Kybernetická bezpečnosť - O rizikách úniku dát aj legislatíve - DATALAN KC

Kybernetická bezpečnosť – O rizikách úniku dát aj legislatíve

Úniky a zneužitie citlivých dát sú dnes témou, ktorá sa týka každej firmy, organizácie či verejnej inštitúcie. 

Čoraz častejšie sa aj na Slovensku stretávame s reálnymi prípadmi, keď v rôznych organizáciách došlo k úniku dôležitých dát, prípadne útočník žiadal vysoké výkupné za vrátenie uniknutých dát, alebo poškodením dát vyradil organizáciu z prevádzky.

Čo je to kybernetická bezpečnosť

Podľa definície Národného bezpečnostného úradu (NBÚ) je kybernetická bezpečnosť proces zahŕňajúci procesy, postupy, technologické a personálne zabezpečenie ochrany systémov, sietí a zariadení pred hrozbami v kybernetickom priestore. Možno ju tiež definovať ako stav pripravenosti na odhaľovanie útokov, riešenie kybernetických bezpečnostných incidentov a minimalizáciu následkov po incidente.

Cieľom kybernetickej bezpečnosti je udržať dáta, informácie, systémy a zariadenia v bezpečí pred možnými únikmi, krádežou, znehodnotením či iným výpadkom. Bezpečnosť IT prostredia je komplexná problematika, ktorej je potrebné venovať sa dlhodobo. Ako sa vyvíjajú rôzne bezpečnostné ochrany, tak sa vyvíjajú aj rôzne typy útokov.

Týka sa nás kybernetická bezpečnosť?

Potreba hovoriť o možných nástrahách kybernetickej bezpečnosti je akútna najmä z dôvodu, že na základe nedávneho prieskumu spoločnosti Alison Slovakia môžeme jasne vidieť nezáujem až ignoráciu témy digitálnej bezpečnosti. Z prieskumu vyplýva, že takmer 50% Slovenskej populácie využívajúcej internet a digitálne komunikačné prostriedky v spomínanom prieskume uviedla, že kybernetická bezpečnosť sa ich netýka.

Kybernetický priestor nemá hranice. Deje sa v ňom veľká časť osobného, no najmä pracovného života každého človeka a už je takmer nemožné oddeliť online a offline životy. Online komunikácia, dostupnosť dát a informácií, prepojenie zariadení… Neriešenie prípadných hrozieb a zraniteľností môže mať vážny dosah – útoky sú stále sofistikovanejšie, používatelia sú zraniteľní, narastá počet technologických zraniteľností, spoločnosti nemajú dostatok odborného personálu, v horšom prípade je to laxný prístup k téme kybernetickej bezpečnosti a požiadavkám vyplývajúcim z legislatívy. Keď k tomu prirátame ešte nízke povedomie o bezpečnosti, vzniká obrovský problém.

Bezpečnosť IT prostredia je komplexná problematika, ktorej je potrebné venovať sa dlhodobo. Ako sa vyvíjajú rôzne bezpečnostné ochrany, tak sa vyvíjajú aj rôzne typy útokov. „Z tohto dôvodu je potrebné udržiavať systémy a zariadenia aktualizované, nakoľko rôzne odhalené zraniteľnosti v programovom vybavení sú najjednoduchšími vstupnými dverami pre útočníkov. Na zisťovanie známych zraniteľností je možné využiť rôzne automatické nástroje, ktoré sú schopné odhaliť neaktualizované systémy aj defaultné heslá.“ vysvetľuje Radovan Ridzoň, Network and Security Consultant zo spoločnosti DATALAN, prečo je v dnešnej dobe tak dôležité dbať na bezpečnosť – od informácií cez prístupy a procesy až po hardvérové vybavenie.

Spoločnosti možným hrozbám a úniku dát nevenujú dostatočnú pozornosť

Väčšina firiem a organizácií, ktorých obchodná činnosť nie je primárne zameraná na IT sféru, má pomerne zložitú situáciu a je pre nich náročné sledovať trendy, legislatívu a problematiku kybernetickej bezpečnosti v takej miere, ako si to dnešná digitálna doba vyžaduje.

