cysensic-novinky-03-03

Audit řízení kybernetické bezpečnosti je základ

by kyberbezpečnost

Zákon a vyhláška o kybernetické bezpečnosti vznesly pro mnoho firem otázku, zda je jejich úroveň zabezpečení nejen na kvalitní úrovni, ale také v souladu se zákonem. Pokud si nejste jistí, potom je nejlepším řešením ověření současného stavu odborníky nebo si udělejte vlastní posouzení stavu s pomocí intuitivního průvodce v nástroji cysensic. 

Smyslem auditu je zjištění aktuálního stavu nastavení systému řízení bezpečnosti ve společnosti. Tento stav je porovnán se zákonem o kybernetické bezpečnosti (Zákon č. 181/2014 Sb.) a vyhláškou o kybernetické bezpečnosti (Vyhláška č. 82/2018 Sb.) ve smyslu naplnění legislativních požadavků s důrazem na rozumný rozsah řešení a nejlepší praxi. Na základě nalezených zjištění jsou poté zákazníkovi navrženy nápravné kroky vedoucí k jejich nápravě.

Projekt probíhá ve dvou hlavních fázích. V první fázi je analyzován současný stav řízení kybernetické bezpečnosti v organizaci. Analýza současného stavu zahrnuje zejména:

  • posouzení začlenění a pozice organizační složky zodpovědné za řízení kybernetické bezpečnosti v rámci organizace,
  • posouzení správnosti alokace bezpečnostních rolí,
  • rozsah a míru detailu řídící dokumentace,
  • přehled a popis relevantní procesní dokumentace,
  • rozsah a obsah relevantních aplikovaných opatření,
  • popis externích omezujících faktorů.

Součástí první fáze je též posouzení bezpečnostních požadavků na dodavatele, kteří zajišťují dodávky nebo provozují klíčová technická aktiva organizace. Realizace první fáze probíhá formou aktivního studia relevantní podkladové dokumentace v oblasti kybernetické bezpečnosti, a následně formou workshopů s vedením organizačních jednotek minimálně ICT a bezpečnosti, případně jimi pověřenými pracovníky.

Ve druhé fázi dochází k vypracování výstupních zpráv (zpráva popisující aktuální stav a rozdílová analýza zejména vůči legislativě reprezentované požadavky Vyhlášky o kybernetické bezpečnosti. Následně jsou zpracována doporučení dalšího postupu.

cysensic-novinky-01-01

Co o vás vědí hackeři a možná i konkurence

by kyberbezpečnost

Víte, co všechno se o vaší společnosti dá zjistit, ať už na volně přístupném internetu nebo na dark webu? Které z těchto informací se dají využít nebo případně zneužít hackery nebo konkurencí? Pokud ne, a rádi byste to zjistili, tak si můžete udělat vlastní automatizovaný informační screening v nástroji cysensic.

Se stále rostoucím počtem kybernetických útoků a vzrůstající digitalizací společností je vhodné realizovat kroky, které mohou významným způsobem snížit pravděpodobnost úspěchu kybernetického útoku na společnost. Jedním z těchto kroků je pravidelné provádění identifikace slabin firemního prostředí formou skenování společnosti a vytvoření tzv. digitálního profilu společnosti formou zpravodajství z otevřených zdrojů (OSINT). Na základě takto získaných informací je možné identifikovat potenciální vektory útoku, které by mohl identifikovat a následně využít i útočník, a provést jejich dodatečné zajištění pro zvýšení obranyschopnosti společnosti.

Pro identifikaci slabin a vytváření digitálního profilu společnosti jsou využívány metody screeningu, tedy profilování společnosti, na jehož základě je možné vytvořit expoziční skóre společnosti a následně identifikovat, jak moc je společnost silná/slabá s ohledem na publikované nebo uniklé informace v porovnání s obecnou situací v podobném segmentu.

V rámci screeningu jsou mimo veřejně dostupných zdrojů, které jsou vytěžovány pomocí technik Google Dork a formou vyhledávání informací v metadatech a na veřejných úložištích, procházeny i sady neveřejných zdrojů Dark a Deep webu. Pro sběr sensitivních informací jsou využívány standardy reflektující fázi Initial Recon.

Během sestavování digitálního profilu společnosti a souvisejícího profilování dochází k identifikaci relevantních, zneužitelných či využitelných informací. Ze získaných informací je vytvořena mapa artefaktů, slabin nebo chyb v konfiguraci, které by mohl potenciální útočník zneužít při přípravě a plánování kybernetického útoku na společnost. Součástí služby je také podpora pří stanovování patřičného způsobu ochrany pro identifikované bezpečnostní hrozby.

V rámci projektu jsou vyhledávány i další citlivé informace o společnosti a jejích zaměstnancích, jako například přístupy do systémů, emailů a do domény (uniklé identity a hesla). Nezřídka kdy dochází i k odhalování uniklých vnitropodnikových informací, které by neměly být veřejně dostupné.