BLACK FRIDAY - Největší IT akce roku. Získej až 80 % kreditů navíc nebo využij slevy až 80 % na e-learning. Ale pozor, akce platí pouze do 30. 11. 2024.
NOVINKA: Staň se datovým analytikem od 0 Kč a získej jistotu práce, lepší plat a nové kariérní možnosti. Více informací:

Lekce 28 - Analýza stavu a řízení rizik podle NIS2 Nové

Předchozí
Další

V předchozí lekci, Evropská regulace kyberbezpečnosti NIS2, jsme se seznámili se směrnicí NIS2.

V tomto tutoriálu kyberbezpečnosti se zaměříme na první praktický krok požadavků NIS2: analýzu stavu organizace a řízení rizik. Smyslem je zjistit, jak prostředí skutečně funguje, které části jsou důležité a co může ohrozit jejich provoz.

Ukážeme si, jak zmapovat klíčové prvky organizace a jak popsat rizika, která se jich týkají. Díky tomu získáme přehled, který tvoří základ pro všechna další bezpečnostní opatření.

Vstupní analýza a její role v NIS2

Požadavky směrnice NIS2 se vztahují na organizace, které provozují služby zásadní pro společnost nebo ekonomiku. Stejný postup však může využít jakákoli firma, která chce mít bezpečnost pod kontrolou a pracovat s riziky systematicky.

Vstupní analýza – ilustrační obrázek - Kybernetická bezpečnost a NIS2

Prvním krokem při naplňování požadavků je vstupní analýza, jejímž cílem je popsat, jak organizace skutečně funguje a jaké prvky jejího prostředí je potřeba chránit. Nejde o formální dokument, ale o praktický nástroj, který pomáhá pochopit, z čeho se prostředí skládá, kde mohou vznikat slabiny a jaké důsledky by mohly mít.

Do vstupní analýzy obvykle patří přehled používaných informačních systémů, datových toků, důležitých procesů, technických prostředků i provozních závislostí. Výstupem vstupní analýzy je základní orientace v tom, jak organizace funguje a kde se nacházejí klíčové části jejího provozu.

Identifikace aktiv

Po zmapování prostředí následuje identifikace aktiv, tedy prvků, které mají pro organizaci skutečnou hodnotu a je nutné je chránit. Aktivem může být vše, co je důležité pro provoz služeb, pro ochranu dat nebo pro plnění povinností vůči zákazníkům a partnerům.

Mezi aktiva nejčastěji patří:

  • informační systémy,
  • databáze,
  • aplikace,
  • servery,
  • síťová infrastruktura,
  • pracovní stanice a další technické prostředky.

Aktivem jsou však také procesy, know-how, dokumentace nebo samotní zaměstnanci, kteří s informacemi pracují. Stejně důležité mohou být i služby dodavatelů, na kterých je provoz organizace závislý.

Cílem této fáze je určit, která aktiva jsou pro organizaci nejdůležitější a jak významnou roli hrají v jejím provozu. Díky tomu lze později lépe posoudit dopady jejich případného narušení.

Identifikace hrozeb

Jakmile máme přehled o tom, která aktiva jsou pro organizaci důležitá, můžeme určit hrozby, které je mohou ohrozit. Hrozbou je jakákoli událost nebo okolnost, která může narušit dostupnost, důvěrnost nebo integritu informací, služeb či systémů.

Hrozby mohou mít různou podobu. Patří sem například útoky zvenčí, jako je phishing, ransomware nebo DDoS, ale také chyby způsobené zaměstnanci, selhání technologií, výpadky dodavatelů nebo fyzické události typu požár, povodeň či dlouhodobý výpadek energií.

Užitečné je zaměřit se na situace, které jsou pro dané prostředí reálně možné a mohly by mít citelný dopad na provoz.

Cílem této fáze není sestavit nekonečný seznam všech představitelných scénářů, ale identifikovat ty hrozby, které jsou skutečně relevantní a mohou ohrozit klíčová aktiva. Díky tomu se organizace může soustředit na to, co je zásadní pro její stabilitu a bezpečnost.

