V dnešnom digitálnom veku sa kybernetická bezpečnosť stáva neoddeliteľnou súčasťou každej modernej organizácie, či už ide o malé start-upy, stredne veľké firmy alebo globálne korporácie. Neustály nárast kybernetických útokov, sofistikovaných škodlivých kódov a technicky zdatných útočníkov vytvára prostredie, v ktorom je bezpečnosť viac než len luxus – je to nevyhnutnosť.

V tomto článku sa zameriame na akvizíciu primárne z pohľadu verejnej správy. Tu je dôležité podčiarknuť možnosť získavania technológií. Inštitúcie verejnej správy, môžu kupovať licencie na softvér, hardvér alebo iné technologické riešenia, ktoré im umožnia zlepšiť svoje produkty alebo služby.

Akvizícia v IT kontexte znamená proces získavania iných spoločností, technológií alebo služieb s cieľom posilniť vlastné technologické kapacity a konkurenčnú výhodu.

Proces môže zahŕňať:

Nákup iných IT spoločností: spoločnosť môže kúpiť menšiu IT firmu, aby získala jej technológie, odborné znalosti alebo trhový podiel.

Fúzie a akvizície: proces môže zahŕňať aj fúzie, kde dve spoločnosti spoja svoje zdroje a technológie, aby vytvorili silnejšiu entitu.

Úspešné udržiavanie vysokej úrovne kybernetickej bezpečnosti závisí od komplexného prístupu, ktorý pokrýva celý životný cyklus informačných systémov. Tento životný cyklus možno rozdeliť do troch hlavných fáz: akvizícia, vývoj a údržba. Efektívne riadenie týchto fáz pomáha organizáciám minimalizovať riziká a chrániť citlivé údaje, reputáciu i ekonomické záujmy.

Akvizícia

Akvizícia IT systémov, softvéru a infraštruktúry predstavuje prvý krok k vytvoreniu robustného bezpečnostného rámca. Už v tomto počiatočnom štádiu by sa mali brať do úvahy nielen funkčné a výkonnostné požiadavky, ale aj komplexné bezpečnostné kritériá, ktoré zohľadňujú súčasné normy, odporúčania a regulačné predpisy. Nesprávna voľba produktov alebo dodávateľov môže výrazne oslabiť bezpečnosť organizácie a vytvoriť priestor pre potenciálnych útočníkov.

Kroky a odporúčania pre efektívnu akvizíciu:

Dôkladné hodnotenie dodávateľov: Pred podpisom zmluvy je vhodné zistiť, či dodávateľ spĺňa bezpečnostné štandardy, akými sú ISO/IEC 27001 alebo NIST Cybersecurity Framework. Overenie referencií a skúseností s podobnými projektmi pomáha znížiť riziko spolupráce s menej spoľahlivými partnermi.

Bezpečnostné certifikácie a audity:

Preferovať produkty a služby, ktoré boli preverené nezávislými audítormi. Využitie dodávateľov s osvedčeniami (napr. Common Criteria) zvyšuje istotu, že nakupované riešenia sú odolné voči bežným hrozbám.

Zahrnutie bezpečnostných požiadaviek do zmlúv:

Konkrétne bezpečnostné požiadavky, SLA (Service Level Agreements) a penalizácie za nedodržanie bezpečnostných štandardov by mali byť súčasťou zmluvných podmienok. Takýto prístup motivuje dodávateľov k dôslednejšiemu prístupu k bezpečnosti.

Vývoj

Vývoj softvéru a IT systémov je srdcom digitálnej transformácie každej organizácie. Pri tvorbe nových aplikácií, webových portálov či integrovaných systémov je kľúčové, aby bezpečnosť nebola dodatočnou myšlienkou, ale základným princípom od samého začiatku. Tento koncept, známy ako Security by Design, zdôrazňuje, že bezpečnostné aspekty by mali byť integrované do všetkých fáz vývoja, testovania a nasadzovania.

Odporúčané kroky počas vývoja:

Školenia a osveta vývojárov: Investícia do bezpečnostných školení zabezpečí, že vývojári budú poznať aktuálne hrozby, bežné exploity (napr. SQL injection, XSS, CSRF) a najlepšie praktiky, ako im predchádzať. Aj pravidelné interné workshopy a e-learningové kurzy môžu pomôcť udržať vysokú úroveň bezpečnostného povedomia.

Bezpečnostné testovanie: Vykonávanie penetračných testov, kódových auditov a statickej/dynamickej analýzy kódu je kritické. Tieto testy pomáhajú odhaliť zraniteľnosti ešte predtým, než útočníci získajú príležitosť ich zneužiť. Moderné nástroje na SAST (Static Application Security Testing) a DAST (Dynamic Application Security Testing) pomáhajú vývojárom identifikovať slabé miesta v reálnom čase. Pre vylúčenie pochybností je taktiež dôležité uviesť, že v zmysle platných právnych predpisov (zákon č. 95/2019 Z. z. a vyhlášky č. 179/2020 Z. z.) je orgán verejnej správy povinný vykonávať bezpečnostné testovanie pre každú informačnú technológiu zavádzanú v organizácií verejnej správy.