Táto oblasť je dlhodobo podhodnotená a dôležité systémy, potrebné na bežný chod firmy, organizácie, sú často prevádzkované na zastaraných a neaktualizovaných zariadeniach a systémoch. V minulosti možno stačilo na ochranu firemnej IT infraštruktúry zabezpečenie vnútornej siete firewallom a na všetky koncové zariadenia nainštalovať antivírus. Tento prístup je v súčasnej dobe nedostatočný, keďže spoločnosti zavádzajú do praxe moderné aplikácie a cloudové riešenia umožňujúce pracovať odkiaľkoľvek, prestal existovať klasický perimeter, ktorý oddeľoval lokálnu zabezpečenú sieť od ostatných sietí. Z tohto dôvodu sa prechádza na tzv. koncepciu Zero Trust Network. Myšlienka tohto prístupu je jednoduchá: nedôverovať nikomu, overovať každého a vynucovať prísne zásady riadenia prístupu a správy identít.

Legislatíva prináša nové právomoci pre NBÚ

V súčasnosti sú firmy a organizácie nútené venovať sa oblasti bezpečnosti čoraz viac – tlačí na ne nielen zvyšujúca sa digitalizácia prinášajúca vyšší počet potencionálnych útokov, ale aj silnejšia bezpečnostná legislatíva. Krajiny sprísňujú a zavádzajú nové legislatívne normy najmä z dôvodu ochrany údajov svojich občanov. Preto aj Slovenská republika uviedla v roku 2018 do platnosti dva zákony, ktoré zásadným spôsobom dbajú na ochranu informačných aktív a práv klientov a subjektov. Sú nimi Zákon o kybernetickej bezpečnosti č.69/2018 Z. z. a Zákon o informačných technológiách vo verejnej správe č.95/2019 Z. z.. Okrem spomenutých, nesmieme zabudnúť na najdôležitejšie citlivé dáta – osobné údaje, nakladanie s nimi reguluje Zákon o ochrane osobných údajov č.18/2018 Z. z.., resp. nariadenie EU č. 2016/679, známe aj ako „GDPR“.

Inštitúcia pôsobiaca ako ústredný orgán štátnej správy pre oblasť bezpečnosti je Národný Bezpečnostný Úrad, keďže NBÚ zastrešuje viacero činností týkajúcich sa národnej bezpečnosti, pre oblasť kybernetickej bezpečnosti bol vytvorený samostatný útvar Národné centrum kybernetickej bezpečnosti SK-CERT. NBÚ prostredníctvom tohto útvaru zabezpečuje národné a strategické aktivity v oblasti riadenia kybernetickej bezpečnosti, v oblasti analýzy hrozieb ale aj koordinácie riešenia kybernetických bezpečnostných incidentov na celonárodnej úrovni, výuky, vzdelávania, tréningov ako aj výskumu. Národné centrum kybernetickej bezpečnosti SK-CERT taktiež vykonáva úlohu národnej jednotky CSIRT – jednotky pre riešenie kybernetických bezpečnostných incidentov.

Súčasná rola NBÚ sa týka predovšetkým definovaniu základných pravidiel kybernetickej bezpečnosti pre poskytovateľov základných služieb, monitoringu a analýze informácií o aktuálnom stave kybernetickej bezpečnosti v Slovenskej republike. Aktuálne je v parlamente prerokovávaná novela zákona o kybernetickej bezpečnosti, ktorá by mala značne posilniť postavenie a právomoci NBÚ v oblasti predchádzania a riešenia bezpečnostných incidentov. Na základe novely by NBÚ v budúcnosti mohol reagovať na existujúce hrozby všetky škodlivé aktivity, či škodlivý obsah zablokovať.

Pandémia priniesla zásadnú zmenu

Uplynulý rok, v zamení pandémie priniesol mnohým firmám jednu z najzásadnejších výziev a zmien, ktoré spoločnosti boli nútené realizovať v rekordne krátkom čase, oproti minulosti.

Tri až štyri roky. O toľko podľa prieskumu McKinsey Global Survey medzi vedúcimi pracovníkmi firiem urýchlili spoločnosti digitalizáciu svojich interakcií so zákazníkmi a dodávateľmi. Rovnakú akceleráciu zažili v reakcii na krízu aj ich interné procesy. Podiel digitálnych alebo digitálne dostupných produktov sa zvýšil v miere, ktorú by za bežných okolností dosiahli až za sedem rokov. V dobe pandémie to trvalo iba niekoľko mesiacov.

S tým úzko súvisí aj presun zamestnancov do domáceho prostredia a práca formou „home office“. Na základe legislatívnych nariadení a pokynov pandemickej komisie sa zo dňa na deň sa práca z domu stala núteným štandardom, aby zamestnanci mohli vôbec pracovať a v sídle spoločnosti mohol zostať len nevyhnutný personál. Reálny stav ukázal, že firmy a inštitúcie neboli na takúto situáciu pripravené a jedinou cestou boli núdzové, kritické riešenia, často aj za cenu nižšej IT bezpečnosti.

