Co přinesl letošní ročník CIS Compliance Summit

Na obrázku zleva doprava: Klaus Veselko (ředitel CIS - Certification & Information Security Services GmbH), Helmut Leopold (vedoucí Centra pro digitální bezpečnost AIT - Rakouský technologický institut), Thomas Bleier (auditor CIS a jednatel B-SEC better secure KG), Erich Dröscher (expertní bezpečnostní manažer Raiffeisen Bank International) © Anna Rauchenberger

Bezpečnost provozních technologií (OT) byla hlavním tématem CIS Compliance Summitu, který se konal 20. září 2022 v Austria Trend Hotel Savoyen ve Vídni. Toto téma je stále výbušnější, protože provozní technologie průmyslových podniků, energetických společností, nemocnic a dalších institucí se do hledáčku kybernetických zločinců dostávají stále častěji. "Útočníci vždy hledají nejslabší místa svých cílů. Proto je naprosto nezbytné mít celkové koncepce obrany, které integrují IT a OT bezpečnost, a ne pouze selektivní opatření," tak by se dalo shrnout motto, které přibližně 250 účastníkům setkání představil generální ředitel CIS Klaus Veselko. Špičkoví řečníci a řada dalších odborníků poskytli tipy, jak je úspěšně realizovat.

Na CIS Compliance Summitu se každoročně diskutuje o kompatibilních a praktických přístupech v oblasti bezpečnosti, ochrany osobních údajů a kontinuity podnikání. Obsah oborové akce, která se konala 20. září 2022 ve Vídni, byl zaměřen na bezpečnost provozních technologií (OT). 17 řečníků z oblasti byznysu a vědy se na pódiu podělilo o své zkušenosti s tímto a dalšími žhavými bezpečnostními tématy a zároveň vysvětlilo, proč Internet of Everything potřebuje Security of Everything. Pozvání na zavedené oborové setkání přijalo přibližně 250 účastníků z celého Rakouska a sousedních zemí, kteří si vyměnili názory se zástupci bezpečnosti, manažery informační bezpečnosti a vedoucími pracovníky ze všech odvětví. Na akci, která se poprvé konala jako celodenní, byl účastníkům nabídnut také široký doprovodný program v podobě networkingu s 16 vystavovateli v inovační zóně, dvě klíčové přednášky a "Dlouhá noc bezpečnosti".

Klaus Veselko, výkonný ředitel akreditované certifikační organizace CIS - Certification & Information Security Services GmbH, která se specializuje na informační bezpečnost, ochranu dat, cloud computing, IT služby, datová centra a řízení kontinuity podnikání, vysvětlil ve svém úvodním projevu význam této problematiky:

"V minulosti nebyla bezpečnost OT téměř žádným problémem, protože neexistovala žádná provozní technologie připojená k internetu. Dnes jsou všechny počítače a téměř všechny stroje připojeny k podnikovým sítím a ty jsou zase připojeny k internetu." Proto každé zařízení průmyslového podniku, nemocnice, energetické společnosti nebo jiné organizace představuje potenciální bezpečnostní riziko, které je třeba strategicky chránit.

Jak se digitální systémy stávají bezpečnějšími

Jedním z hlavních řečníků na této akci byl Helmut Leopold, vedoucí Centra pro digitální bezpečnost (Digital Safety & Security) AIT - Rakouského technologického institutu, největší rakouské neuniverzitní výzkumné instituce. Poukázal mimo jiné na specifické vlastnosti provozních technologií: "Pokud vezmeme jako příklad například letadlo, pak je zcela  zřejmé, že jej nelze jednoduše aktualizovat v pátek večer, jak je to běžné v kancelářském IT. V odvětví OT je proto rozšířená údržba na dálku přes internet, která je sice obvykle levnější, ale zároveň je zranitelná vůči kybernetickým útokům."

Aby byly digitální systémy obecně bezpečnější, doporučuje Leopold mimo jiné zavedení následujících bodů: Digitální systémy by měly být od počátku konstruovány tak, aby byly odolné vůči kybernetickým útokům. Velmi účinné při této obraně bývá využití umělé inteligence. V případě cílených ochranných mechanismů by měla být rovněž posílena mezinárodní výměna údajů a informací. V neposlední řadě je důležitým přístupem také osvěta a školení zaměstnanců.

