Odpovědnost za kybernetická rizika se nevyhnutelně rozšíří za hranice IT

Odpovědnost za kybernetická rizika se nevyhnutelně rozšíří za hranice IT. Bezprecedentní události posledních dnů jsou pro CIO a vlastně všechny v IT poučné (a pro některé i náročné) zejména v oblasti informační bezpečnosti. Snad vůbec poprvé můžeme sledovat kybernetickou rovinu konfliktu mezi „Východem“ a „Západem“ – a jakkoliv (zatím) možná nedošlo na ty nejčernější myslitelné scénáře, to, co se událo, rozhodně stojí za pozornost i poučení. Než se ale zaměříme na některé z kyberbezpečnostních incidentů, událostí a postřehů uplynulých dnů, zmíníme, jaké dopady události posledních týdnů a měsíců mají podle analytiků na oblast informační bezpečnosti v podnicích jako takovou.  

Analytici zdůrazňují, že současná situace ukazuje, nakolik je třeba změnit roli a fungování osob odpovědných za řízení informační bezpečnosti v podnicích v souvislosti s tím, jak se odpovědnost za kybernetická rizika i dopady incidentů přesouvají mimo IT, a stále více distribuovaný ekosystém vede ke ztrátě přímé kontroly nad rozhodováním. CISO a další lídři odpovědní za bezpečnost a řízení rizik se navíc ve stále větší míře musejí věnovat vyhodnocování a řízení „kyberneticky zdravotních“ mimo organizaci – na straně dodavatelů, zákazníků a obecně druhých či třetích stran. Mnohem víc rozhodnutí, a tedy i přenesené odpovědnosti v oblasti zabezpečení činí zaměstnanci a o řadě věcí s přímým dopadem na kybernetickou bezpečnost rozhoduje vedení mimo dohled CISO – ti se tak do budoucna budou muset naučit pracovat v prostředí, kde budou mít menší bezprostřední na rozhodování, v němž dnes často bezprostředně figurují. To ale není jediný problém. „Vedoucí pracovníci v oblasti kybernetické bezpečnosti jsou vyhořelí, přepracovaní a v režimu ‚always-on‘,“ říká Sam Olyaei, ředitel výzkumu ve společnosti Gartner. „To je přímým odrazem toho, jak pružnou se tato role stala za posledních deset let v důsledku rostoucího nesouladu očekávání zainteresovaných stran v rámci jejich organizací.“ 

Podle nedávného průzkumu Gartneru považuje osmdesát osm procent představenstev kybernetickou bezpečnost za byznys riziko, nikoli pouze za technický problém IT. Třináct procent z nich na to reagovalo zřízením výborů pro kybernetickou bezpečnost, na které dohlíží zvláštní ředitel. Analytici Gartneru očekávají, že do roku 2026 bude mít nejméně polovina členů vrcholné podnikové exekutivy (C-level) ve svých pracovních smlouvách zakotveny výkonnostní požadavky vztažené ke kyberbezpečnostním rizikům. Rychlost (včasnost) a kvalita informací potřebných pro rozhodování o rizicích tak budou hrát stále významnější roli s tím, jak se formální odpovědnost přesune na přímé podřízené CEO, kteří doposud řešili především strategické cíle typu růst obratu či zákaznická spokojenost. S formálním přesunem kyberodpovědnosti na byznys bude pochopitelně nutné přeformulovat i pozici a roli CISO (viz schéma). 

Dosavadní (mylné) vnímání pozice   Nové pojetí pozice (reframing) 
CISO zabraňuje incidentům/průnikům  Lídr, který spravuje řízení rizik 
Kybernetické riziko je bezpečnostní problém  Kybernetické riziko je problém byznysu/organizace 
Bezpečnost je překážkou tomu dělat věci rychle a efektivně  Bezpečnost umožňuje vytvářet agilní a bezpečné produkty 

 

 

Zdroj: Gartner, další podrobnosti ve studii: „Predicts 2022: Cybersecurity Leaders Are Losing Control in a Distributed Ecosystem. 

 

Východoevropské lekce 

Kybernetické útoky a “okopávání kotníků” pochopitelně předcházely již samotnou invazi například v podobě DDoS útoků na ukrajinské banky a weby státních institucí jež proběhly minulý týden ve středu. Patrně první významný “hybridní” incident probíhající “vojenské operace” oznámila světu ve čtvrtek slovenská společnost ESET – na řadu ukrajinských úřadů a organizací zaútočil škodlivý kód který byl připraven přinejmenším s dvouměsíčním předstihem a na řadě míst nastražen v režimu spánku, v některých případech patrně přes Active Directory – jeho úkol byl prostý: mazat data. Napadeny byly minimálně řádově stovky počítačů a systémů. V samotné počáteční fázi útoku se také ukázalo, že pohyby vojenských jednotek lze sledovat jednoduše proto, že si vojáci nevypnou své chytré telefony (a v daném místě se vytvoří „dopravní zácpa“ či „pomalu jedoucí kolona“, i proto Google posléze některé z funkcí Google maps na ukrajinském území deaktivoval. 