Identifikace zranitelností

Spolu s hrozbami je potřeba popsat také zranitelnosti, tedy slabá místa, která mohou hrozby využít. Zranitelnost může vzniknout v technologiích, procesech i lidském chování a často je důsledkem nedostatečných kontrol nebo chybějících pravidel.

Typickými příklady zranitelností jsou:

  • neaktuální software,
  • slabá nebo sdílená hesla a chybějící vícefaktorové ověřování,
  • nedostatečně nastavená oprávnění,
  • nezabezpečené síťové prvky nebo služby, které se přestaly udržovat.

Zranitelnosti mohou vycházet také z nedostatku školení, nezkušenost zaměstnanců nebo nepřehledná dokumentace, která komplikuje správu prostředí.

Zatímco hrozba představuje možnou událost, zranitelnost určuje, jak snadno může být aktivum ohroženo. Teprve propojení hrozeb a zranitelností umožňuje správně odhadnout, jak velké riziko pro organizaci představují.

Řízení rizik

Když známe klíčová aktiva, možné hrozby i slabá místa, můžeme přejít k vlastnímu řízení rizik. V této fázi určujeme, jak významná jednotlivá rizika jsou a které situace by mohly mít největší dopad na provoz. Cílem je stanovit jejich prioritu a rozhodnout, čím se organizace musí zabývat jako prvním.

Vyhodnocení rizik

Riziko se obvykle hodnotí podle dvou hlavních faktorů: pravděpodobnosti, že k určité události dojde, a dopadu, který by tato událost měla na fungování organizace.

Praktickým nástrojem je matice rizik, která umožňuje zařadit jednotlivé scénáře do přehledné tabulky. Kombinací pravděpodobnosti a dopadu vznikne celkové hodnocení rizika: nízké, střední, vysoké nebo kritické. To pomáhá určit, čím se zabývat ihned a co lze řešit s nižší prioritou.

Vyhodnocení rizik vytváří základ pro rozhodování o tom, která opatření se vyplatí zavést a jak rychle je potřeba jednat. Smyslem není popsat všechny možné události, ale soustředit se na ty, které jsou reálně pravděpodobné a mají potenciál organizaci významně poškodit.

Nakládání s riziky (mitigation plán)

Po vyhodnocení závažnosti jednotlivých rizik následuje rozhodnutí, jak s nimi naložit. Cílem je zvolit taková opatření, která sníží pravděpodobnost incidentu nebo jeho dopady na přijatelnou úroveň. Směrnice NIS2 očekává, že organizace budou s riziky pracovat systematicky a že své rozhodnutí vždy doloží.

Pro nakládání s riziky existují čtyři základní možnosti.

Schéma pro rozhodnutí, co udělat s rizikem - Kybernetická bezpečnost a NIS2

Riziko můžeme:

  • eliminovat – například ukončením provozu zbytečné nebo nebezpečné služby,
  • snížit – zavedením přiměřených technických a organizačních opatření,
  • přenést – prostřednictvím pojištění, smluvního vztahu nebo externí služby,
  • akceptovat – pokud má riziko nízký dopad a jeho řešení by bylo nepřiměřené.

Výsledkem této fáze je mitigation plán, který pro každé riziko popisuje zvolený postup a uvádí, jak bude účinnost opatření ověřována. Plán musí být realistický, přiměřený velikosti organizace a snadno udržovatelný, aby mohl sloužit jako spolehlivý nástroj při řízení bezpečnosti.

Pravidelná revize rizik

Rizika se v čase mění stejně jako prostředí organizace, používané technologie i samotné hrozby. Proto je nezbytné, aby se analýza a mitigation plán pravidelně aktualizovaly. Směrnice NIS2 počítá s tím, že řízení rizik není jednorázový krok, ale průběžný proces, který musí odpovídat aktuální situaci.

Revize by měla proběhnout minimálně jednou ročně nebo kdykoli při významné změně prostředí – například při nasazení nových systémů, přesunu služeb do cloudu, reorganizaci, nebo když se objeví nová závažná hrozba. Stejně důležité je aktualizovat analýzu po každém incidentu, protože právě reálné události často odhalí slabá místa, která nebyla dříve zřejmá.

