28. diel - Analýza stavu a riadenia rizík podľa NIS2 Nové

V predchádzajúcej lekcii, Európska regulácia kyberbezpečnosti NIS2 , sme sa zoznámili so smernicou NIS2.

V tomto tutoriále kyberbezpečnosti sa zameriame na prvý praktický krok požiadaviek NIS2: analýzu stavu organizácie a riadenia rizík. Zmyslom je zistiť, ako prostredie skutočne funguje, ktoré časti sú dôležité a čo môže ohroziť ich prevádzku.

Ukážeme si, ako zmapovať kľúčové prvky organizácie a ako popísať riziká, ktoré sa ich týkajú. Vďaka tomu získame prehľad, ktorý tvorí základ pre všetky ďalšie bezpečnostné opatrenia.

Vstupná analýza a jej úloha v NIS2

Požiadavky smernice NIS2 sa vzťahujú na organizácie, ktoré prevádzkujú služby zásadné pre spoločnosť alebo ekonomiku. Rovnaký postup však môže využiť akákoľvek firma, ktorá chce mať bezpečnosť pod kontrolou a pracovať s rizikami systematicky.

Prvým krokom pri napĺňaní požiadaviek je vstupná analýza, ktorej cieľom je popísať, ako organizácia skutočne funguje a aké prvky jej prostredia je potrebné chrániť. Nejde o formálny dokument, ale o praktický nástroj, ktorý pomáha pochopiť, z čoho sa prostredie skladá, kde môžu vznikať slabiny a aké dôsledky by mohli mať.

Do vstupnej analýzy obvykle patrí prehľad používaných informačných systémov, dátových tokov, dôležitých procesov, technických prostriedkov i prevádzkových závislostí. Výstupom vstupnej analýzy je základná orientácia v tom, ako organizácia funguje a kde sa nachádzajú kľúčové časti jej prevádzky.

Identifikácia aktív

Po zmapovaní prostredia nasleduje identifikácia aktív, teda prvkov, ktoré majú pre organizáciu skutočnú hodnotu a je nutné ich chrániť. Aktívom môže byť všetko, čo je dôležité pre prevádzku služieb, pre ochranu dát alebo pre plnenie povinností voči zákazníkom a partnerom.

Medzi aktíva najčastejšie patria:

• informačné systémy,
• databázy,
• aplikácie,
• servery,
• sieťová infraštruktúra,
• pracovné stanice a ďalšie technické prostriedky.

Aktívom sú však aj procesy, know-how, dokumentácia alebo samotní zamestnanci, ktorí s informáciami pracujú. Rovnako dôležité môžu byť aj služby dodávateľov, na ktorých je prevádzka organizácie závislá.

Cieľom tejto fázy je určiť, ktoré aktíva sú pre organizáciu najdôležitejšie a akú významnú úlohu hrajú v jej prevádzke. Vďaka tomu je možné neskôr lepšie posúdiť dopady ich prípadného narušenia.

Identifikácia hrozieb

Akonáhle máme prehľad o tom, ktoré aktíva sú pre organizáciu dôležité, môžeme určiť hrozby, ktoré ich môžu ohroziť. Hrozbou je akákoľvek udalosť alebo okolnosť, ktorá môže narušiť dostupnosť, dôvernosť alebo integritu informácií, služieb či systémov.

Hrozby môžu mať rôznu podobu. Patria sem napríklad útoky zvonku, ako je phishing, ransomware alebo DDoS, ale aj chyby spôsobené zamestnancami, zlyhanie technológií, výpadky dodávateľov alebo fyzické udalosti typu požiar, povodeň či dlhodobý výpadok energií.

Užitočné je zamerať sa na situácie, ktoré sú pre dané prostredie reálne možné a mohli by mať citeľný dopad na prevádzku.

Cieľom tejto fázy nie je zostaviť nekonečný zoznam všetkých predstaviteľných scenárov, ale identifikovať tie hrozby, ktoré sú skutočne relevantné a môžu ohroziť kľúčové aktíva. Vďaka tomu sa organizácia môže sústrediť na to, čo je zásadné pre jej stabilitu a bezpečnosť.

