Přestože jsou malé a střední firmy v České republice stále častějším terčem kybernetických útoků, nadále majitelé a management podceňuje základní bezpečnostní opatření. Podle statistik jsou to právě menší organizace, na které se útočníci soustředí. Jsou totiž velmi snadným cílem a disponují potřebnými finančními zdroji pro platby výkupného, které se běžně pohybuje od tří bitcoinů výše (tedy 4,5 milionu výše). Podle posledních dat dokonce tvoří 54 procent kyberútoků vedených cíleně na malé a střední firmy, zatímco na velké je to jen 7 procent (Zdroj: Czechcrunch, 06/2024). 

Menší organizace v ČR mylně předpokládají, že nespravují dostatečně zajímavá aktiva, aby se staly atraktivním cílem pro povedený kybernetický útok. Aktéry hrozeb nezajímá přitom tolik odvětví činnosti, jako spíše úroveň zabezpečení pro získání přístupů do počítačů. 

Útočné aktivity – formou provedení i výběrem vektorů – prochází neustálou evolucí. Zneužití AI, komunitní zázemí na darknetových fórech, masivní odliv digitálních identit a kradených údajů z koncových zařízení i sítí firem: to vše tvoří optimální mix pro úspěšně provedené „neviditelné“ útoky hackerů na tuzemské malé a střední podniky. 

Klíčovým faktorem bezpečnosti IT/OT v organizaci je tedy „viditelnost“. Tzn. využití monitorovacích nástrojů, které nám umožňují vidět, co se děje v naší síti, na koncových bodech i cloudu. Monitorovací a analytické systémy služeb, serverů, koncových zařízení a provozu na síti jsou stále více požadovaným bezpečnostním prvkem, kterým se můžou firmy účinně bránit rostoucí agresivitě a rafinovanosti pokročilých kybernetických útoků.

K dosažení potřebné viditelnosti atypických a škodlivých jevů v prostředí malých a středních firem by měli majitelé a management organizací zvážit, zda preferují vlastní komplexní bezpečnostní dohled (prostřednictvím Security Operations Center/SOC), nebo přistoupí k detekci hrozeb prostřednictvím outsourcovaných služeb monitoringu a detekce.

Co je dobré vědět a jakou variantu účinné ochrany před kybernetickými hrozbami zvolit?

1. CO JE VLASTNĚ SECURITY OPERATIONS CENTRE (SOC) A JAKOU ROLI HRAJE V RÁMCI MALÉ A STŘEDNÍ FIRMY?

Security Operations Centre (SOC) je centrální jednotka, která monitoruje a analyzuje bezpečnostní stav organizace. SOC zajišťuje detekci, reakci a prevenci bezpečnostních incidentů. SOC pomáhá malým a středním firmám následně:

  • Chrání citlivá data a systémy proti kybernetickým hrozbám.
  • Zajišťuje soulad s bezpečnostními standardy a předpisy.
  • Poskytuje včasnou detekci a reakci na bezpečnostní incidenty, což minimalizuje potenciální škody.

2. JAKÉ JSOU HLAVNÍ VÝZVY SPOJENÉ S IMPLEMENTACÍ SOC V MALÝCH A STŘEDNÍCH FIRMÁCH?

Hlavní výzvy zahrnují:

  • Omezené finanční zdroje pro nákup potřebných technologií a nábor kvalifikovaných pracovníků.
  • Nedostatek specializovaných znalostí a zkušeností v oblasti kybernetické bezpečnosti.
  • Potřeba integrovat SOC s existujícími IT systémy a procesy.
  • Udržování aktuálních bezpečnostních opatření a reagování na neustále se vyvíjející hrozby.

3. JAKÉ ZÁKLADNÍ PRVKY BY MĚL OBSAHOVAT SOC V MALÉ NEBO STŘEDNÍ FIRMĚ?

SOC pro SME´s by měl obsahovat následující prvky:

  • Monitorovací a detekční nástroje: Nástroje pro monitorování síťového provozu a detekci anomálií, jako jsou SIEM systémy (tj. řízení bezpečnostních informací a událostí)
  • Incident response plán: Definovaný proces a tým pro reakci na bezpečnostní incidenty.
  • Zabezpečení endpointů: Ochrana koncových zařízení pomocí antivirových programů a EDR systémů.
  • Školení zaměstnanců: Pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti.
  • Bezpečnostní politiky a procedury: Jasně definované bezpečnostní politiky a postupy.

