První kroky v kyberbezpečnosti
- 1/8
- 2/8
- 3/8
- 4/8
- 5/8
- 6/8
- 7/8
- 8/8
7 min
Cílem tohoto návodu není poskytnout veškeré dostupné informace nebo komplexní řešení pro kyberbezpečnost vaší organizace. Na to je situace každé konkrétní neziskovky příliš jedinečná.
Chceme vám pomoci se zorientovat, ukázat směr a první kroky, které je třeba udělat, než se na cestu posílení kyberbezpečnosti sami vydáte.
Chceme zmínit a připomenout většinu toho, na co je potřeba myslet a co nezanedbat.
A do třetice, chceme vám na vaší cestě poskytovat oporu, ke které se můžete průběžně vracet. Třeba i tím, že na konci návodů na vás čekají materiály, které by vám mohly být právě s prvními kroky na poli kyberbezpečnosti nápomocné.
Vše ostatní už bude jen na vás.
Jako Sdružení VIA poskytujeme servis v oblasti technologií a digitalizace českým neziskovkám již řadu let. Pomáháme např. s nastavováním cloudových služeb.
Často právě při řešení otázek spojených se sdílením a správou dat organizace zjistí, že jejich praxe není v souladu se ze základními pravidly kyberbezpečnosti. Bez řešení kyberbezpečnosti však cloudovou službu úspěšně nastavit nelze. Naše spolupráce se tím následně rozšíří o pomoc s určením prvních kroků v oblasti kyberbezpečnosti, např. formou dvouhodinového online workshopu.
Důležité je, že není třeba vyřešit všechna kyberbezpečnostní opatření hned. Je třeba vůbec začít a postupovat systematicky a logicky, po jednotlivých krocích. I velké obchodní společnosti zvládnou zavedení max. 3-4 kyberbezpečnostních opatření ročně.
Před rychlostí je třeba upřednostnit rozvahu, pečlivost a důslednost.
A jak tedy vlastně začít?
Určitě nemá smysl si nejprve nastudovat nějaké dílčí téma a hned ho jako opatření zavádět ve vaší organizaci.
Co naopak smysl na úplném začátku má, je důkladná analýza toho, jak vaše organizace funguje, kde co má, co a jak používá, kde se nachází kritické body. Od výsledku této analýzy se pak odvíjí podoba všech dalších kroků.
- Mapování:
- organizační struktury, procesů a odpovědností uvnitř organizace
- běžné praxe (jak organizace skutečně funguje bez ohledu na organizační strukturu, směrnice apod.)
- dat, včetně jejich klasifikace a ocenění
- aktiv neboli „inventura“ jednotlivých zařízení (notebooky, PC, telefony, routery, přenosná paměťová media apod.), softwaru, aplikací, cloudových služeb a všech uživatelských účtů
- sítě
2. Analýza hrozeb
- zamyslete se, co vše se, byť jen teoreticky, může stát (nemusí jít nutně o záměr vyděračského hackera, hrozbou může být i chyba člena*ky organizace nebo živelní pohroma) a odkud může jaká hrozba přijít (vektor útoku)
Nejčastější vektory útoků:
- založené na lidských faktorech: sociální inženýrství, phishing a další útoky využívající slabých lidských stránek
- založené na technologiích: keyloggery, malware (např. ransomware) a jiné škodlivé kódy
- založené na systémech: útoky na sítě a síťovou infrastrukturu, DoS/DDoS útoky apod.