Identifikácia zraniteľností

Spolu s hrozbami je potrebné popísať aj zraniteľnosti, teda slabé miesta, ktoré môžu hrozby využiť. Zraniteľnosť môže vzniknúť v technológiách, procesoch aj ľudskom správaní a často je dôsledkom nedostatočných kontrol alebo chýbajúcich pravidiel.

Typickými príkladmi zraniteľností sú:

• neaktuálny softvér,
• slabé alebo zdieľané heslá a chýbajúce viacfaktorové overovanie,
• nedostatočne nastavené oprávnenia,
• nezabezpečené sieťové prvky alebo služby, ktoré sa prestali udržiavať.

Zraniteľnosti môžu vychádzať aj z nedostatku školenia, neskúsenosť zamestnancov alebo neprehľadná dokumentácia, ktorá komplikuje správu prostredia.

Zatiaľ čo hrozba predstavuje možnú udalosť, zraniteľnosť určuje, ako ľahko môže byť aktívum ohrozené. Až prepojenie hrozieb a zraniteľností umožňuje správne odhadnúť, aké veľké riziko pre organizáciu predstavujú.

Riadenie rizík

Keď poznáme kľúčové aktíva, možné hrozby aj slabé miesta, môžeme prejsť k vlastnému riadeniu rizík. V tejto fáze určujeme, aké významné jednotlivé riziká sú a ktoré situácie by mohli mať najväčší dopad na prevádzku. Cieľom je stanoviť ich prioritu a rozhodnúť, čím sa organizácia musí zaoberať ako prvým.

Vyhodnotenie rizík

Riziko sa obvykle hodnotí podľa dvoch hlavných faktorov: pravdepodobnosti, že k určitej udalosti dôjde, a vplyvu, ktorý by táto udalosť mala na fungovanie organizácie.

Praktickým nástrojom je matica rizík, ktorá umožňuje zaradiť jednotlivé scenáre do prehľadnej tabuľky. Kombináciou pravdepodobnosti a vplyvu vznikne celkové hodnotenie rizika: nízke, stredné, vysoké alebo kritické. To pomáha určiť, čím sa zaoberať ihneď a čo sa dá riešiť s nižšou prioritou.

Vyhodnotenie rizík vytvára základ pre rozhodovanie o tom, ktoré opatrenia sa oplatí zaviesť a ako rýchlo je potrebné konať. Zmyslom nie je popísať všetky možné udalosti, ale sústrediť sa na tie, ktoré sú reálne pravdepodobné a majú potenciál organizácii významne poškodiť.

Nakladanie s rizikami (mitigation plán)

Po vyhodnotení závažnosti jednotlivých rizík nasleduje rozhodnutie, ako s nimi naložiť. Cieľom je zvoliť také opatrenia, ktoré znížia pravdepodobnosť incidentu alebo jeho dopady na prijateľnú úroveň. Smernica NIS2 očakáva, že organizácie budú s rizikami pracovať systematicky a že svoje rozhodnutie vždy doloží.

Pre nakladanie s rizikami existujú štyri základné možnosti.

Riziko môžeme:

• eliminovať – napríklad ukončením prevádzky zbytočné alebo nebezpečné služby,
• znížiť – zavedením primeraných technických a organizačných opatrení,
• preniesť – prostredníctvom poistenia, zmluvného vzťahu alebo externej služby,
• akceptovať – ak má riziko nízky vplyv a jeho riešenie by bolo neprimerané.

Výsledkom tejto fázy je mitigation plán, ktorý pre každé riziko opisuje zvolený postup a uvádza, ako bude účinnosť opatrení overovaná. Plán musí byť realistický, primeraný veľkosti organizácie a ľahko udržiavateľný, aby mohol slúžiť ako spoľahlivý nástroj pri riadení bezpečnosti.

Pravidelná revízia rizík

Riziká sa v čase menia rovnako ako prostredie organizácie, používané technológie aj samotné hrozby. Preto je nevyhnutné, aby sa analýza a mitigation plán pravidelne aktualizovali. Smernica NIS2 počíta s tým, že riadenie rizík nie je jednorazový krok, ale priebežný proces, ktorý musí zodpovedať aktuálnej situácii.

