Už stokrát ste počuli, že digitalizácia zmenila svet, v ktorom žijeme. Bezpečnosť firiem sa presunula do digitálneho sveta a roky platné bezpečnostné pravidlá majú nový formát. Pozrime sa na to helikoptérovým pohľadom.
Najlepšie základy
Fyzická ochrana a zabezpečenia priestorov je komplexom opatrení. Začína sa to stavbou, čiže vybudovaním priestorov a použitím materiálov, pokračujeme prístupovými systémami, zabezpečením priestorov až po elektronické zabezpečovacie systémy a kamerové systémy.
Ako vysvetľuje technologický konzultant Radoslav Masnica spoločnosti Aliter Technologies, dnes sú elektronické zabezpečovacie systémy spolu s kontrolou vstupu základným pilierom objektovej bezpečnosti. Umožňujú vstup do citlivých alebo obmedzených priestorov len oprávneným osobám na základe čipových kariet alebo biometrických údajov ako sú odtlačky prstov, či rozpoznávanie tváre.
Od bondoviek k praxi
Technológie ako viacfaktorová autentifikácia a biometria sú v súkromnom sektore masovo využívané takmer desaťročie, čipové karty aj dlhšie. Plošné a strategické uplatnenie nastalo začiatkom tohoto desaťročia a v súčasnosti ide o štandard najmä v regulovaných a technicky zrelých firmách.
Elektronické zabezpečovacie systémy sú často prepojené s kamerovým dohľadom, záznamom vstupov a výstupov a automatickými zámkami. Znižujú tak riziko neoprávneného fyzického prístupu k zariadeniam alebo dátam.
Niečo ako pancier
Pri spracovávaní dôležitých a citlivých informácií je potrebná aj ochrana proti úniku elektromagnetického žiarenia. Používajú sa takzvané tempestované zariadenia, čiže špeciálne upravený hardvér. Takáto konštrukcia minimalizuje neúmyselné vyžarovanie signálov, ktoré by mohli byť zachytené a zneužité na odpočúvanie či reverzné inžinierstvo.
Ochrana informácií sa v tomto kontexte neopiera len o šifrovanie dát počas prenosu alebo uloženia, ale aj o fyzické a technické zabezpečenie zariadení, ktoré s nimi pracujú.
Ochrana informácií
Šifrovanie už dávno nie je téma iba pre políciu, armádu a finančnú správu. Potrebu bezpečného zaobchádzania s informáciami vyžaduje aj súkromný sektor, odborné profesie či dokonca bežní používatelia digitálnych služieb.
V súčasnosti sa šifrovanie používa pri emailovej komunikácii, pri četoch alebo videokonferenciách, pri ukladaní údajov na diskoch, serveroch alebo USB zariadeniach. Využíva sa aj pri vytváraní bezpečnostných kanálov, pre vás známych ako VPN, v mobilnej a rádiovej komunikácii, v cloude aj pri autentifikácii používateľov do systémov a služieb.
Od šifrovania ku kryptografii
Výrobcovia softvéru a hardvéru už bežne ponúkajú šifrovacie programy. Omnoho vyššie nároky na ochranu informácií sú v prípade, ak sú klasifikované zo zákona o ochrane utajovaných skutočností alebo z kyberzákona.
Na ochranu klasifikovaných informácií kryptografickými metódami sú určené prostriedky šifrovej ochrany informácií. V praxi sú to hardvérové zariadenia, napríklad šifrovacie moduly alebo kryptografické procesory a aplikácie na šifrovanie údajov či elektronickej komunikácie. „V ostatných troch rokoch sa extrémne zvýšil dopyt po zariadeniach šifrovej ochrany informácií. Súvisí to s geopolitickou situáciou a reguláciami,“ hodnotí trend Andrej Žucha zo spoločnosti Alison Slovakia.
Extrémne prísna kontrola
Profesionálne bezpečnostné riešenia podliehajú prísnym testom. “Certifikácia je proces, kde dochádza v renomovaných organizáciách a akreditovaných laboratóriách k dôkladnému overeniu bezpečnostných vlastností zariadení na základe štandardizovaných metodík a kritérií,” potvrdzuje Bibiana Magáthová z Kompetenčného a certifikačného centra kybernetickej bezpečnosti.
Certifikácia zabezpečuje, že zariadenie spĺňa požiadavky, ktoré deklaruje výrobca. Jeho implementácia nevykazuje známe zraniteľnosti alebo chyby, ktoré by mohli byť zneužité útočníkom.
Preto je pochopiteľné, že požiadavky na certifikáciu v bezpečnosti rastú. Európska agentúra pre kybernetickú bezpečnosť ENISA pripravuje viacero schém certifikácie kyberbezpečnostných služieb. Dlho očakávanú sú certifikácie cloudových služieb a 5G sietí a bude nasledovať certifikácia manažovaných bezpečnostných služieb.
Menia sa hrozby
Ak firmu kedysi chránila fyzická SBS-ka, dnes potrebujeme firewally, antivírusy, systémy na ochranu koncových zariadení EDR, či strediská bezpečnostných operácii SOC. Monitorujú dianie v sieti, zaznamenávajú podozrivé správanie a upozorňujú na možné incidenty. Rozdiel je v rýchlosti. V kyberpriestore sa útok môže rozšíriť v priebehu minút.
Tradične sa kládol dôraz na školenie o bezpečnosti pri práci, požiarnych predpisoch či ochrane zdravia. Dnes je nevyhnutné, aby každé školenie zahŕňalo aj kybernetickú bezpečnosť od rozpoznávania phishingových e-mailov až po správu hesiel.
Skladačka zapadla do seba
Premena klasickej bezpečnosti na kybernetickú nie je len o náhrade zámku heslom či trezoru cloudom. Manažéri, majitelia aj prevádzkoví riaditelia by mali chápať, že kybernetická bezpečnosť nie je iba úloha IT oddelenia – je to tímová zodpovednosť.
“Kybernetická bezpečnosť v spektre bezpečnosti dnes predstavuje jeden z najdynamickejších rastúcich pilierov,” konštatuje Roman Varga manažér kybernetickej bezpečnosti v zdravotnej poisťovni Dôvera.
Tento rast významu kyberbezpečnosti akceleruje zavádzanie nových produktov, adaptácie umelej a technologický rozvoj. Z pôvodne technickej disciplíny sa kyberbezpečnosť stáva strategickým prvkom riadenia rizík a odolnosti. Jej význam rastie úmerne s digitalizáciou procesov, prepojením systémov a rastúcim počtom hrozieb.
Kyberkapitola a podkapitoly
Roman Varga pôsobí v kyberkomunite v sektore zdravotníctva viac ako dve dekády. Za ten čas mal možnosť riešiť incidenty, nastavovať politiky, zavádzať technológie a najmä učiť sa z praxe, inšpirovať sa od kolegov a kyberkomunity.
Jeho presvedčenie je neochvejné: „Komplexita kyber bezpečnosti podľa môjho vnímania spočíva v prepojení štyroch hlavných pilierov - technológie, procesov, ľudského kapitálu a legislatívy. Nestačí mať len technické riešenia. Dôležité je, ako sú nastavené procesy, ako sú vyškolení ľudia a či sú všetky kroky v súlade s reguláciami.”