Nemáte ešte vypracovanú analýzu rizík z hľadiska kyberbezpečnosti? Bez nej len ťažko dáte dokopy efektívnu stratégiu na zabezpečenie vašej firmy. A vyžaduje ju aj nová európska smernica o kybernetickej bezpečnosti NIS2.
Podľa výskumu IBM stojí firmy priemerný kybernetický útok 3,86 milióna dolárov. A 60% malých a stredných podnikov, ktoré sa stanú obeťou kybernetického útoku, do 6 mesiacov skrachuje. To poukazuje na dôležitosť riadenia kyberbezpečnostných rizík pre prežitie firmy.
Nevyhnutnou, ale aj základnou súčasťou formovania efektívnej kyberbezpečnostnej stratégie pre každú firmu je analýza rizík. Tento proces nie je jednoduchým administratívnym cvičením; je to kľúčový nástroj, ktorý umožňuje firmám identifikovať, hodnotiť a prioritizovať potenciálne hrozby a zraniteľnosti v ich informačných systémoch a obchodných operáciách a komplexne na ne reagovať.
Prečo vo firme riešiť analýzu rizík?
S príchodom smernice NIS2 sa analýza rizík stáva ešte významnejšou, pretože subjekty, ktoré pod ňu spadajú, budú musieť prijať komplexný a proaktívny prístup k riadeniu a vyhodnocovaniu rizík.
Riadením kyberbezpečnostných rizík vo firme by sa mala zaoberať každá firma alebo organizácia, ktorá sa nechce dostať do situácie, v ktorej nemôže ďalej podnikať kvôli výpadku kľúčových systémov alebo zaisteniu základných obchodných operácií.
Čo firmám nariaďuje smernica o kyberbezpečnosti NIS2?
Priebežne vyhodnocovať kybernetické riziká.
Pri každej významnej zmene, ktorá sa prepisuje do chodu firmy, analyzovať jej vplyv na kybernetickú bezpečnosť.
Zaviesť školenia firemných pracovníkov od manažmentu až po administratívne pozície a dodávateľov v oblasti kybernetických rizík.
Nastaviť pravidlá a postupy pre testovanie a audity, ktoré pomôžu vyhodnotiť efektivitu vykonaných opatrení.
Zaviesť systém pre detekciu a hlásenie incidentov aj metodiku pre reakciu na hlásenie o narušení bezpečnosti.
Zabezpečiť vývoj aj údržbu svojich informačných systémov a sietí.
Identifikovať, hodnotiť a riadiť dodávateľa v rámci dodávateľského reťazca.
Implementovať pravidlá a postupy riadenia kontinuity podnikania (Business Continuity Management).
Efektívne implementovať technické riešenia na zaistenie ochrany kľúčovej IT infraštruktúry firmy v nadväznosti na vyhodnotenie rizík.
Rozlišujeme tri základné kamene analýzy rizík: AKTÍVA, HROZBY a ZRANITEĽNOSTI
Na analýzu rizík v najjednoduchšej podobe budeme potrebovať niekoľko vstupov. Analýza rizík je v základe jednoduchým násobením troch hodnôt: hodnoty aktíva, hodnoty zraniteľnosti a hodnoty hrozby.
Aktíva
V rámci smernice NIS2 je „primárne aktívum“ chápané ako kľúčová služba alebo produkt, ktorý vaša firma ponúka, resp. je kľúčové pre zaistenie štandardného fungovania vašej firmy. Týmto spôsobom je aktívum chránené kybernetickým zákonom. Príklady takýchto aktív môžu zahŕňať dôležité služby, ako sú dodávky elektriny, zdravotnej starostlivosti alebo bankové služby.
Okrem toho existujú aj podporné aktíva, ktoré sú potrebné na poskytovanie týchto služieb, teda hardvér a softvér, zamestnanci a dokonca aj fyzické budovy. Tieto podporné prvky sú tiež dôležité pre udržanie bezpečnosti a kontinuity vašich kľúčových služieb.
Prvým zásadným vstupom do analýzy rizík je určenie hodnoty aktív. Aktíva možno hodnotiť z pohľadu dostupnosti, dôvernosti a integrity. Zachovanie dostupnosti je kľúčovým parametrom pre určenie, v akom čase (kvalite) musia byť dáta dostupné užívateľom, ktorí ich potrebujú pre svoju činnosť. Dôvernosť zabezpečuje, že informácie sú dostupné iba oprávneným osobám. A pre zachovanie integrity je nutné, aby nedochádzalo k neautorizovanej modifikácii dát a informácií.
Hrozby
Hodnota hrozby vyjadruje jej potenciál alebo intenzitu. Tou môže byť akýkoľvek faktor alebo akcia, ktorá môže spôsobiť škodu na aktíve. Napríklad kyberútoky, fyzické škody, zlyhanie systému, zneužitie dodávateľského reťazca, využívanie technológií firiem z rizikových krajín, nedostatočné personálne kapacity a ďalšie. Hodnota hrozby je často vyjadrená ako frekvencia alebo pravdepodobnosť, že daná hrozba nastane a spôsobí škodu.
Zraniteľnosti
Hodnota zraniteľnosti vyjadruje mieru, do akej je aktívum ohrozené voči rôznym hrozbám. Inými slovami je to pravdepodobnosť, že dané aktívum bude poškodené alebo zneužité v dôsledku pôsobenia hrozby. Napríklad starý neaktualizovaný softvér môže mať vyššiu hodnotu zraniteľnosti kvôli známym bezpečnostným chybám.
Ak ste analýzu rizík nikdy nerobili, môžete si pomôcť metodickými materiálmi (napríklad od NBÚ). Nemusíte sa ich však nutne držať a je možné si vymyslieť aj jednoduchší systém. Mali by ste mať a poznať metodiku, ktorú použijete. Mali by ste jej veriť a byť schopní si ju obhájiť pri následnom skúmaní zo strany úradov.
Analýza rizík je kľúčovým nástrojom aj pre manažment spoločnosti. Pomocou tejto analýzy môže manažment lepšie pochopiť, aké opatrenia sú potrebné pre minimalizáciu rizík a môže efektívne rozhodovať o alokácii zdrojov, rozpočtu a prioritizácii implementácie opatrení. To umožňuje nielen zlepšiť bezpečnostné opatrenia, ale aj zvážiť ekonomickú stránku týchto investícií. Vedenie firmy môže lepšie určiť, či náklady na konkrétne opatrenia zodpovedajú potenciálnemu zníženiu rizika a či je takáto investícia ekonomicky opodstatnená a zmysluplná.
Čo si z článku odniesť?
Analýza rizík je nevyhnutným predpokladom pre vytvorenie efektívnej kyberbezpečnostnej stratégie.
Riadenie rizík zabezpečuje, aby boli v organizácii správne implementované technické a organizačné opatrenia, čím sa minimalizujú hrozby narušenia dôvernosti, dostupnosti a integrity dát.
Nová smernica NIS2 ukladá povinnosť vykonávať a pravidelne aktualizovať analýzu rizík pre podniky, ktoré pod ňu spadajú.
Aj firmy, na ktoré sa NIS2 nevzťahuje, by mali analýzu rizík riešiť ako súčasť ochrany svojich dát.