Pokyny k zajištění bezpečnosti OT

Celkově se akce nesla v duchu konstatování, že selektivní opatření v oblasti bezpečnosti OT nebudou nikdy dostačující, resp. v dnešním prostředí jsou dokonce zcela nedostačující. Důležitým vodítkem na cestě ke komplexní koncepci bezpečnosti se tak ukázaly být normy. Ústředním bodem v oblasti průmyslové automatizační techniky je řada norem IEC 62443, jak zdůraznil Thomas Bleier, jednatel společnosti B-SEC better secure KG a auditor CIS: "Norma IEC 63442 slouží jako reference pro současný stav techniky v dané oblasti. To se týká například výběrových řízení, jednání nebo znaleckých posudků. Kromě toho v současné době probíhají evropské aktivity zaměřené na zavedení bezpečnostních certifikátů pro IT produkty. IEC 62443 bude pravděpodobně sloužit jako základ pro certifikační systémy v této oblasti," uvedl.

Základní kámen celkové strategie

Pro mnoho společností se nedílnou součástí jejich strategie stala také certifikace podle mezinárodní normy pro bezpečnost informací ISO 27001. Erich Dröscher, expertní bezpečnostní manažer Raiffeisen Bank International k tomu uvedl|: "Výhodou certifikace ISO 27001 pro RBI je další posílení důvěry zákazníků v naše služby prostřednictvím nezávislého důkazu profesionálně řízeného systému řízení bezpečnosti informací. Vnější pohled na naši společnost představuje základní kámen naší celkové strategie, jejímž cílem je dále prosazovat proces neustálého zlepšování."

Nové edice ISO 27001 a IS|O27002:2022

Robert Jamnik, vedoucí oddělení auditorských služeb CIS, ve své prezentaci nastínil důležité novinky, které v příštích letech ovlivní mnoho společností a organizací. Patří mezi ně revidovaná příloha A normy ISO 27001, nová norma ISO 27002:2022 včetně souvisejících opatření (kontrol) a také výhled na směrnici NIS 2.0, která se bude vztahovat na provozovatele základních služeb.

Nové přístupy ke škálovatelnému řízení rizik dodavatelského řetězce

Thomas Stubbings, MBA, výkonný ředitel společnosti Cyber Trust Services GmbH, představil přístupy pro škálovatelné řízení rizik v dodavatelském řetězci, včetně monitorování, dokumentace, bezpečnostních kontrol, správy zranitelností, strategií odolnosti nebo definice zásad a odpovědností s odpovídajícím školením zaměstnanců.

Zabezpečení cloudových služeb – používejte integrované bezpečnostní funkce správně!

Manfred Pascher, výkonný partner MP2 IT-Solutions: "Cloudové služby jsou obvykle dobře zabezpečeny již z výroby. Společně s naším vedoucím pracoviště MP2 ve Vídni a odborníkem na cloudové služby Michaelem Bendlem jsme na příkladu Microsoft 365 ukázali, jak lze cloudové služby několika úpravami ještě více zabezpečit a jak lze bezpečnost ve firmách ještě více zlepšit - protože kromě dostupnosti jsou hlavními cíli ochrany informací důvěrnost a integrita."

Provozní přínos díky systémové integraci řízení kontinuity podnikání s informační bezpečností

Eckehard Bauer, MSc, Business Development Manager pro řízení bezpečnosti, kontinuity podnikání, rizik, bezpečnosti, compliance a dopravy Quality Austria, zdůraznil význam komplexního pohledu na různé procesy a systémy řízení (např. s ohledem na bezpečnost práce a bezpečnost informací). Systém řízení je vždy investicí do konkurenceschopnosti podniků a pomáhá při strukturovaném rozhodování založeném na faktech.

Ochranná opatření musí být praktická

Letošní akce byla zakončena poněkud odlišnou hlavní přednáškou: Rakouský moderátor Tom Walek ve své přednášce "A race against time" odhalil paralely mezi svou expedicí na jižní pól a světem byznysu. Základní myšlenku jeho přednášky lze shrnout následovně: "Společnosti, které se již staly oběťmi kybernetického útoku, dobře vědí, že závodí s časem a že je důležité přijmout rychlá, promyšlená a praktická ochranná opatření. Kromě toho je zapotřebí dobře koordinovaný tým, který přesně ví, co je třeba udělat."

Na závěr se generální ředitel CIS Klaus Veselko věnoval lidskému zdroji chyb a vyzval k větší informovanosti: "Nedostatečně vyškolení zaměstnanci jsou často zodpovědní za vytvoření brány pro kybernetické útoky. Může jít o kliknutí na odkaz v e-mailu nebo o neautorizovaný USB flash disk. Někdy však dlouhá a složitá hesla vedou k tomu, že jsou zapsána na šanonech a jsou tak přístupná nepovolaným osobám. Komplexní myšlení o bezpečnosti informací musí být zakotveno v podnikové kultuře." Právě proto by měla být stanovená ochranná opatření nejen pečlivě dodržována v praxi, ale také lidsky proveditelná.