Hlavní témata počítačové bezpečnosti se dlouhodobě příliš nemění, rozhodně jich neubývá, jen se objevují nová. Některé technologie sice morálně zastarávají, ale to neznamená, že by mizely ze scény. Spíše se stávají standardní a již nekomentovanou součástí modernějších obranných mechanismů. Bezpečnostní trendy, jimiž se odborná média jen hemží, kompilují technologie, techniky i organizační přístupy.

Například analytici Gartneru letos v červnu vyzdvihli několik témat, jež podle jejich názoru již spadají do kategorie digitální bezpečnosti. Do technologické sekce patří problematiky izolování aplikací, detekce hrozeb na koncových stanicích, adaptivní přístup nebo kontextové bezpečnostní analýzy. Spíše organizační témata zastupují softwarově definovaná bezpečnost, bezpečnost orientovaná na lidi, případně ochrana internetu věcí.

Porozumění potenciálním hrozbám představuje základ podnikového řízení rizik, tvrdí specialisté organizace Information Security Forum (dále ISF). Toto snad až samozřejmé sdělení však nenachází odezvu v praktickém přístupu k bezpečnosti mnoha organizací. Jde o relativně zarážející skutečnost, neboť největší rizika očividně přinášejí známé hrozby, nikoli skryté, dosud neidentifikované.

Specialisté globální organizace ISF provádějí každý rok výzkum trendů a stavu zabezpečení podnikových infrastruktur. Ve svých predikcích pro příští rok upozorňují na jedno paradoxní zjištění. Bezpečnostní manažeři mnoha organizací pokládají známé hrozby za éméně nebezpečné. Zdánlivě nemají čím překvapit. Ignorují přitom fakt, že i letité hrozby se vyvíjejí a zdokonalují, často fungují velmi důmyslně a zároveň efektivně. Současně roste jejich schopnost způsobit vážné škody.

 

 

87 %

odborníků na bezpečnost v průzkumu uvedlo, že největší bezpečnostní hrozbou pro mobilní zařízení jsou neopatrní zaměstnanci. Téměř dvě třetiny z nich si myslí, že poslední velké narušení zákaznických dat se odáhrálo v důsledku neopatrnosti zaměstnanců.

Zdroj: studie společnosti Check Point, 2014

 

Obecná zjištění specialistů ISF doplňují i data z českého průzkumu společnosti IDC. Čtvrtina tuzemských podnikových respondentů chrání svou infrastrukturu pouze s pomocí základních nástrojů proti škodlivým kódům a prevenci průniků či ztráty dat. Pro více než dvě třetiny českých organizací představuje základní kritérium výběru bezpečnostních technologií a řešení jejich cena. V 37 procentech tuzemských podniků se nejvyšší management vůbec nezajímá o problematiku ochrany výpočetní a komunikační infrastruktury. I tato zjištění lze interpretovat jako formu ošetření zcela běžné provozní záležitosti v podniku: Počítačová bezpečnost představuje standardní téma, na které lze aplikovat stejné požadavky na efektivitu jako na kterékoli jiné. O možných důsledcích, jak dodávají analytici IDC, se diskuse příliš nevede.

 

S blížícím se závěrem kalendářního roku aktivizují oboroví analytici své síly a vrhají do světa predikce věcí příštích. S nemalým náskokem je letos předhonila organizace ISF. Ta navíc pracuje se zcela reálnými subjekty, jejichž zástupci a současně členové nejspíše nemají potřebu svým kolegům cokoli zastírat. Své bezpečnostní predikce pro příští rok specialisté ISF rozdělili do pěti oblastí. Reflektují v nich názorové spektrum manažerů, kteří bezpečnostní otázky v organizacích řeší osobně a prakticky.

Ohrožení dobrého jména

Novým cílem kybernetických útoků se stane reputace podniku, resp. jeho dobré jméno. Procesy a činnosti v organizaci nebudou kontrolovat pouze interní a externí regulatorní orgány, ale i zaměstnanci, obchodní partneři a zákazníci. Na scéně se díky rozvoji systémů pro spolupráci a komunikaci objevuje stále větší množství osob, jež lze označit za internisty. Tito lidé však nemusejí a nejspíše ani nebudou respektovat pravidla daného subjektu. Uplatní svou vlastní etiku a perspektivu. Kritické hlasy se budou šířit virálně, a pokud dorazí od důvěryhodných zdrojů, nasměrují k problematickým oblastem kybernetické útočníky.