Smyslem revize je zajistit, aby opatření zůstala účinná, aby nevznikaly nové nekrytá rizika a aby organizace byla připravena reagovat na aktuální vývoj v oblasti kybernetických hrozeb.

Řízení rizik v reálné situaci

V e-shopu, který spravuje databázi několika tisíc zákazníků, si administrátor během běžné kontroly logů všimne opakovaných pokusů o přihlášení do administračního rozhraní. Přístupy přicházejí z IP adres, které firma nepoužívá, a jejich četnost postupně roste. Někdo se tedy zřejmě snaží získat neoprávněný přístup do systému.

Ilustrační obrázek praktického příkladu - Kybernetická bezpečnost a NIS2

Tím může dojít k ohrožení následujících aktiv firmy:

  • databáze zákazníků,
  • webserver a administrační rozhraní,
  • platební modul,
  • CRM, které e-shop využívá pro komunikaci a správu objednávek.

Z událostí vyplývá, že nejvážnější hrozbou je možnost získání přístupu do administrace.

Analýza nastavení odhaluje několik zranitelností. Administrace je dostupná z jakéhokoli místa na internetu, chybí vícefaktorové ověření (MFA), systém nevyvolává alerty při opakovaných neúspěšných pokusech, auditní logy jsou nedostatečné a neposkytují kvalitní záznamy pro zpětné vyhodnocení.

Administrátor vyhodnocuje pravděpodobnost jako střední a dopad jako vysoký — únik či změna dat tisíců zákazníků by měla vážné obchodní i právní důsledky. Riziko je tedy klasifikováno jako vysoké.

Přijatá opatření

Proto se firma rozhodne podniknout několik kroků, které dokážou riziko výrazně snížit. Zavede MFA pro administrátory a omezí přístup do administrace na povolené adresy pomocí IP whitelistu. Dále zpřísní dohled nad přihlašováním, upraví evidenci událostí a posílí kontrolu správy přístupů.

Opatření jsou zařazena do mitigation plánu a během krátké doby realizována. Po jejich zavedení se riziko přehodnocuje — pravděpodobnost útoku klesá, dopad se stává lépe kontrolovatelným a celkové riziko se snižuje na přijatelnou úroveň. E-shop tak získává lepší přehled o svém prostředí, posiluje ochranu zákaznických dat a zvyšuje svou odolnost vůči podobným incidentům v budoucnu.

Po šesti měsících e-shop provádí plánovanou revizi rizik, aby ověřil, zda jsou přijatá opatření stále účinná. Kontrola ukazuje, že došlo ke zlepšení bezpečnostních záznamů, a firma proto rozšiřuje log management a monitoring, aby měla ještě lepší přehled o aktivitách v systému. Současně zajišťuje doplnění školení administrátorů, aby byli lépe připraveni na podobné situace a uměli včas rozpoznat neobvyklé chování.

Závěr

V této lekci jsme si ukázali, jak probíhá vstupní analýza podle NIS2 a jak na ni navazuje řízení rizik. Popsali jsme klíčové prvky prostředí, možné hrozby i zranitelnosti a vysvětlili, jak rizika hodnotit a jak s nimi pracovat. Tento postup tvoří základ pro všechna další bezpečnostní opatření a umožňuje organizaci zaměřit pozornost na to, co je pro její stabilitu nejdůležitější.

V následující lekci, Technická a organizační opatření NIS2, si představíme klíčová technická a organizační opatření, která tvoří základ bezpečnosti podle NIS2. Doplníme i přehled rolí ve firmě, význam školení, dokumentace a pravidelného testování.


 

Předchozí článek
Evropská regulace kyberbezpečnosti NIS2
Všechny články v sekci
Kybernetická bezpečnost a NIS2
Přeskočit článek
(nedoporučujeme)
Technická a organizační opatření NIS2
Článek pro vás napsal Max Snítil
Avatar
Uživatelské hodnocení:
Ještě nikdo nehodnotil, buď první!
.
Aktivity