SME sektor: Externí odborníci nám môžu veľa pomôcť a ukázať cestu. Kráčať však musíme sami

Život malého a stredného podniku, nielen na Slovensku, je aj vďaka online priestoru, ktorý prináša mnoho príležitostí, ale aj rizík do biznisu, čoraz náročnejší. V rôznych oblastiach preto využívame poradenstvo a služby odborníkov, ako napr. účtovník, právnik, daňový poradca a podobne. Rovnako aj pre oblasť informačnej a kybernetickej bezpečnosti je dôležité využiť spoluprácu s odborníkom.

Podľa skúseností z praxe, odborník vás musí naozaj vtiahnuť do témy, nie len Vám vypracovať dokumentáciu a návrh opatrení, inak to fungovať nebude. Tu je životne dôležité pochopiť, že odborník nám po analýze síce navrhne opatrenia a ukáže cestu, kráčať však po nej musíme sami. A ako sa hovorí, ryba smrdí od hlavy, preto majiteľ či vedenie, nielen malého podniku, by mal „naskočiť“ na túto tému a začať postupne dodržiavať základné pravidlá kyber-hygieny a bezpečného správania sa v online priestore ako sú:

• Používať silné a jedinečné heslá. Ak je toho na Vás veľa, zvážte použitie správcu hesiel na bezpečné uchovávanie a generovanie silných hesiel.
• Povoliť dvojfaktorovú autentifikáciu kdekoľvek je to možné, tým zvýšite stupeň bezpečnosti, pri ktorom je nutné okrem hesla poskytnúť druhú formu overenia, napríklad cez autentifikačný kód (cez SMS, alebo email) alebo cez špeciálnu aplikáciu.
• Pravidelne aktualizovať softvér: Udržiavať svoj operačný systém, softvér a aplikácie stálen aktuálne. Kybernetické zraniteľnosti sú často opravované práve týmito aktualizáciami.
• Pozor na phishing: Opatrnosť pri klikaní na odkazy alebo sťahovaní príloh z neznámych či podozrivých zdrojov.
• Zabezpečiť svoju wi-fi sieť. Kľúčové je zmeniť predvolené používateľské meno a heslo na svojom routri,
• Inštalovať a aktualizovať antivírusový softvér.
• Zálohovať si údaje na externý disk alebo do bezpečného cloudového úložiska.
• Používať rozšírenia pre prehliadače alebo nástroje na blokovanie reklám a škodlivého obsahu.
• Vytvoriť samostatné používateľské účty (ak napr. zdieľate počítač) s obmedzenými právami.
• Aplikovať tieto princípy aj na svoje smartfóny a tablet (bezpečnostné aktualizácie, silné heslá, aplikácie len z dôveryhodných zdrojov).
• Pripraviť sa na možnosť kybernetického útoku, mať plán reakcie na incident.

Výhovorky typu, že nemáme čo skrývať pred svetom alebo nie sme pre útočníkov zaujímaví už dnes nemôžu obstáť. Tak ako nenecháte svoju prevádzku v noci nezabezpečenú napospas rôznym živlom, tak je potrebné svoj biznis chrániť aj v online priestore, kde tiež číhajú nástrahy. Tieto živly konajú takmer vždy pre finančný zisk, a to buď priamy alebo ukradnuté dáta predajú ďalej alebo nás môžu vydierať tak že naše dáta zblokujú a zneprístupnia (ransomware). Motivácia útočníka však môže byť aj zákernejšia, napr. keď náš konkurent má za cieľ útokom ochromiť prevádzku nášho biznisu, prípadne aj politicky motivovaný útok.

Nastavenie kybernetickej bezpečnosti vo firme nie je otázka pár dní, či týždňov. Je to cesta, s ktorou sa menia naše pracovné i osobné návyky správania. Ako už bolo dávno povedané, vlastne tá samotná cesta je cieľ, tak sa poďme na ňu vydať.

