3 základy kybernetické bezpečnosti pro města a obce

aneb doporučení pro kandidáty v komunálních volbách

 

Ředitelství silnic a dálnic, úřad městské části Praha 5 nebo Magistrát města Brna, to je jen pár organizací žijících z veřejných peněz, které se v nedávné době staly obětmi kybernetického útoku. Nechme stranou, zda tyto instituce přistupovaly ke kybernetické bezpečnost s péči řádného hospodáře či nikoliv.

 

Kybernetická bezpečnosti není jen zákonná povinnost, nýbrž existenční nutnost. Její podcenění může ochromit činnost úřadu a zcela jej vyřadit z provozu.

— KYBEZ

 

Podívejme se, co by měly úřady a další veřejné instituce dodržovat, aby riziko bezpečnostních událostí a incidentů snížily.

 

Zaměstnanci vzdělaní v kybernetické bezpečnosti

Ransomware, phishing, malware..tyto typy útoků způsobí problémy, pokud pokus o ně zaměstnanec včas nerozpozná. Stačí jeden neopatrný klik, kterým si stáhnete infikovanou přílohu a rázem jsou všechna data vaší organizace zašifrovaná a nedostupná.

Abyste těmto událostem předešli, je nutné, aby všichni zaměstnanci disponovali alespoň základními znalostmi a dovednostmi v kybernetické bezpečnosti. To znamená, aby dokázali rozeznat podvržený email, orientovali se v hlavních typech kyberútoků a věděli co dělat, když se setkají s nestandartním chováním.

Zaměstnance proškolíte snadno prostřednictvím aplikace GDPO a v ní připravených kurzech nebo mohou navštívit školení Základy kybernetické bezpečnosti, a taktéž si lze objednat školení na míru ve vaší organizaci. Zaměstnanci tvoří první linii obrany v kyberprostoru, nenechte si ji nabourat.

 

Přehled o aktivech

“Co běží na těchto starých serverech, které musíme vyměnit? Ví to někdo?” Rozmohl se nám takový nešvar. Spousta organizací neví, kde mají uložená různá data a nainstalované systémy. Často tyto věci zjišťují až nastane problém.

Přitom si stačí vytvořit jednoduchý přehled. Menší úřady (do 5 zaměstnanců) jej zvládnout vytvořit v tabulkových či textových editorech. Větším organizacím už odborná komunita doporučuje pořídit si nástroj pro řízení kybernetické bezpečnosti, kde budou evidovat veškerá aktiva, jejich úroveň rizika a další důležité vlastnosti. Mezi tyto nástroje patří certifikovaná aplikace CSA (Cyber Security Analysis), kde vyřešíte vše, co pod vás požaduje vyhláška o kybernetické bezpečnosti.

Pokud chcete skutečně řídit a zlepšovat úroveň kyberbezpečnosti, pak musíte znát a řídit svá aktiva. V opačném případě je to jako kdybyste chtěli vést válku a nevěděli, kolik máte výzbroje, výstroje a personálu, kde a v jakém stavu. Jak takové situace dopadají, vidíme kousek od našich hranic.

 

Monitoring sítě

Čím větší organizace, tím vyšší pravděpodobnost, že nastane mimořádná situace. Proto se vyplatí sledovat a vyhodnocovat celkovou situaci vaší sítě.

I když se do nějaké stanice dostane škodlivý kód, může systém stanici odpojit, aby se problém nerozšířil. Nicméně jak k monitoringu sítě, tak i k systémům pro řízení kybernetické bezpečnosti potřebujete kvalifikované pracovníky, kteří s těmito nástroji budou pracovat.

Bohužel až příliš často vidíme, že si úřad pořídí užitečné aplikace, ale jeho zaměstnanci je neumí na plno používat. Pak se z těchto nástrojů stává přítěž a nikoliv pomocník. Díky monitoringu odhalíte odchylky v síti, které vás mohou upozornit na nové, netušené zranitelnosti. Nejlepším řešením je pak propojení monitoringu sítě s nástrojem na řízení kybernetické bezpečnosti. Budete tak mít veškerá důležití data na jednom místě.

Kybernetická bezpečnosti není jen zákonná povinnost, nýbrž existenční nutnost. Její podcenění může ochromit činnost úřadu a zcela jej vyřadit z provozu. Úřad vynaloží významné částky za okamžitá opatření a také za odškodnění subjektů, jejichž data unikla.

Až budete na zastupitelstvu rozhodovat, jestli opravit kus chodníku nebo pořídit bezpečnostní systém, vzpomeňte si na nemocnici v Benešově, Prahu 5, ŘSD či brněnský magistrát. Opravdu chcete, abyste se i vy museli potýkat s takovými problémy, jako měly tyto organizace?

Zdroj:


Zaregistrujte se na bezplatnou virtuální konferenci k nové legislativě EU pro povinné zavedení kybernetické bezpečnosti EU – NIS 2.