Na jednu i druhou stranu konfliktu se přidala řada hackerských skupin. Na podporu Ukrajiny vystoupily ty asi nejznámější v čele s Anonymous a Ghostsec – vedle různých DDoS útoků, útoků a přepsání některých ruských webů či úniků dat zcizených například běloruským zbrojním firmám bylo asi největším “kouskem” heknutí ruských státních televizních kanálů, kde následně nějakou dobu běžela smyčka videa s válečnými záběry z Ukrajiny. Dalším pozoruhodným kouskem je údajné hacknutí systémů běloruských železnic (údajně tak aby strojvedoucím bylo ponecháno ruční řízení). 

Snahu využít poměrně aktivní komunity hacktivistů se následně v neděli chopila samotná Ukrajina, když oznámila “sestavení IT armády” – což v praxi znamenalo v podstatě žádost vedení tamního ministerstva pro digitální transformaci (vicepremiéra Fedorova) aby hackeři pokračovali ve svých útocích a vytipování žádoucích cílů (zejména velkých bank či Gazpromu), případně aby se do DDoS útoků zapojila pomocí jednoduchých nástrojů I široká veřejnost. Výzvy k podobným aktivitám se objevily i v Česku (netřeba snad zdůrazňovat že zapojení se do DDoS je nezákonné bez ohledu na cíl). Jako mnohem elegantnější nám přišly výzvy vkládat například do recenzí moskevských restaurací na Google maps a dalších platformách slušné výzvy či prosby v ruštině ohledně zastavení agrese na Ukrajině. 

V ČR i SR se objevily podvržené SMS “vyhlašující” mobilizaci – není jasné nakolik jde o součást hybridního konfliktu či nejapné žerty, ilustruje to ale opět jak špatný je nápad COKOLIV oficiálně oznamovat formou SMS a vytvářet tak fikci doručení úředního rozhodnutí. 

Ukrajinské straně vyšel vstříc Elon Musk, když na její žádost předčasně zprovoznil služby satelitního internetu Starlink (patrně jen v nad částí území – převážně západní), veškeré podpůrné aktivity mají být zajišťovány ze sousedních zemí kde je služba k dispozici, tedy zejména Polska a Slovenska. 

Během víkendu spustila Ukrajina také přijímání darů v kryptoměnách (BTC, ETH, USDT). Zajímavé je že takto posílané dary lze velmi dobře sledovat například na platformě Elliptic (podle ní bylo k nedělnímu večeru touto cestou věnováno asi 15 milionů eur). Vůbec největší jednorázový dar ve výši 1,66 milionu eur podle všeho pochází z NFT sbírky na podporu Juliana Assange.  

Nedílnou součástí konfliktu se stalo i nejrůznější blokování médií, služeb, uživatelů či zákazníků, které se nevyhnulo ani online prostoru a digitálním službám. Vedle oficiálních sankcí vyhlášených EU či jednotlivými státy tak se svými vlastními “sankcemi” přišli správci národních domén, internetoví, kabeloví či IPTV operátoři. Nad některými se lze pousmát (zákaz účasti Ruska v soutěži Eurovize) jiné případy jsou snad i pochopitelné (vyřazování ruských státních médií z kabelových či IPTV nabídek) další ale spíše smutné – například odmítání služeb ruským či ruskojazyčným uživatelům a zákazníkům. 

Další komentáře

Roční fluktuace na pracovním trhu

Roční fluktuace na pracovním trhu by podle analytiků Gartneru měla v letošním roce stoupnout oproti předchozímu průměru až o pětinu – jde sice o údaj týkající se trhu práce v Severní Americe, do jisté míry podobná situace nicméně panuje i v dalších částech světa, střední Evropu nevyjímaje, zejména pokud je řeč o pracovnících v IT a technologicky zručných zaměstnancích byznysu (tzv. byznys technolozích), jichž je podle průzkumů Gartneru v současné době v podnicích v...

Byznysoví či podnikoví technologové, jsou těmi, kdo dnes stojí za většinou nákupů a financování IT a technologií kromě samotného IT

Byznysoví či podnikoví technologové, jsou těmi, kdo dnes stojí za většinou nákupů a financování IT a technologií kromě samotného IT. Jde o zaměstnance nacházející se mimo IT oddělení, u nichž významnou, či dokonce dominantní částí pracovní náplně není jen používání technologií, analytických a IT nástrojů, ale i jejich tvorba, nebo příprava výstupů či sestav pro další kolegy. O fenoménu podnikových technologů jsme již psali na sklonku minulého roku – rozhodně nejde jen o jiné označení...