Prístup podľa princípu najmenších oprávnení: Architektúra by mala byť navrhnutá tak, aby používateľské účty, služby a procesy mali prístup len k tým zdrojom, ktoré nevyhnutne potrebujú. Tento princíp znižuje škody spôsobené potenciálnym kompromitovaním jedného komponentu.

Údržba

Po uvedení systémov do prevádzky sa začína nepretržitý cyklus údržby. Ide o kontinuálne monitorovanie, aktualizácie, záplatovanie a riešenie bezpečnostných incidentov. Vďaka pravidelnej údržbe a priebežnému zlepšovaniu bezpečnostnej architektúry je možné udržiavať vysokú úroveň ochrany aj tvárou v tvár novým hrozbám a meniacemu sa technologickému prostrediu.

Kľúčové prvky údržby:

Pravidelné aktualizácie a záplaty: Nové zraniteľnosti sa objavujú neustále. Odpoveďou je dôsledné aplikovanie bezpečnostných záplat, pravidelné aktualizácie softvéru, operačných systémov a firmvéru sieťových zariadení. Nespoliehajte sa len na manuálne kontroly – automatizácia týchto procesov výrazne znižuje riziko ľudských chýb.

Monitorovanie a detekcia hrozieb: Nástroje typu SIEM (Security Information and Event Management) a IDS/IPS (Intrusion Detection/Prevention Systems) pomáhajú identifikovať podozrivé aktivity v reálnom čase. Včasné zachytenie neštandardného správania v sieti umožňuje rýchlo reagovať a zabrániť eskalácii útoku.

Incident Response Plan (IRP): Každá organizácia by mala mať dôkladne zdokumentovaný a pravidelne testovaný plán reakcie na incidenty. Tento plán určuje, kto, kedy a akým spôsobom reaguje na narušenie bezpečnosti, ako rýchlo izolovať ohrozené systémy a ako komunikovať o incidente s vedením, zamestnancami alebo dokonca verejnosťou.

Zvýšenie povedomia a kultúry bezpečnosti

Kybernetická bezpečnosť nie je len technický problém, ale aj záležitosť ľudí a firemnej kultúry. Aj tie najmodernejšie bezpečnostné opatrenia môžu zlyhať, ak zamestnanci nedisponujú dostatočnými znalosťami, motiváciou a porozumením rizikám. Pravidelné tréningy, simulácie phishingových útokov, interné prednášky a zdieľanie najlepších bezpečnostných praktík môžu vytvoriť prostredie, v ktorom je bezpečnosť prirodzenou súčasťou každodennej práce.

Zaujímavé fakty a odporúčania:

Podľa výskumu spoločnosti IBM (IBM Security Report) je ľudský faktor jedným z najvýznamnejších prvkov pri vzniku bezpečnostných incidentov. Až 95 % úspešných kybernetických útokov má pôvod v ľudskej chybe.

Medzinárodné bezpečnostné normy, ako ISO/IEC 27001, poskytujú rámec na systematické riadenie informačnej bezpečnosti, vrátane aspektov akvizície, vývoja a údržby.

Vyspelé organizácie využívajú threat intelligence platformy na zdieľanie informácií o nových hrozbách a zraniteľnostiach, čo im umožňuje prispôsobiť bezpečnostné stratégie v reálnom čase.

Záver

Akvizícia, vývoj a údržba patria medzi tri základné činnosti kybernetickej bezpečnosti. Ich efektívne riadenie, založené na dôkladných bezpečnostných kritériách, pravidelnom vzdelávaní, testovaní a monitorovaní, vytvára pevný základ pre odolnosť voči kybernetickým útokom. Organizácie, ktoré venujú pozornosť každému z týchto aspektov, dokážu lepšie predvídať hrozby, minimalizovať dopad incidentov a dlhodobo chrániť svoje cenné údaje a firemnú reputáciu.

Odporúčané zdroje a literatúra:

ISO/IEC 27001: https://www.iso.org/isoiec-27001-information-security.html

NIST Cybersecurity Framework: https://www.nist.gov/cyberframework

ENISA – Európska agentúra pre kybernetickú bezpečnosť: https://www.enisa.europa.eu/

IBM Security Report: https://www.ibm.com/security/data-breach

Na záver jedna drobná poznámka s humorom:

„Kybernetická bezpečnosť je ako cvičenie vo fitnescentre – ak ju zanedbáte, budete mať neskôr problém s 'prepadnutým bruchom' v podobe únikov dát. Ak ju naopak posilňujete, získate pevné 'digitálne svaly', ktoré odradia každého kybernetického 'chuligána'!”