Najčastejšie typy útokov

DDoS je jeden z najstarších typov útoku, zameraný na znefunkčnenie verejne dostupných služieb, či internetových stránok. Priebeh útoku je pomerne jednoduchý, server, kde beží služba je vystavený obrovskému počtu požiadaviek, čím dochádza k jeho preťaženiu, zrúteniu a následnej nedostupnosti služieb. Príkladom môže byť odstavenie stránok napr. počas volieb, alebo aj nedávne problémy NCZI, keď pri snahe množstva občanov, ktorí sa chceli prihlásiť na očkovanie došlo k zlyhaniu prevádzkovanej služby a teda jej nedostupnosti. V tomto prípade nemuselo ísť nevyhnutne o cielený útok, avšak je takmer dokonalým príkladom ako DDoS útoky prebiehajú.

Phishing je typ útoku, kedy sa útočník snaží získať citlivé údaje priamo od používateľa prostredníctvom dôveryhodne pôsobiacej nástrahy. Vo väčšine prípadov ide o falošné emaily, SMS správy, telefonáty, falošné web stránky, alebo príspevky na sociálnych sieťach vydávajúce sa za reálne existujúce služby. Obeť tak odovzdá útočníkovi svoje citlivé údaje v mylnom domnení, že zadáva svoje údaje pre prihlásenie k reálnej službe. Získané dáta sú najčastejšie prihlasovacie údaje k digitálnym službám a údaje o platobných kartách.

Ransomvér je druh škodlivého softvéru, ktorý po preniknutí do počítača zašifruje a uzamkne dáta nachádzajúce sa v zariadení, prípadne v sieti, kde sa zariadenie nachádza. Za opätovné sprístupnenie dát útočníci požadujú zaplatenie výkupného, najčastejšie prostredníctvom kryptomien, aby útočníka nebolo možné vystopovať. Pomerne novým prístupom je tzv. „dvojité vydieranie“, kedy je ransomvérový útok kombinovaný s krádežou citlivých dát.

Podľa správy NBÚ o kybernetickej bezpečnosti na Slovenksu za rok 2020 budú práve ransomvérové útoky v najbližších rokoch predstavovať jednu z najväčších kybernetických hrozieb nielen pre obchodné spoločnosti a organizácie, ale aj pre individuálne osoby.

DATALAN ponúka riešenie, využitie externých expertov „As a service“ 

Na pandémiu koronavírusu reagovali firmy presunom mnohých procesov do online prostredia. Tým sa zvýšila dôležitosť celej IT infraštruktúry jednotlivých spoločností. Otázka digitalizácie služieb a interných procesov vo firmách tak dostáva výrazne vyššiu prioritu, než tomu bolo v minulosti. Organizáciám však v mnohých prípadoch chýba know-how, technické vybavenie, ale aj aj interní experti na digitálnu bezpečnosť.

Mnoho spoločností preto siaha po praktickom riešení a využívajú služby „as a service“. Ide o delegovanie starostlivosti o bezpečnosť organizácie na dedikovaných expertov externej spoločnosti. Tá zabezpečí legislatívne povinnosti kybernetickej bezpečnosti, ktoré vyplývajú z bezpečnostnej legislatívy. Výhodou je úspora financií, kapacít, času a vedomie, že kybernetická bezpečnosť vašej organizácie je plne v rukách našich skúsených odborníkov, ktorí vás od tejto povinnosti odbremenia a využijú na to tie najlepšie technológie. Nemusíte riešiť, aké technológie bude potrebné aplikovať, nemusíte investovať do vlastného bezpečnostného technika. Jednoducho zveríte ochranu svojho IT do rúk DATALAN špecialistov, ktorí disponujú know-how, skúsenosťami a sledujú aktuálne zmeny v legislatíve a vo vývoji témy kyberbezpečnosti v rámci globálneho aj domáceho trhu.

Viac informácií o téme sa môžete dozvedieť v sekcií venovanej  „As a service“ riešeniam a Bezpečnostným riešeniam DATALANu.

V prípade záujmu Vám pripravíme cenovú ponuku na komplexné riešenie na mieru pre Vás. 

René Pavlo
Bezpečnostný expert

DATALAN a.s.