4. JAKÝM ZPŮSOBEM MŮŽE MALÁ NEBO STŘEDNÍ FIRMA EFEKTIVNĚ VYUŽÍT OUTSOURCOVANÉ SOC SLUŽBY?

Outsourcované SOC služby mohou SME pomoci:

  • Snižovat náklady spojené s budováním a provozem interního SOC.
  • Získat přístup k odborným znalostem a nejmodernějším technologiím.
  • Umožnit soustředění interních zdrojů na hlavní obchodní činnosti.
  • Zajistit nepřetržitý monitoring a rychlou reakci na bezpečnostní incidenty.

5. JAKÉ METRIKY A UKAZATELE VÝKONNOSTI (KPIS) JSOU DŮLEŽITÉ PRO MĚŘENÍ ÚSPĚŠNOSTI SOC?

Klíčové metriky a ukazatele výkonnosti zahrnují:

  • Mean Time to Detect (MTTD): Průměrný čas potřebný k detekci incidentu.
  • Mean Time to Respond (MTTR): Průměrný čas potřebný k reakci na incident.
  • Počet detekovaných incidentů: Celkový počet bezpečnostních incidentů detekovaných za určité období.
  • False Positive Rate: Procento falešných poplachů z celkového počtu detekovaných incidentů.
  • Compliance Level: Míra shody s bezpečnostními normami a předpisy.

6. JAKÝM ZPŮSOBEM MŮŽE SOC PŘISPĚT K CELKOVÉ BEZPEČNOSTNÍ STRATEGII MALÉ, ČI STŘEDNÍ FIRMY?

SOC podporuje řízení informační bezpečnosti organizací následně:

  • Poskytuje centralizované a konzistentní monitorování a analýzu bezpečnostních událostí.
  • Umožňuje rychlou a efektivní reakci na bezpečnostní incidenty.
  • Pomáhá identifikovat a mitigovat rizika dříve, než se stanou závažnými problémy.
  • Přispívá k zajištění shody s regulacemi, normami a požadavky strategických odběratelů a zákazníků
  • Podporuje kontinuální zlepšování bezpečnostních procesů a politik.

7. JAKÉ MÁME DOPORUČENÍ PRO IMPLEMENTACI SOC V MALÝCH A STŘEDNÍCH FIRMÁCH?

  • Aplikujte postupný přístup: je vhodné začít s klíčovými komponentami a postupně rozšiřovat bezpečnostní dohled podle konkrétních potřeb a alokovaných zdrojů.
  • Pracujte s automatizací: Využívejte automatizační nástroje ke snížení manuální práce a zvýšení efektivity bezpečnostního dohledu
  • Školení je nutností: Investujte do pravidelného školení a zvyšování povědomí managementu a zaměstnanců o kybernetické bezpečnosti.
  • Klíčová je forma spolupráce: Využívejte služby externích odborníků a spolupracujte i s jinými oborovými firmami na sdílení znalostí a zkušeností z praxe.
  • Pravidelně vyhodnocujte: Průběžně vyhodnocujte a aktualizujte vlastní bezpečnostní postupy a technologie.

Partner sekce

Chci vědet víc

KONTAKTNÍ OSOBA

Pavel Vokáč

Místopředseda představenstva AMSP ČR

Pavel Vokáč se dlouhodobě v AMSP zaměřuje na problematiku digitalizace, podporu a rozvoj inovačních ekosystémů MSP (Malých a Středních Podniků) v souladu se strategiemi EU, ČR. Má 30letou zkušenost v odvětví AEC (Architecture, Engineering & Construction), v oblasti ICT služeb a aplikací, věnoval se strategiím Inteligentních měst (Policy Learning Platforms / PLP, ecosystemic urbanism) a projektovému a procesnímu zapojení do Cross Industries Alliances v českém a evropském kontextu.

Iniciátor projektu KYBEROBRANA.CZ, založení Digitálního Inovačního Hubu DIH TOURISM 4.0, zastupuje AMSP v projektu EDIH CTU (sektorové uplatnění AI pro MSP).

Email: vokac@amsp.cz