Bezpečnostní experti z technologické společnosti ANECT letos ve své predikci vývoje bezpečnostních hrozeb upozorňovali mj. na rostoucí význam zneužití přístupových oprávnění a zneužívání nástrojů umělé inteligence při phishingových kampaních i samotných útocích. V kombinaci s dalším pozorovaným trendem, kterým je rychlé zkracování doby mezi průnikem do firemní sítě a exfiltrací či zašifrováním dat, roste podle nich důležitost netechnických table-top cvičení, která simulují úspěšný hackerský útok nebo jiné krizové situace. Management si na nich totiž může v bezpečném prostředí vyzkoušet, jak bude firma schopná reagovat ve chvíli, kdy veškeré ochranné bariéry selžou.
„Table-top cvičení si můžeme představit jako obdobu požárního cvičení pro kybernetickou bezpečnost. Přestože všichni pracujeme v budovách, které splňují normy požární ochrany, mají detektory kouře či sprinklery, tak všechny mají také evakuační plán a tento evakuační plán se jednou za čas nacvičuje. Protože požár může vypuknout i při sebelepších preventivních opatřeních a v takové chvíli chladná a koordinovaná reakce pomáhá zachraňovat lidské životy,“ přibližuje Petr Mojžíš, Security Architect ve společnosti ANECT. V případě hackerského útoku může jít na příklad o to, jak vysoké budou finanční dopady incidentu, ale v extrémním případě také o přežití napadené společnosti.
„V rámci kybernetické bezpečnosti se všichni hodně zaměřujeme na začátek, tedy nepustit útočníky do organizace. Ale stejně důležitý je i opačný přístup, tedy vědět, co budu dělat, když vše selže,“ říká Radim Kozák, SOC Security Architect ve společnosti ANECT. Table-top cvičení si proto podle něj zaslouží stejnou pozornost jako penetrační testy: „Zatímco na digitálně vyspělejších trzích je poměrně běžné, že se tato cvičení pravidelně opakují, v Česku jsou spíše přehlížená a řada firem je nevyzkoušela ani jednou,“ upozorňuje.
Table-top jako kybernetická úniková hra pro vedení společnosti
Netechnická table-top cvičení jsou určená primárně širšímu vedení společnosti. Ve chvíli ohrožení nemůže management sedět v koutě a schovávat za technické pozice, ale musí převzít iniciativu a rychle rozhodovat o dalších krocích. Ostatně nový Zákon o kybernetické bezpečnosti, který začne platit ve druhé polovině letošního roku, počítá s tím, že za kybernetickou odolnost je zodpovědné právě vedení. Vedení firmy je tak v přeneseném smyslu zodpovědné za přijetí vhodných protipožárních opatření, zajištění funkčních hasicích přístrojů či za to, že někdo zpracuje evakuační plán. A také za to, že všichni vědí, jak se podle něj chovat.
Pravidelná cvičení reakce na incidenty jsou navíc nákladově efektivním multiplikátorem investic do kybernetické odolnosti. Předně testují funkčnost existujících plánů reakce, kontinuity a obnovy a spolu s tím také to, jestli jsou nejen dobře sepsané, ale jestli budou v případě potřeby také dobře provedené. Ukážou, zda všichni včetně nejvyššího vedení vědí, co mají dělat a kdy to mají dělat. „Kdo s kým komunikuje, kdo o čem rozhoduje? Co a kdy řekneme zaměstnancům a co zákazníkům a veřejnosti? To všechno jsou věci, které často v krizových plánech nenajdeme a které ve chvíli útoku způsobují zmatky, chyby a prodlení. Dobře provedené cvičení proto ve výsledku může znamenat rozdíl mezi dobře zvládnutým incidentem a poškozením pověsti, stejně jako pomoci zachránit miliony korun,“ říká Petr Mojžíš.
