Predtým, než sa pustíme do opatrení, potrebujeme poznať odpoveď na jednoduchú otázku: Čo vlastne chránime? Marec som preto zasvätil inventarizácii aktív – teda všetkému, čo má pre firmu hodnotu a čo môže byť cieľom útoku, výpadku alebo chyby. Bez toho sa bezpečnostná stratégia postaviť nedá.
Čo sú to aktíva
Aktívum je všetko, čo má pre firmu hodnotu, čiže informácia, proces, systém, know-how, služba, ľudia, hardvér, celkovo päť kategórií.
Informačné aktíva sú dokumenty, databázy, zmluvy, reporty, zákaznícke údaje a v prípade našej firmy aj receptúry.
Fyzické aktíva si ľahko vieme predstaviť. Sú to servery, pracovné stanice, sieťové zariadenia, výrobné linky, záložné zdroje, lokality.
Nasledujú softvérové aktíva ako ERP systém, skladový softvér, dochádzka a bezpečnostné nástroje.
Aktíva predstavujú aj služby, čiže internet, IT podpora a aj služby externých partnerov.
Ľudské zdroje, zamestnanci, ich odborné znalosti a k tomu ich prístupové oprávnenia sú aktívum, ktoré získava stále viacej na hodnote.
Ku každému aktívu sme priradili vlastníka – človeka. Toho, ktorý vie, na čo dané aktívum slúži, čo sa stane, ak prestane fungovať, a kto by mal reagovať, ak sa niečo pokazí.
Klasifikácia
Každé aktívum sme s vlastníkmi posúdili z pohľadu troch vlastností: integrita, dostupnosť a dôvernosť. Zároveň sme aktívum a jeho vlastnosti klasifikovali podľa dôležitosti a vplyvu na chod firmy.
Integrita znamená, že informácia je presná a nezmenená.
1. Nízka integrita: zmena aktíva alebo chyba nespôsobí významný dopad, napríklad interné oznamy, poznámky.
2. Stredná: menšie nepresnosti sú prípustné, ale môžu spôsobiť chyby v procese.
3. Vysoká: Zmena, alebo nesprávnosť môžu spôsobiť vážne škody, napríklad parametrov výroby, zmena výsledkov laboratórnych testov.
Pri nízkej úrovni zmena nevadí (napr. interné oznamy), pri vysokej môže mať vážne následky – napríklad zmena parametrov výroby.
Dostupnosť hodnotí, aký veľký je problém, keď systém vypadne.
1. Nízka dostupnosť: môže mať minimálny dopad, napríklad archívne dáta
2. Stredná: krátkodobá nedostupnosť sa zvládne, dlhší výpadok je problém.
3. Vysoká: ide o vážne narušenie prevádzky.
Archív zvládne výpadok, ale výpadok výrobného systému už firmu zastaví.
Dôvernosť rieši, kto má k informáciám prístup. Na klasifikáciu sme použili štyri triedy
1. Verejné: informácie určené na zverejnenie, ako firemný web.
2. Interné: bežné dokumenty a dáta určené pre zamestnancov.
3. Chránené: dáta, ktorých únik by spôsobil reputačnú alebo finančnú škodu.
4. Prísne chránené: obchodné tajomstvá, receptúry, osobné údaje, strategické dokumenty.
Firemný web je verejný, no receptúry či osobné údaje patria medzi prísne chránené.
Toto hodnotenie nám pomáha určiť, čo je kritické, čo potrebujeme chrániť viac a čo menej. Zároveň bude základom pre analýzu dopadov, ktorou sa budeme zaoberať v apríli.
Čo je skutočne kritické?
Počas inventarizácie sme nezabudli na zásadný fakt, lebo aktíva nie sú izolované. Fungujú v prepojených systémoch. Receptúry sú uložené na serveri, ten beží v sieti, prístup je riadený centrálne, a bez ERP sa ani nedostaneme k objednávkam. Výpadok jedného článku rozbije celý reťazec.
Preto sme si do inventára zaznačili aj väzby a nadväznosti medzi aktívami, čiže kto sa na koho „spolieha“. Práve tento pohľad je základom pre to, čomu sa budeme venovať v apríli – analýze dopadov (BIA).
Aktíva sú napojené na množstvo ďalších systémov. Ak vypadnú, nefunguje polovica firmy. Aby sme si to vedeli predstaviť, vytvorili sme si mapu, ktorá zohľadňuje dve veci - dopad pri zlyhaní aktíva a zároveň, koľko iných procesov a systémov je od tohto aktíva závislých.
Červené zóny
Takto sme zistili, že medzi najkritickejšie aktíva patria
- Zdieľaný sieťový prvok (switch), keďže všetko sa cezeň komunikuje, vrátane ekonomického informačného systému, výroby, záloh a internetu.
- Výrobný systém. Nuž, ak ten nebeží, nevyrobíme ani tyčinku.
- ERP systém je ako firemný krvný obeh. Je tam fakturácia, objednávky, sklad aj prepojenie s výrobou.
Tieto aktíva sme označili ako „červené zóny“ a zaradili ich medzi najvyššie priority na ďalšie zabezpečenie.
Príprava na BIA – ideme na to systematicky
Inventarizácia nebola len formálne cvičenie. Bola to dôkladná príprava na ďalší krok: Business Impact Analysis. Tá nám pomôže zistiť, čo sa stane, keď niektoré aktívum zlyhá. Koľko času si môžeme dovoliť byť bez ERP? Čo spôsobí výpadok výrobného systému? Ako rýchlo potrebujeme obnoviť prístup k zálohám?
Bez poriadku niet bezpečnosti
Marec bol o tom, aby sme si upratali. Vďaka tomu dnes vieme, čo máme, kto za to zodpovedá, ako je to dôležité a čo s čím súvisí. Tento základ teraz využijeme na to, aby sme v ďalších mesiacoch zaviedli opatrenia, ktoré budú dávať zmysel – nie na papieri, ale v praxi.
Každý mesiac sa s vami delí o svoje praktické skúsenosti skúsený profesionál. Sme svedkami spoločnej cesty bezpečáka a firemného manažmentu vo fiktívnej potravinárskej firme, ktorá buduje svoju kyberbezpečnosť od základov
Andrej Mišura má dvadsať rokov skúsenosti v oblasti IT, bol vyhlásený za manažéra kybernetickej bezpečnosti roka 2024. V súčasnosti je riadiacim partnerom skupiny Cyllium