
Frýdl podotýká, že firmy musejí v první řadě zjistit, co se uvnitř nich děje, s jakými aktivy pracují a jakým způsobem se tato aktiva podílí na chodu jejich služeb. Pro tyto účely musejí zřídit registr aktiv, ze kterého bude možné získat přehled o jejich vzájemných vztazích.
„Aktivem se přitom rozumí úplně vše, co se podílí na chodu společnosti. Primárním aktivem může být služba, například poskytování úvěrů. Jsou jím také data o zákaznících nebo obecně data potřebná k poskytování služeb,“ vysvětluje.
Sekundárním aktivem jsou potom zaměstnanci, software, na kterém služba běží, případně hardware (počítače, bankomaty, servery apod.). Takových aktiv přitom mohou být stovky a firmy musejí vědět, co se stane, když některé z nich přestane fungovat.
Poznejte, co vám skutečně hrozí
Když společnost získá přehled o tom, s jakými aktivy pracuje a jak jsou tato aktiva provázaná, může podle Frýdla přistoupit k dalšímu bodu, který nařízení požaduje, a to k řízení rizik a vytvoření potřebného registru.
V registru rizik musí evidovat veškerá rizika, která byla identifikována, míru jejich závažnosti, scénář průběhu tohoto rizika a popis reakce na toto riziko. Jinými slovy firmy musí vědět, co se může stát, jak je to ohrozí a co udělají pro minimalizaci dopadu této události na svůj provoz nebo jak zabrání, aby došlo k poškození jejich zákazníků.
Jakmile společnost získá přehled o tom, co konkrétně se může stát a jaké to bude mít následky, následuje plán zvládání rizik (risk treatment plan). Tedy „jízdní řád“, ve kterém bude uvedeno, kdy se co udělá, kolik času a finančních prostředků k tomu je plánováno, kdo je za celý proces zodpovědný a co konkrétně považujeme za splnění cíle.
„Informace o aktuálním ,rizikovém profilu‘ společnosti jsou nutným podkladem pro efektivní řízení společnosti a musí být vedení společnosti dostupné ve vhodné formě,“ upozorňuje Frýdl.
Zabezpečte činnost i pro případ velké nouze
Frýdl upřesňuje, že DORA po společnostech požaduje také zajištění „Business Continuity“ a provedení tzv. business impact analýzy, která určí a prioritizuje klíčové funkce ve firmě a to, jaký dopad má jejich nedostupnost na chod organizace a poskytované služby.
Pokud není možné klíčovou službu obnovit standardním způsobem, musí společnost zajistit kontinuitu této činnosti nebo služby jinými prostředky, a to v předem definovaných parametrech.
„Jinými slovy, zákazníkovi by ,ideálně‘ neměla vzniknout škoda, když finanční instituci či jinou společnost postihne nějaká katastrofa typu zaplaveného datového centra, kybernetického útoku a podobně,“ nastiňuje Frýdl.
Pro tyto účely musejí mít firmy vypracované plány kontinuity podnikání, plány reakce na kybernetické incidenty, plány obnovy činnosti a tyto plány by měly také pravidelně testovat, aby zjistily, jestli skutečně fungují a výsledky testů evidovat.
Zdroj: Anect