Chybné určení kritických IT systémů v podniku vede k jejich slabému zabezpečení a v případě kybernetického útoku může skončit i vážným narušením obchodní kontinuity. Bohužel je to právě kritická infrastruktura, která bývá hlavním cílem kybernetických útočníků, a to ze zřejmých důvodů: výpadek fungování firmy přináší velké finanční ztráty či hrozby vysokých pokut a takto postižené firmy jsou ochotnější zaplatit výkupné. Zde jsou příklady útoků již z nedávné minulosti:

1. Souborové a databázové servery – ransomwarový útok NotPetya a ztráta miliard USD, když útočníci zašifrovali souborové servery s kritickými daty
2. Poštovní servery – Útok na SolarWinds díky přístupu k Exchange serverům a krádeži citlivých dat
3. Backup systémy – Ransomwarový útok zašifroval NAS zařízení se zálohami
4. Zákaznické databáze a CRM systémy – Prolomení obrany Equifax odhalilo citlivé informace 147 milionů lidí
5. ERP systémy – zranitelnost SAP RECON díky které získali útočníci přístup k podnikovým procesům a datům
6. Cloudová infrastruktura – Útok na infrastrukturu AWS firmy Capital One způsobil odhalení 100 milionů zákaznických záznamů
7. Finanční systémy – Bangladesh Bank díky útoku přišla o 1 miliardu dolarů
8. Webové aplikace a zákaznické portály – Útok na British Airways způsobil krádež údajů o kreditních kartách 380 000 zákazníků

Časté omyly při určování kritických systémů

Jak je vidět, ochrana kritických systémů se může stát i otázkou bytí či nebytí napadené organizace a poměrně častým důvodem může právě být jejich nesprávná identifikace. Pojďme si představit několik modelových scénářů, kde si firmy nepřesně určují svá kritická aktiva a vystavují se vysokému riziku:

Scénář 1
Management firmy provozující služby v oblasti automotive se domnívá, že jejich kritickým systémem je payroll (výplatní) systém. Ve skutečnosti firma tvořící největší obrat firma na opravách automobilů by nejvíce tratila na výpadku systému pro zásobování náhradních dílů.

Scénář 2
Typická společnost ze segmentu malých a středních podniků (SMB) má všechna důležitá data uložena na poštovním serveru. Firma má velmi dobře zajištěna koncová zřízení, ale mailserver není ani řádně zálohován, protože vedení jej nepovažuje za kritický systém.

Scénář 3
IT distributor a MSP poskytovatel přesně ví, jak zabezpečit své servery, sítě a koncová zařízení, ale má bezpečnostní mezery ve vlastním partnerském portálu, což je z finančního pohledu ten nejdůležitější firemní systém. Pokud by došlo k jeho výpadku, distributor by nesplnil SLA a tratil finance na vysokých penále.

Správná identifikace a zabezpečení

Podtrženo, sečteno, firmy se často domnívají, že jejich klíčové IT systémy jsou například mzdové účetnictví, souborové servery či koncová zařízení. Přitom těmi kritickými, bez kterých by se ve skutečnosti zastavil byznys, jsou spíše řešení typu logistických systémů, elektronické pošty či partnerských portálů. Zpoždění výplat o pár dní nebo ztráta tabletu jsou jistě nepříjemné, ale z pohledu byznysu je několikadenní výpadek komunikace se zákazníky, nedostupnost objednaných dílů či neschopnost dodržet SLA mnohem závažnější.

Podniky by proto měly umět kritické systémy správně určit, identifikovat jejich slabá místa, důsledně je zabezpečit, a tím výrazně snížit rizika kritických incidentů. Existuje řada nástrojů, které umožňují komplexní monitorování sítě, optimalizaci fungování firemních aplikací a analýzu v reálném čase. Další bezpečnostní nástroje zase umí proskenovat síť, inventarizovat využívaná zařízení a software, a instalovat chybějící záplaty. A stále častější a efektivnější jsou nástroje komplexní bezpečnosti využívající strojového učení a umělé inteligence, které dokáží agregovat a analyzovat data z dílčích systémů a zajistit komplexní bezpečnostní opatření pro ochranu kritické IT infrastruktury.

Jozef Kačala Autor je Vicepresident of Global Sales Engineering ve společnosti GFI Software.