3. Analýza rizik
- pro každou hrozbu lze určit (alespoň přibližně) pravděpodobnost jejího výskytu a dopad na organizaci; od toho se pak odvíjí Vaše priority při zavádění ochranných opatření
4. Tvorba Plánu ochrany a Pravidel kyberbezpečnosti
- vytvořte Plán ochrany, který bude zahrnovat opatření ke snížení pravděpodobnosti výskytu hrozeb a minimalizaci dopadu v případě útoku
- vytvořte Pravidla kyberbezpečnosti, kterými se všichni v organizaci budou řídit, aby Plán ochrany skutečně fungoval a nebyl jen metodickým cvičením
5. Zavádění jednotlivých opatření
- řízení změny uvnitř organizace bude možná ten nejtěžší úkol, co na Vás čeká
- vytvořte si plán, jak vše nové důvěryhodně všem zúčastněným komunikovat
- nebojte se je do celého procesu zapojit
6. Vzdělávání a školení pracovníků*ic, dobrovolníků*ic i členů*ek
- s předchozím bodem vám může velice dobře pomoci, když ukážete, že život podle základních kyberbezpečnostních pravidel není výhradní doménou „ajťáků“ a technicky nadaných lidí
7. Monitorování, aktualizace a další vzdělávání
- pravidelně vše monitorujte a přehodnocujte
- průběžně aktualizujte Plán ochrany a Pravidla bezpečnosti
- i nadále se všichni v organizaci vzdělávejte
Při analýze hrozeb mějte stále na paměti, že v drtivé většině případů neútočí konkrétní lidé na data a systémy jiných, předem vyhlédnutých lidí. Dělají to za ně plošně ve velkém měřítku automatizované procesy (boti, skripty apod.). Vyhledávají slabá nechráněná místa v internetu, přes které není složité zaútočit. Konkrétní postavení oběti pro útok nemusí být podstatné – důležité je dostat se do výhodného postavení, ze které lze vydírat či zpeněžit data.
- Postupujte logicky a metodicky, vždy mějte plán pro další kroky.
- Buďte ve svých analýzách spíše raději obezřetní a přísní, lakování věcí narůžovo se nemusí vyplatit.
- Nepodceňte důležitost komunikace nového tématu uvnitř organizace (jak vůči dobrovolníkům*icím, tak třeba i členům*kám správní rady); pokud možno, zkuste je zapojit do tvorby Plánu ochrany a Pravidel kyberbezpečnosti (třeba i formou teambuildingu).
- Ničeho se nebojte, téma kyberbezpečnosti je na úrovni řízení neziskovky více tématem společenskovědním a manažerským spíše než tématem technickým. Většinu potřebných informací lze již dnes rychle dohledat. Pokud se Vám to nepovede, nebojte se zeptat.
- Nepodléhejte falešné naději, že jste pro potenciální útoky tím, co děláte, zcela nezajímaví.
- Řízení bezpečnosti je nikdy nekončící proces. Cílem předchozích kroků není navodit stav, kdy máme „splněno, odpracováno a hotovo“. Cílem je naučit se přirozeně přemýšlet a jednat s ohledem na bezpečnost organizace.
- Analýza hrozeb: Identifikace potenciálních hrozeb, jako je sociální inženýrství, phishing, malware a útoky na síťové infrastruktury.
- Analýza rizik: Určení pravděpodobnosti výskytu jednotlivých hrozeb a jejich dopadu na organizaci.
- Aktiva: Všechny cenné zdroje, které organizace vlastní a používá, včetně zařízení, softwaru, aplikací a dat.
- Cloudové služby: Online služby poskytované přes internet, které umožňují ukládání dat a provoz aplikací.
- Klasifikace a ocenění dat: Proces třídění dat podle jejich významu a hodnoty pro organizaci.
- DoS/DDoS útoky: Útoky typu Denial of Service (DoS) a Distributed Denial of Service (DDoS) zaměřené na narušení dostupnosti služeb.
- Kyberbezpečnostní opatření: Soubor pravidel a postupů pro ochranu informačních systémů a dat.
- Keylogger: Škodlivý program zaznamenávající stisky kláves za účelem krádeže citlivých informací.
- Malware: Škodlivý software navržený k narušení počítačových systémů (Malicious Software).
- Mapování: Identifikace a dokumentace organizačních struktur, procesů, dat a aktiv.
- Plán ochrany: Dokument zahrnující opatření ke snížení pravděpodobnosti výskytu hrozeb a minimalizaci jejich dopadu.
- Pravidla kyberbezpečnosti: Interní směrnice, kterými se musí řídit všichni v orga-nizaci.
- Sociální inženýrství: Techniky využívající manipulace lidí k provedení určitého úkonu.
- Systémy řízení změn: Procesy a postupy k efektivnímu zavedení změn uvnitř organizace.
- Vektor útoku: Způsob, jakým je zneužita zranitelnost systému k jeho kompromitaci.