S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?

Nemáte ještě zpracovanou analýzu rizik z hlediska kyberbezpečnosti? Bez ní jen stěží dáte dohromady efektivní strategii pro zabezpečení vaší firmy. A vyžaduje ji i nová evropská směrnice o kybernetické bezpečnosti NIS2, která se promítne do českého právního řádu novým zákonem o kybernetické bezpečnosti. Nová legislativa od firem očekává komplexnější a zodpovědnější přístup k řízení rizik – včetně jejich průběžného vyhodnocování při každé významnější změně ve firmě.

Podle výzkumu IBM stojí firmy průměrný kybernetický útok 3,86 milionu dolarů. A 60% malých a středních podniků, které se stanou obětí kybernetického útoku, do 6 měsíců zkrachuje. To ukazuje na důležitost řízení kyberbezpečnostních rizik pro přežití firmy.

Nezbytnou, ale i základní základní součástí formování efektivní kyberbezpečnostní strategie pro každou firmu je analýza rizik. Tento proces není pouhým administrativním cvičením; je to klíčový nástroj, který umožňuje firmám identifikovat, hodnotit a prioritizovat potenciální hrozby a zranitelnosti v jejich informačních systémech a obchodních operacích a komplexně na ně reagovat. 

Proč ve firmě řešit analýzu rizik?

S příchodem směrnice NIS2 se analýza rizik stává ještě významnější, protože subjekty, které pod ni spadají, budou muset přijmout komplexní a proaktivní přístup k řízení a vyhodnocování rizik. Směrnici NIS2, jejímž cílem je zvýšit odolnost kritické infrastruktury a digitálních služeb vůči kyberútokům, bude muset jen v České republice splnit přes 6000 organizací. Bude se vás nová kybernetická legislativa týkat? Zjistěte to v naší aplikaci.

Analýzou řízení kyberbezpečnostních rizik ve firmě by se ale měla zabývat každá firma nebo organizace, která se nechce dostat do situace, v níž nemůže dále podnikat kvůli výpadku klíčových systémů nebo zajištění základních obchodních operací.

Co firmám nově nařizuje směrnice o kyberbezpečnosti NIS2?  

• Průběžně vyhodnocovat kybernetická rizika.
• Při každé významné změně, která se propisuje do chodu firmy, analyzovat její vliv na kybernetickou bezpečnost.
• Zavést školení firemních pracovníků od managementu až po administrativní pozice a dodavatele v oblasti kybernetických rizik.
• Nastavit pravidla a postupy pro testování a audity, které pomůžou vyhodnotit efektivitu provedených opatření.
• Zavést systém pro detekci a hlášení incidentů i metodiku pro reakci na hlášení o narušení bezpečnosti.
• Zabezpečit vývoj i údržbu svých informačních systémů a sítí.
• Identifikovat, hodnotit a řídit dodavatele v rámci dodavatelského řetězce.
• Implementovat pravidla a postupy řízení kontinuity podnikání (Business Continuity Management).
• Efektivně implementovat technická řešení pro zajištění ochrany klíčové IT infrastruktury firmy v návaznosti na vyhodnocení rizik.

Tři základní kameny analýzy rizik: aktiva, hrozby a zranitelnosti

Pro analýzu rizik v nejjednodušší podobě budeme potřebovat několik vstupů. Analýza rizik je v základu prostým násobením tří hodnot: hodnoty aktiva, hodnoty zranitelnosti a hodnoty hrozby.

Aktiva

V rámci směrnice NIS2 je „primární aktivum“ chápáno jako klíčová služba nebo produkt, který vaše firma nabízí, resp. je klíčové pro zajištění standardního fungování vaší firmy. Tímto způsobem je aktivum chráněno kybernetickým zákonem. Příklady takových aktiv mohou zahrnovat důležité služby, jako jsou dodávky elektřiny, zdravotní péče nebo bankovní služby.  

Kromě toho existují i podpůrná aktiva, která jsou nutná pro poskytování těchto služeb, tedy hardware a software, zaměstnanci, a dokonce i fyzické budovy. Tyto podpůrné prvky jsou také důležité pro udržení bezpečnosti a kontinuity vašich klíčových služeb.

Prvním zásadním vstupem do analýzy rizik je určení hodnoty aktiv. Na hodnocení aktiv lze nahlížet z hlediska dostupnosti, důvěrnosti a integrity. Zachování dostupnosti je klíčovým parametrem pro určení, v jakém čase (kvalitě) musí být data dostupná uživatelům, kteří je potřebují pro svoji činnost. Důvěrností společnosti zajišťují to, že informace jsou přístupné jen tomu, kdo je oprávněn se s nimi seznamovat, a naopak zabraňují přístupu neautorizovaným osobám. A pro zachování integrity je nutné, aby nedocházelo k neautorizované modifikaci dat a informací. 

Hrozby

Hodnota hrozby reprezentuje potenciál nebo intenzitu hrozby. Tou může být jakýkoliv faktor nebo akce, která může způsobit škodu na aktivu. Například kyberútoky, fyzické škody, selhání systému, zneužití dodavatelského řetězce, využívání technologií firem z rizikových zemí, nedostatečné personální kapacity a další. Hodnota hrozby je často vyjádřena jako frekvence nebo pravděpodobnost, že daná hrozba nastane a způsobí škodu.

Zranitelnosti

Hodnota zranitelnosti vyjadřuje míru, do jaké je aktivum zranitelné vůči různým hrozbám. Jinými slovy je to pravděpodobnost, že dané aktivum bude poškozeno nebo zneužito v důsledku působení hrozby. Například starý neaktualizovaný software může mít vyšší hodnotu zranitelnosti kvůli známým bezpečnostním chybám. 

Pokud jste analýzu rizik nikdy nedělali, můžete si pomoci metodickými materiály (například od NÚKIBu). Nemusíte se jich ale nutně držet a je možné si vymyslet jednodušší systém. Měli byste ale mít a znát metodiku, kterou použijete. Měli byste jí věřit a být schopní si ji obhájit při následném zkoumání ze strany úřadů.

Analýza rizik je klíčovým nástrojem i pro management společnosti. Pomocí této analýzy může management lépe pochopit, jaká opatření jsou potřebná pro minimalizaci rizik, a může efektivně rozhodovat o alokaci zdrojů, rozpočtu a priorotizaci implementace opatření. To umožňuje nejen zlepšit bezpečnostní opatření, ale také zvážit ekonomickou stránku těchto investic. Vedení firmy může lépe určit, zda náklady na konkrétní opatření odpovídají potenciálnímu snížení rizika a zda je taková investice ekonomicky opodstatněná a smysluplná.

Co si z článku odnést?

• Analýza rizik je nutným předpokladem pro vytvoření efektivní kyberbezpečnostní strategie.
• Řízení rizik ve firmě zajišťuje, aby byla efektivně implementována organizační a technická opatření, a tedy minimalizována rizika narušení důvěrnosti, dostupnosti a integrity dat.
• Nová směrnice NIS2 ukládá analýzu rizik (včetně její průběžné aktualizace) povinně podnikům, které pod tuto směrnici spadají. Nicméně analýzu by měly řešit i firmy, kterých se NIS2 netýká.

Petra Javornická
Marketingový specialista pro B2B