Uživatelé nemůžou za vaše … chyby
Po desetiletí se bralo v našem oboru kyberbezpečnosti za fakt, že lidská chyba představuje největší zranitelnost v organizační bezpečnosti, včetně axiomatického tvrzení, že "člověk je nejslabším článkem řetězu". Chci zpochybnit toto paradigma a předložit argumenty, že přisuzování bezpečnostních selhání lidskému faktoru zkresluje podstatu problému a snaží se vyvinit ty, kteří by za bezpečnost organizace měli být zodpovědní.
Analýza kill chainu kybernetických útoků jasně dokazuje, že úspěšné útoky vyžadují několik po sobě jdoucích selhání kontrolních mechanismů nad rámec počáteční lidské interakce. Když může zaměstnanec otevřením škodlivé přílohy spustit katastrofální incident, hlavní příčinou je nedostatečná bezpečnostní architektura a absence kontrolních mechanismů, nikoli lidská chyba.
Správně navržené bezpečnostní systémy musí zahrnovat strategii defense-in-depth, která počítá s běžným lidským chováním, místo aby spoléhala na dokonalý lidský výkon. Každá fáze řetězce útoku nabízí příležitosti pro technické kontroly k přerušení jeho progrese. Segmentace sítě, princip nezbytných privilegií, behaviorální analytika a automatizované reakce mohou efektivně blokovat hrozby bez ohledu na počáteční vektor průniku. Strategie Zero Trust není zcela novým konceptem, je spíše logickou evolucí a především správnou implementací známých konceptů v organizačním měřítku – ale pečlivě a důsledně.
Mapováním útočných scénářů proti kill chainu demonstrujeme, jak technická selhání kontrolních mechanismů, nikoli lidské jednání, určují úspěšnost útoku. Narativ o "lidské slabosti" se stal pohodlnou výmluvou pro nedostatečnou bezpečnostní infrastrukturu a implementaci.
Tento článek vyzývá obchodní lídry a členy představenstva, aby přesunuli pozornost od obviňování zaměstnanců směrem k vyvozování odpovědnosti IT a bezpečnostních týmů za komplexní ochranná opatření. Organizace musí vyžadovat a podporovat bezpečnostní programy, které chrání jak firemní aktiva, tak zaměstnance prostřednictvím robustních technických kontrol. Bezpečnostní týmy by měly být odpovědné za budování odolných systémů, které berou v úvahu normální lidské chování, místo aby očekávaly, že zaměstnanci budou sloužit jako primární bezpečnostní element – a nespoléhat na to, že v případě problému je alespoň na koho shodit vinu.
Pokud tento článek dosáhne jediného, a to ukončení tvrzení "Za všechno mohou uživatelé!", splnil svůj cíl, abychom se všichni mohli konečně soustředit na ochranu organizací – a to včetně jejich lidí.
Petr Špiřík
Partner v PwC, který vede Cybersecurity & Privacy v České Republice – a zároveň Managed Cybersecurity Services pro celý EMEA region. Historicky působil opakovaně jako CISO, včetně globální role Vice Presidenta pro Informační bezpečnost technologické firmy zalistované na burze. V rámci kyberbezpečnosti se zaměřuje nejvíc na oblasti bezpečnostních center SOC, incident response a threat intelligence – jak pro klienty, tak interně ale i v Research & Development roli. Věří na technologický pokrok a vzdělávání mladých lidí, a že je možné nad útočníky zvítězit. Dlouhodobě prosazuje že Medojed kapský je nejlepší zvíře na planetě a rád se o tom na IS2 pobaví s kýmkoliv.