Kompromitování počítačových systémů přestává být utajovanou skutečností. Veřejné autority se snaží bezpečnostní incidenty zviditelňovat, aby zabránily jejich šíření. Hackerům se díky tomu do rukou dostává zcela nový nástroj. Stačí vytvořit věrohodné tvrzení, případně i pomluvu. Postižený podnik se automaticky stane vinným, ačkoli k žádnému incidentu vůbec nemuselo dojít. A představitelé organizace se budou muset tak jako tak očistit. Dobré jméno podniku nejspíše dozná úhony, ačkoli reálně k žádné události nedošlo.

Ke konkrétním technologiím a technikám, jež na reputaci podniku, resp. její ohrožení budou mít vliv, řadí specialisté organizace ISF koncept BYOD a jeho aplikační pravidla, správu uživatelských účtů a jejich oprávnění a bezpečnostní nastavení vestavěných zařízení, jež obvykle nebývají zahrnuta mezi sledované oblasti.

Podružnost osobních identit

Druhý bezpečnostní trend příštího roku má podobu změny priorit ve zhodnocování informací ze strany útočníků.

Specialisté organizace ISF předpokládají, že se v příštím roce dostanou nabídky typu Crime as a Service na zcela novou úroveň, jíž ve zkratce označují jako CaaS v2.0. Organizace útočníkům komplikují aktivity prostřednictvím implementace nových obranných prvků.

 

82 %

bezpečnostních odborníků očekává, že počet bezpečnostních incidentů nadále poroste a rok 2015 bude rizikový. Vyjádřili znepokojení nad dopadem mobilních bezpečnostních incidentů, přičemž největší starosti jim v oblasti mobilní bezpečnosti dělají ztrácené a odcizené informace.

Zdroj: studie společnosti Check Point, 2014

Pro zrychlení a zjednodušení jejich identifikace se hackeři budou mnohem více soustředit na nespokojené a bývalé zaměstnance. Z jejich zdrojů získají potřebné informace pro realizaci útoku. Hodnotu osobní identity člena organizace zastíní organizační profily, jež prozradí zranitelnosti nebo přesnou podobu interních procesů.

 

Základní parametry útoků se v podstatě nezmění. Primárním cílem zůstane jednotlivec s dostatečně vysokými uživatelskými právy, po jehož selhání, třebaže neúmyslném, dojde ke zpřístupnění infrastruktury organizace. Cenným zdrojem vstupních informací se stanou internet a sociální sítě, které útočníci zkombinují s vlastním prověřením stavu infrastruktury cílového podniku. Kybernetickému zločinu v této souvislosti pomáhá řada faktorů v podobě nespokojených zaměstnanců, slabé autentizace nebo konkurenčního boje. Tyto prvky na jedné straně generují poptávku po útocích, resp. datech, a na druhé umožňují jejich provedení.

Nezvládnuté BYOC a BYOD

Třetím trendem příštího roku se v očích specialistů ISF stala technologická změna. Konkrétně hovoří o dvou konceptech, jež bezpečnost organizací podle jejich mínění přímo ohrožují. Potenciální hrozba se ale neodvíjí od prosté existence řešení a přístupů známých pod názvy Bring Your Own Cloud (BYOC) a Bring Your Own Device (BYOD), ale od nezvládnutí jejich správy ze strany organizace.

Pokud interní nebo externí poskytovatel technologií nedokáže naplňovat požadavky byznysu, přesunou se jednotlivci, případně i celé jednotky, do dostupného cloudového prostředí. Tím organizace ztrácí přehled o uložených datech a o jejich zpřístupnění. Na jedné straně vzniká bezpečnostní hrozba, na druhé často i organizačně náročnější neefektivita práce. Nezvládnutí implementace cloudových služeb vytváří dlouhodobý problém v podnikové správě informací, která má zjevné bezpečnostní konsekvence. Pomoc by administrátoři měli hledat v konsolidaci poskytovatelů cloudových služeb. Ale i v tomto případě se musejí spoléhat na schopnosti třetích stran, jež mají chránit cizí data.