Informačná bezpečnosť sa týka ochrany dôležitých informácií bez ohľadu na to, v akom formáte sú uložené – či už v počítači, na papieri alebo len v hlave. Informácie sú základné dáta, ktoré majú pre nás význam a hodnotu. Ich bezpečnosť zahŕňa ochranu pred neoprávneným prístupom, zneužitím, zverejnením, narušením, modifikáciou alebo zničením. Cieľom je zabezpečiť, aby tieto informácie zostali dôverné, neporušené a dostupné.

Aby sme zistili aké informácie potrebujeme ochrániť a aké sú vlastne riziká spojené s ich únikom pre náš biznis, dajme si poradiť od povolaných v tejto oblasti. Spoľahlivého odborníka na KB spoznáme aj tak, že pri začatí spolupráce nás tak trochu vyzlečie. Ak nie do naha, tak minimálne do spodnej bielizne. Nedajme sa oklamať instantnými radami a ready-made dokumentáciou. Je to skratka, ktorá nás zaručene stiahne z tej správnej cesty. Odborník na kybernetickú bezpečnosť totiž vie, že skôr ako na nás vysype hŕbu neznámych pojmov a skratiek, aby nás ohúril, najskôr potrebuje analyzovať našu spoločnosť, jej procesy a až následne môže vypracovať analýzu rizík a navrhnúť konkrétne opatrenia na ich mitigáciu. Otázky typu, čo má v našom biznise vlastne hodnotu, aké máme procesy, čo chceme chrániť a aké dôsledky by mal výpadok či únik informácii prijme nejedného vlastníka či riaditeľa malého podniku k hlbokým a dôležitým zamysleniam. Viem o tom svoje😊

Preto, aby odborník mohol vykonať analýzu rizík, musí mať prehľad o všetkých našich informačno-komunikačných aktívach, ich zraniteľnostiach a hrozbách, ktoré na ne pôsobia. Informačno-komunikačné aktíva sú všetky prvky spojené s informáciami a komunikáciou v podniku, vrátane hardvéru, softvéru, dátových úložísk, ľudských zdrojov, procesov a zákazníkov.

Podnikateľské aktíva, ako je hotovosť, pohľadávky a skladové zásoby, sú väčšine podnikateľov zrejmé, ale medzi aktíva patria aj zmluvy, patenty alebo reputácia spoločnosti, skrátka všetko, čo má pre podnikateľa hodnotu.

V kybernetickej bezpečnosti sú informačno-komunikačné technológie tiež dôležitými aktívami. Keď naše obchodné činnosti používajú tieto technológie od začiatku do konca, informácie, ktoré sa v nich pohybujú, sa stávajú našimi dôležitými aktívami. Tieto informácie sú spracované pomocou softvéru (napr. operačný systém, CRM, účtovný softvér a pod.) a prenášané cez hardvér (napr. počítač, mobil, server, externé disky a pod.), čo tvorí naše technologické aktíva. Áno, je toho veľa, keď prídeme na to, že sem patrí aj každý USB kľuč, scanner či smart hodinky. Keď si však poctivo zhrnieme všetok náš hardware aj software, získame tým cenné poznatky aj o našich procesoch, ktoré možno nemáme až tak podchytené a dostaneme sa tak na koreň našim informačným aktívam. Tu platí jednoduché pravidlo – akú dôležitosť má informačné aktívum, takú musí mať aj hardvér, na ktorom je informačné aktívum spracúvané.

Aktíva nášho podniku teda môžeme zhrnúť nasledovne:

Typicky elektronické (konceptuálne) sú

• procesy
• informácia a dáta

Typicky fyzické (reálne)

• Technológie, HW, SW, siete
• lokality
• Zamestnanci (interní, externí)
• Tretie strany = Dodávateľ/odberateľ

Podľa druhu aktíva sa rozoznávame rôzne druhy problémov. Teraz sa pozrieme na informačno-komunikačné technologické aktíva, ktoré sú najčastejšie:

• Neúplná inventarizácia aktív: teda nedostatok úplného zoznamu všetkých zariadení a softvéru, ktoré používame. Je dôležité si ich dôkladne zapísať, pretože bez úplného prehľadu nemôžeme tieto aktíva efektívne chrániť.
• Aktívum nie je správne zahrnuté v zabezpečení a procedúrach: Môže sa stať, že niektoré aktíva nie sú správne zahrnuté do našich bezpečnostných opatreniach alebo nie sú tieto opatrenia správne implementované. V takom prípade môže byť bezpečnostná ochrana neúčinná, pretože nie je dostatočne pokrytá.

