Vy se často ptáte,
my na tyto dotazy odpovídáme.
Kdo tedy vlastně má to GDPR na starosti? Čí je to kompetence?
Jedná se o multidisciplinární oblast, tudíž expert na procesy, IT bezpečnost a právo ve vztahu k GDPR.
Co je kybernetická bezpečnost?
Tak jako v práci asi před odchodem zavíráte okna, zamykáte hlavní dveře, možná máte zamčený šuplík a to nejdůležitější máte třeba v trezoru, možná máte i alarm, mříže, kamery. U kybernetické bezpečnosti je to podobné. Po skončení práce je třeba něco zavřít a zamknout. Ne všechna data je nutné zviditelňovat všem uživatelům. Existují lepší a horší zámky, jsou technologie, které vám pípnou na mobil v případě vloupání a jsou technologie, které ztěžují zcizení dat.
Proč se zabývat kybernetickou bezpečností?
Málokterá společnost se dnes obejde bez informačních technologií. Výpadek může být nepříjemný a drahý. Ztráta nebo dokonce odcizení dat může mít pro společnost velmi, rozsáhlé až likvidační následky.
Týká se mě to? Nejsem nijak zvlášť zajímavý.
Častý omyl. Masovou cílovou skupinou nejsou banky ani společnosti s unikátními patenty. Kybernetický prostor není nic záhadného a běžné principy zde fungují. Kdo je v běžném životě nejčastější cílová skupina útočníků? Pobočka banky, nebo špatně informovaný důvěřivý důchodce? Toto je v IT stejné.
Trendem je (v ČR velmi záhy bude) řešit bezpečnost v IT. Jak bude přibývat zabezpečených, bude se zvyšovat pravděpodobnost útoku na nezabezpečené. Začněte včas.
Trendem je (v ČR velmi záhy bude) řešit bezpečnost v IT. Jak bude přibývat zabezpečených, bude se zvyšovat pravděpodobnost útoku na nezabezpečené. Začněte včas.
Kdo je útočník a co je jeho cílem?
Peníze jsou až na prvním místě. Útočník je potenciálně každý uživatel internetu, který se chce nějak zviditelnit, nebo ukrást nějaké peníze. Návody na „položení“ serverů jsou běžně dostupné na blozích a Youtube, to je spíše ta teenagerovská výzva, aby se mohl pochlubit, že na dva dny odstavil nějaký podnik.
Druhým typem útočníka může být obyčejný zloděj, nebo představitel tradiční mafie, který chce ukrást vaše peníze, nebo výpočetní výkon. Existují skripty, viry, podvodné aplikace, e-maily atd., které buď napadnou počítač a používají jeho výkon třeba k dalším útokům, nebo k tzv. těžení kryptoměny, nebo zašifrují data v síti a požadují výkupné. Dříve výkupné za to, že Vám dají dešifrovací klíč, dnes často výkupné za to, že nenahlásí na úřad, že jste patřičným způsobem neochránili osobní a citlivé údaje.
Třetím typem útočníka může být konkurence, které pomůže vás na pár dnů vyřadit. Nemusí jít o krádež, stačí na den shodit servery a opakovat co tři týdny.
Druhým typem útočníka může být obyčejný zloděj, nebo představitel tradiční mafie, který chce ukrást vaše peníze, nebo výpočetní výkon. Existují skripty, viry, podvodné aplikace, e-maily atd., které buď napadnou počítač a používají jeho výkon třeba k dalším útokům, nebo k tzv. těžení kryptoměny, nebo zašifrují data v síti a požadují výkupné. Dříve výkupné za to, že Vám dají dešifrovací klíč, dnes často výkupné za to, že nenahlásí na úřad, že jste patřičným způsobem neochránili osobní a citlivé údaje.
Třetím typem útočníka může být konkurence, které pomůže vás na pár dnů vyřadit. Nemusí jít o krádež, stačí na den shodit servery a opakovat co tři týdny.
Proč potřebuji specialisty?
V reálném světě máme vlastně tisíce let zkušeností se zabezpečením a výše uvedenou bezpečnostní strategii je schopen vymyslet kdokoliv. V kybernetickém prostoru je to jinak. Zde se zdravým selským rozumem bezpečnost řešit nedá. Je potřeba nejdříve získat zkušenosti v oblasti zabezpečení a jeho překonávání. To je zcela mimo uživatele. Bohužel to nestíhají ani běžní správci. Jejich role je udržet systém funkční a ideálně k tomu stihnout ještě jinou práci, není čas se vzdělávat v bezpečnostních trendech.
Zajišťuje mi můj stávající IT správce kybernetickou bezpečnost?