91 %

IT profesionálů vidí v posledních dvou letech nárůst počtu osobních mobilních zařízení s přístupem do podnikové sítě. 56 % dotázaných v roce 2014 spravovalo podniková data na osobních zařízeních zaměstnanců, zatímco v roce 2013 to bylo pouze 37 %.

Zdroj: studie společnosti Check Point, 2014

O konceptu BYOD se hovoří již několik let. Organizace si od něj slibují řadu benefitů v podobě získání a udržení mladých talentů, vyšší produktivitu práce a flexibilnější spolupráci. Zakomponování soukromých zařízení do podnikové infrastruktury však vyžaduje řadu technologických i organizačních opatření. Jejich ignorování vystavuje organizaci nemalým bezpečnostním rizikům. Specialisté organizace ISF dodávají, že nejvyšší vedení mnoha podniků rozhodne o implementaci konceptu BYOD, ale otázku ochrany již neřeší.

Užitečné a nedostačující regulace

Čtvrtý trend příštího roku souvisí s vládními regulacemi, jež v oblasti počítačové bezpečnosti dlouhodobě posilují. Roli státu v ochraně kybernetického prostoru specialisté organizace ISF nijak nezpochybňují. Příslušné úřady koordinují aktivity, medializují problémy a sdílejí informace o hrozbách. Tím ovšem jejich poslání v podstatě končí. Stát nevyvíjí snahu o řízení bezpečnostní infrastruktury v soukromých subjektech, pouze ji v některých aspektech reguluje. Realizaci příslušných opatření však ponechává v rukou podniků. Právě v tomto ohledu vzniká potenciální hrozba. Některé organizace se i kvůli nákladovým parametrům snaží vyhovět pouze zákonem či předpisy vyžadovanému minimu. Tím se však vystavují hrozbám, jejichž technologická úroveň obvykle zákonné požadavky značně převyšuje.

Zástupci organizace ISF očekávají, že míra regulace do budoucna vzroste. Předpokládají rovněž, že se v této souvislosti objeví řada konfliktů. Zejména preventivní opatření mohou narušovat soukromí firem i jednotlivců, koordinace postupu zase nejspíše narazí na různou technologickou vybavenost i schopnosti spolupracujících subjektů. (V České republice k 1. 1. vstoupí v platnost zákon o kybernetické bezpečnosti. Co tato norma přináší a koho se dokne, rozebíráme v samostatném článku).

Bezpečnost jako manažerská disciplína

Pátý bezpečnostní trend příštího roku se odehraje především v organizační rovině. Reflektuje hlavně míru porozumění hrozbám a adekvátní reakce na jejich existenci. Zástupci ISF si zjevně stěžují na nekompetentnost seniorního vedení firem, jež bezpečnostní otázky podceňuje, primárně kvůli vlastní neznalosti problematiky. Veškerý současný byznys však vyžaduje, aby si organizace udržela důvěryhodné prostředí, z něhož bude komunikovat se zákazníky a partnery. Jde o vytvoření jistoty, od níž se odvíjejí všechny další, povětšinou obchodní cíle. V této souvislosti vzrůstá v podnicích význam pozice CISO - Chief Information Security Officer -, jíž by vedení firem mělo naslouchat.

Organizační rozměr má i problematika nedostatku dostatečně kvalifikovaných lidských sil. Existuje řada kurzů, jež se přípravě odborníků na otázky bezpečnosti věnují, ale i tito lidé musejí někde získat zkušenosti. Na trhu práce se objevují technicky zdatní specialisté, jimž však často chybí manažerské schopnosti. A bezpečnostní otázky je třeba řešit s pomocí komplexně fundovaných týmů, které zastřeší fáze prevence, řízení i obnovy. Evoluce hrozeb rovněž přinesla nedostatek specialistů s kvalifikací pro ochranu starších technologií.

Považovat zabezpečení podnikové infrastruktury za nákladovou položku, již je třeba minimalizovat, se mnoha organizacím může vymstít. I v případě outsourcingu relevantních aktivit by totiž v podniku mělo zůstat elementární know-how pro tuto oblast. V opačném případě nelze na činnost externího poskytovatele dohlížet a zcela chybí systém kontroly a rozvoje. Komplexnost bezpečnostních otázek je samozřejmě možné řešit s pomocí třetích stran, ale řízení strategie by mělo zůstat v rukou organizace.