Cvičení musí být konkrétní a dobře naplánované
Z výše uvedeného také vyplývá, že table-top cvičení je určeno především pro firmy, které se skutečně starají o svoji kyberneetickou odolnost, mají zpracované krizové plány a tyto plány odpovídají situaci ve firmě a nejsou jen výsledkem formální přípravy na potenciální audit. „Simulace ověřuje, jestli klíčoví lidé ve firmě tyto plány znají, zda jsou funkční a kde mají slepá místa. Cvičení si samozřejmě může vyzkoušet jakákoli firma, ale pokud nemá tyto metodiky zpracované, výsledkem bude většinou pouze zjištění, že je skutečně potřebuje,“ upozorńuje Radim Kozák.
Samotné table-top cvičení začíná důkladnou přípravou. Nejprve je potřeba definovat, čeho by se mělo týkat, jakou situaci chceme vyzkoušet. Častým omylem firem je, že existuje jedno cvičení, které kompletně otestuje jejich připravenost na kybernetický útok. To ale není možné, protže v dnešní době existují desítky různých více či méně pravděpodobných scénářů a situací.
„I zde tak přichází na řadu jedna ze základních rad, které by si vedení firem mělo vzít k srdci: popřemýšlejte, jaké nejhorší scénáře vám hrozí, jaké služby a procesy jsou ve firmě klíčové a jak je chráníte. A poté lze vyzkoušet rekaci na situaci, že ochrana selže. U někoho to může být ransomware útok, u někoho jiného exfiltrace dat a hrozba jejich zveřejnění, někde to může být pouhá dlouhodobější nedostupnost služby nebo poškození pověsti skrze kompromitaci webu. Ale testovali jsme třeba také reakci na podezření z interní krádeže dat a další scénáře,“ říká Petr Mojžíš.
Poté se připraví scénář, který obsahuje základní incident a následně strom možných reakcí všech zainteresovaných osob včetně útočníků a to, jak konkrétní reakce ovlivní celý proces vypořádávání se s incidentem. Co se stane, když okamžitě zaplatíme? Co se stane, když zkusíme vyjednávat? Nebo co se stane, pokud začneme bez uvážení obnovovat data, aniž bychom zkontrolovali, zda naše zálohy nejsou kompromitované?
Typické chyby: chybí recovery plán, nejsou vyjasněné kompetence
Každé cvičení přitom podle Radima Kozáka odhalí řadu nedostatků, slepých míst a nedorozumění. „Ukáže se, kdo tápe, kdo přebírá odpovědnost a kde chybí návaznost. Také se ukáže, jaké aspekty nejsou vyjasněné a k čemu to může vést. Proto by simulace měla být vnímaná jako bezpečný prostor pro selhání. Může se ukázat, že někdo zanedbal své povinnosti a že ne vše funguje, jak má. Cvičení je šancí, jak odhalit chyby bez následků a napravit je dříve, než bude pozdě. Jeho výsledkem by měla být sada konkrétních opatření, nikoli hledání viníků,“ upozorňuje.
Mezi typické nedostatky, která podobná cvičení odhalí, patří nedostatečně zpracovaný plán obnovy dat. IT sice zálohuje data, segmentuje síť a sleduje síťový provoz, má seznam záloh a krizové kontakty. Chybí ale jasný proces a sekvence kroků, včetně doporučení, jak se v konkrétních situacích zachovat. To mimo jiné souvisí s tím, že firmy nemají jasně stanovené, co je pro ně z pohledu byznys kontinuity opravdu kritické, jak bylo zmíněno výše.
Ve chvíli útoku tak vedení a často ani techničtí specialisté nevědí, co z pohledu byznysové kontinuity musí běžet za každou cenu a bude se obnovovat jako první. Dalším slabým místem bývá právě komunikace a koordinace uvnitř firmy i navenek. Simulace tyto nedostatky nejen odhalí, ale umožní je také sepsat a napravit dříve, než půjde o všechno.
Table-top cvičení je dnes z pohledu efektivity nejlevnější způsob, jak odhalit chyby, selhání a nejasnosti dřív, než na ně ukáže ostrý útok. Směrnice NIS2 výslovně ukládá odpovědnost za kybernetickou připravenost vedení firem. „Kybernetická odolnost ale není o regulaci, je o firmě jako takové. A zde platí jednoduché pravidlo: v krizi nevyhrává ten, kdo má napsaný plán, ale ten, kdo si ho vyzkoušel a ví, co má dělat,“ uzavírá Petr Mojžíš.