Dobrý správce drží systémy v chodu a stará se o řešení problémů vznikajících někde mezi klávesnicí a židlí.
Dobrý bezpečnostní specialista se snaží co nejvíce minimalizovat k systémům přístup. Ujišťuje se, že daný uživatel opravdu potřebuje k daným datům přístup. Když má uživatele někam pustit, ptá se, kdo má za rozhodnutí zodpovědnost a požaduje, aby byl přístup ideálně časově omezen třeba na trvání určitého projektu. Pravidelně požaduje po vedení nějaké školení, případně nákup bezpečnostních technologií, ideálně včetně odborné instalace a zaškolení dodavatelem dané technologie, při implementaci nového systému až otravně řeší rizika udělení oprávnění a integrace se stávajícími systémy. Kterému z nich se Váš správce spíše podobá?
Dobrý bezpečnostní specialista se snaží co nejvíce minimalizovat k systémům přístup. Ujišťuje se, že daný uživatel opravdu potřebuje k daným datům přístup. Když má uživatele někam pustit, ptá se, kdo má za rozhodnutí zodpovědnost a požaduje, aby byl přístup ideálně časově omezen třeba na trvání určitého projektu. Pravidelně požaduje po vedení nějaké školení, případně nákup bezpečnostních technologií, ideálně včetně odborné instalace a zaškolení dodavatelem dané technologie, při implementaci nového systému až otravně řeší rizika udělení oprávnění a integrace se stávajícími systémy. Kterému z nich se Váš správce spíše podobá?
Zajišťuje mi můj stávající IT dodavatel kybernetickou bezpečnost?
Máte ve smlouvě jen systémovou správu a podporu uživatelů, nebo i řešení bezpečnosti? Chová se dodavatel podobně, jako v přechozím případě? Stalo se, že Vám rozmlouval báječný nápad na propojení systémů? Pokud si ani tak jejste jisti, nechte si udělat nezávislou analýzu. Pokud to dělají dobře, budete se Vám lépe usínat. Pokud to nedělají, máte prostor to začít řešit, než bude pozdě.
Svého IT dodavatele nemusíte měnit, jen mu ještě sežeňte partnera na kybernetickou bezpečnost.
Svého IT dodavatele nemusíte měnit, jen mu ještě sežeňte partnera na kybernetickou bezpečnost.
Zvládnu řešit kybernetickou bezpečnost sám?
Služební auto si také neopravujete sami na dvorku. Něco je přeci jen lepší koupit jako profesionální službu a kybernetická bezpečnost do této kategorie rozhodně patří.
Je potřeba se na penetrační testy připravit?
Není potřeba se nijak připravovat. Testujeme reálné prostředí zákazníka, a pokud byste se na testy připravovali, mohlo by to zkreslit výsledky analýzy.
Omezí nás penetrační testy v provozu?
Penetrační testování vás v provozu neomezí. Testy neobsahují DDOS útoky, ani žádné invazivní procesy.
Jak dlouho trvají penetrační testy?
Testy prováděné u zákazníka trvají přibližně 4 hodiny.
Jak dlouho trvá zpracování bezpečnostní analýzy?
Zpracování bezpečnostní analýzy trvá přibližně 1 – 2 týdne v závislosti na velikosti testované infrastruktury.
Potřebujeme mít vlastní server pro Safetica DLP?
Program Safetica vyžaduje instalaci serveru. Ten ale nemusí být v infrastruktuře zákazníka, ale dá se pronajmout u naší sesterské firmy MyCom Solutions jako službu.
Jaké operační systémy Safetica MDM podporuje?
Safetica Mobile podporuje všechny operační systémy od iOS, přes Android, až po Windows Mobile.
Potřebuje naše společnost (firma) vůbec roli DPO?
DPO je vždy přidaná hodnota, ale nutný je pro společnosti které zpracovávají “velké” množství dat nebo spadají do jedné z kategorii viz článek č. 37 GDPR.
Jakých dat se to vlastně týká? (fyzické vs. elektronické)
Všech.
Proč je kolem GDPR takové halo, když stačí, aby právníci připravili pár dodatků ke smlouvám?
Jen toto nestačí. Právo je pouze jednou z částí (další jsou procesy, IT infrastruktura, atd.).
Je lepší outsourcovat celé GDPR na externí subjekt nebo udělat vše interně ve firmě?
Externí subjekt zaručí nestrannost.
Nebude lepší a jednoduší někoho od nás z firmy poslat na školení a udělat si celé “GDPR” sami?
Určitě ne. Jedno nebo více školení nebude stačit k obsáhnutí komplexnosti celého tohoto nařízení.