Revízia by mala prebehnúť minimálne raz ročne alebo kedykoľvek pri významnej zmene prostredia – napríklad pri nasadení nových systémov, presune služieb do cloudu, reorganizácii, alebo keď sa objaví nová závažná hrozba. Rovnako dôležité je aktualizovať analýzu po každom incidente, pretože práve reálne udalosti často odhalia slabé miesta, ktoré neboli predtým zrejmé.

Zmyslom revízie je zabezpečiť, aby opatrenia zostali účinné, aby nevznikali nové nekryté riziká a aby organizácia bola pripravená reagovať na aktuálny vývoj v oblasti kybernetických hrozieb.

Riadenie rizík v reálnej situácii

V e-shope, ktorý spravuje databázu niekoľko tisíc zákazníkov, si administrátor počas bežnej kontroly logov všimne opakované pokusy o prihlásenie do administračného rozhrania. Prístupy prichádzajú z IP adries, ktoré firma nepoužíva, a ich početnosť postupne rastie. Niekto sa teda zrejme snaží získať neoprávnený prístup do systému.

Tým môže dôjsť k ohrozeniu nasledujúcich aktív firmy:

• databáza zákazníkov,
• webserver a administračné rozhranie,
• platobný modul,
• CRM, ktoré e-shop využíva na komunikáciu a správu objednávok.

Z udalostí vyplýva, že najvážnejšou hrozbou je možnosť získania prístupu do administrácie.

Analýza nastavenia odhaľuje niekoľko zraniteľností. Administrácia je dostupná z akéhokoľvek miesta na internete, chýba viacfaktorové overenie (MFA), systém nevyvoláva alerty pri opakovaných neúspešných pokusoch, auditné logy sú nedostatočné a neposkytujú kvalitné záznamy pre spätné vyhodnotenie.

Administrátor vyhodnocuje pravdepodobnosť ako stredný a dopad ako vysoký - únik či zmena dát tisícov zákazníkov by mala vážne obchodné i právne dôsledky. Riziko je teda klasifikované ako vysoké.

Prijaté opatrenia

Preto sa firma rozhodne podniknúť niekoľko krokov, ktoré dokážu riziko výrazne znížiť. Zavedie MFA pre administrátorov a obmedzí prístup do administrácie na povolené adresy pomocou IP whitelistu. Ďalej sprísnia dohľad nad prihlasovaním, upravia evidenciu udalostí a posilnia kontrolu správy prístupov.

Opatrenia sú zaradené do mitigation plánu a počas krátkej doby realizované. Po ich zavedení sa riziko prehodnocuje — pravdepodobnosť útoku klesá, vplyv sa stáva lepšie kontrolovateľným a celkové riziko sa znižuje na prijateľnú úroveň. E-shop tak získava lepší prehľad o svojom prostredí, posilňuje ochranu zákazníckych dát a zvyšuje svoju odolnosť voči podobným incidentom v budúcnosti.

Po šiestich mesiacoch e-shop vykonáva plánovanú revíziu rizík, aby overil, či sú prijaté opatrenia stále účinné. Kontrola ukazuje, že došlo k zlepšeniu bezpečnostných záznamov, a firma preto rozširuje log management a monitoring, aby mala ešte lepší prehľad o aktivitách v systéme. Súčasne zaisťuje doplnenie školení administrátorov, aby boli lepšie pripravení na podobné situácie a vedeli včas rozpoznať neobvyklé správanie.

Záver

V tejto lekcii sme si ukázali, ako prebieha vstupná analýza podľa NIS2 a ako na ňu nadväzuje riadenie rizík. Popísali sme kľúčové prvky prostredia, možné hrozby aj zraniteľnosti a vysvetlili, ako riziká hodnotiť a ako s nimi pracovať. Tento postup tvorí základ pre všetky ďalšie bezpečnostné opatrenia a umožňuje organizácii zamerať pozornosť na to, čo je pre jej stabilitu najdôležitejšie.

V nasledujúcej lekcii, Technické a organizačné opatrenia NIS2 , si predstavíme kľúčové technické a organizačné opatrenia, ktoré tvoria základ bezpečnosti podľa NIS2. Doplníme aj prehľad rolí vo firme, význam školenia, dokumentácie a pravidelného testovania.