Do tejto inventarizácie by ste mali zahrnúť aj zoznam legitímnych užívateľov – teda všetkých zamestnancov, ktorí majú v spoločnosti prístup do informačného systému. Tu platí tiež niekoľko jednoduchých odporúčaní:

• užívateľom prideľujeme a odoberáme prístupové práva podľa potreby
• filtrujeme im prístup na internet voči škodlivému obsahu
• správcovia v našich informačných systémov majú mať rôzne účty na správu a bežné používanie
• účty správcov vyžadujú multifaktorovú autentifikáciu
• informujeme a vzdelávame užívateľov o:

• • pravidlách používania firemných zariadení, aplikácií a dát
  • rizikách a hrozbách
  • čo robiť pri podozrení na bezpečnostný incident

Odborníci odporúčajú vytvoriť si podobný zoznam aj s dodávateľmi, aby sme mali na pamäti, že aj naši dodávatelia sú potenciálnou hrozbou pre bezpečnosť našich informačných aktív a je dôležité zavádzať bezpečnostné opatrenia aj vrámci dodávateľského reťazca.

Mohlo by pôsobiť demotivačne, že požiadavky malého podniku na svojich dodávateľov v oblasti kybernetickej bezpecnosti nebudú pre väčšie spoločnosti vynútiteľné, je potrebné však niekde začať a ísť príkladom. Je to podľa mňa rodiaca sa kultúra kybernetickej bezpečnosti, keďže ide o požiadavky medzi malými podnikmi, ktoré nie sú zatiaľ právne vymožiteľné, ale pomáhajú biznisu budovať pravidlá zodpovedného a transparentného fungovania.

Až keď máme urobenú dôkladnú analýzu nášho biznisu, jeho procesov a máme definované naše aktíva, ktoré potrebujeme chrániť ako oko v hlave, prichádzajú na rad odporúčania a rady odborníka v tom aké z toho vyplývajú riziká pre náš biznis a aké opatrenia je potrebné prijať. Je možné dohľadať základné odporúčania na tieto opatrenia aj na internete, treba však vždy prihliadať na špecifiká konkrétneho podniku. Ak však začneme implementovať tieto základné opatrenia, môžeme s relatívne malými nákladmi podstatne zvýšiť úroveň kybernetickej bezpečnosti v našom podniku.

Odporúčania pre riadenie informačných aktív v malom podniku by vo všeobecnosti mali zahŕňať nasledovné postupy:

• dôsledne vypracovať inventár informačných aktív, ktorý je úplný a aktualizovaný pri zmenách v informačnom systéme. Na toto by mala byť stanovená jedna zodpovedná osoba.
• vhodné je vypracovať si vlastný mechanizmus klasifikácie informácií z hľadiska dôvernosti a následne označovať informácie príslušným klasifikačným stupňom (napr. interné, dôverné, tajné). Podľa toho potom priradiť aj opatrenia na ochranu takej informácie pri jej ukladaní, prenose a spracúvaní.
• inštalácia akéhokoľvek softvéru by mala byť zverená len poverenému administrátorovi, nie akémukoľvek zamestnancovi.
• je vhodné mať vypracovaný zoznam autorizovaného softvéru a samozrejme inštalovať výhradne legálny softvér z tohto zoznamu.
• nepotrebné informácie a ich dátové nosiče musia byť vždy mazané a zničené bezpečným spôsobom.

Zodpovedný prístup a zevedenie týchto odporúční do života v malom podniku môže priniesť dôležité AHA momenty pre vedenie či vlasníkov podniku, aby si uvedomili, kde všade sú prítomné ich aktíva, ako sa s nimi narába a akému zabezpečeniu sa tešia, alebo nie. Toto vieme s malou pomocou zvládnuť aj sami, je to priam žiaduce a nevyhnutné pre nasledujúcu spoluprácu s odborníkom, ktorý podľa kvality týchto vstupných informácii navrhne opatrenia a spôsob ich implementácie pre náš podnik.