Po úvodnom mesiaci mám jasnejšiu predstavu o tom, ako firma funguje, aké sú jej kritické procesy a ako je, respektíve nie je, riadená bezpečnosť.
Dojmy nestačia, potrebujeme dáta. Skutočný obraz bezpečnosti dokáže poskytnúť len detailné technologické a procesné overenie stavu, čo odhalí silné a aj slabé stránky našej ochrany.
Naša fiktívna firma Chrum&Chrum spĺňa identifikačné kritéria Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti. Sme prevádzkovateľ základnej služby (PZS).
Overovanie úrovne stavu bezpečnosti má jasný postup a je to niečo ako zdravotná prehliadka firmy.
Zdravotná prehliadka
Presne pochopíme stav a nakreslíme štartovaciu čiaru, nech je akákoľvek. Cieľom nie je hľadať vinníkov, ale reálne zistiť, kde máme slabé miesta a ako ich odstrániť skôr, než spôsobia reálne škody.
Overovanie je rozdelené do troch kľúčových oblastí
1. GAP analýza – kde máme medzery
Porovnali sme aktuálny stav firemnej bezpečnosti s požiadavkami zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, Vyhlášky č. 362/2018 Z. z. o bezpečnostných opatreniach a osvedčenými medzinárodnými štandardmi, napríklad ISO 27001.
Identifikovali sme oblasti, kde chýbajú procesy, dokumentácia alebo technologické riešenia v kybernetickej bezpečnosti.
Vytvorili sme základný zoznam prioritných zistení.
2. Technologické overenie úrovne bezpečnosti – ako sú na tom naše systémy
Testovanie zraniteľností
Použili sme špecializovaný nástroj na skenovanie zraniteľností. Zisťujeme, či naše servery, sieťové prvky a koncové stanice obsahujú kritické zraniteľnosti. Výsledky ukázali, či sú zariadenia pravidelne aktualizované a či tam nie sú zraniteľnosti z predchádzajúcich rokov.
Hardening a bezpečné nastavenie
Na overenie konfigurácie systémov sa používajú bezpečnostné implementačné príručky STIG, pričom k dispozícií sú aj iné príručky zo zdrojov CIS alebo ENISA. Kontrola tu ukáže, že viaceré platformy, technológie a sieťové zariadenia majú aplikované aspoň minimálne bezpečnostné opatrenia. Sem patrí politika hesiel, kontrola deaktivácie nepoužívaných sieťových služieb alebo protokolov pre vzdialený prístup.
Kontrola zabezpečenia Microsoft Active Directory Domain Services
Active Directory je srdcom firemnej infraštruktúry a nesprávne nastavenie predstavuje kritické riziko.
Aj tu sme použili príručky STIG určené pre Active Directory a navyše aj obľúbený komunitný nástroj PingCastle. Oboje slúži na to, aby sme odhalili dizajnové a bezpečnostné problémy.
Bezpečnosť cloudovej infraštruktúry v Microsoft 365
Firma Chrum&Chrum používa Microsoft 365 na e-maily, dokumenty a firemnú spoluprácu, takže preverujeme nastavenia. Naša biznis verzia licencií umožňuje použiť Microsoft Secure Score, ktorý vyhodnocuje úroveň ochrany. Dá sa takto identifikovať chýbajúca viacfaktorová autentifikáciu (MFA) pre vybrané privilegované účty a aj slabé zabezpečenie zdieľania citlivých dokumentov.
3. Procesné overenie – ako je bezpečnosť riadená
Overujeme spôsob, akým firma riadi bezpečnostné procesy a hľadáme slabé miesta.
Riadenie zmien
Každá firma musí mať systematický proces riadenia zmien v IT infraštruktúre. Zmeny v konfiguráciách serverov, siete alebo aplikácií sa musia vždy schvaľovať a zaznamenávať.
Manažment záplat
Servery a koncové zariadenia si vyžadujú inštaláciu najnovších bezpečnostných aktualizácií. Pravidelný mechanizmus kontroly a aplikácie záplat znižuje riziko zneužitia známych zraniteľností.
Kontinuita prevádzky a zálohovanie
Kontrolujeme existujúce zálohovacie mechanizmy a preverujeme ich súlad s požiadavkami manažmentu. Ak sa kritické databázy zálohujú iba raz týždenne, pri výpadku by to znamenalo stratu cenných dát. Test obnovy zo zálohy sa musí robiť pravidelne, aby firma vedela rýchlo reagovať v prípade výpadku.
Riadenie nasadzovania zmien
Nasadzovanie nových verzií aplikácií, aktualizácií alebo zmien v konfiguráciách systémov musí byť jednotný proces. Ak by sa nové verzie softvéru alebo kritické aktualizácie nasadzovali ad hoc bez dostatočného testovania, zvyšuje to riziko výpadkov a bezpečnostných problémov. Absencia testovacieho prostredia a nejasná zodpovednosť za nasadzovanie a schvaľovanie zmien situáciu nezlepšila.
Výsledky sú na stole
Výsledky hĺbkového overenia úrovne bezpečnosti som predstavil bezpečnostnému výboru. Niekedy to nie je príjemné počúvanie, no vedenie prijalo fakty. Zložili sme si ružové okuliare.
Overenie nebolo len papierovou byrokraciou. Bol to prvý skutočný pohľad do bezpečnosti firmy a jasný signál, že je čas konať.
V marci nás čaká ďalší dôležitý krok – inventarizácia aktív a ich klasifikácia. Už vieme, kde máme slabé miesta, teraz si musíme definovať, čo je pre nás najcennejšie a ako to primerane chrániť.
Každý mesiac sa s vami delí o svoje praktické skúsenosti skúsený profesionál. Sme svedkami spoločnej cesty bezpečáka a firemného manažmentu vo fiktívnej potravinárskej firme, ktorá buduje svoju kyberbezpečnosť od základov
Andrej Mišura má dvadsať rokov skúsenosti v oblasti IT, bol vyhlásený za manažéra kybernetickej bezpečnosti roka 2024. V súčasnosti je riadiacim partnerom skupiny Cyllium
Poradňa 1/12, odporúčania a odpovede na otázky účastníkov webináru
Vyhodnotenie a registrácia firmy podľa novelizácie Zákona o kybernetickej bezpečnosti.