European Cybersecurity Skills Framework, zkr. ECSF od ENISA působí na první pohled jako sympatický pokus dát do pořádku chaos v pojmech a rolích v kybernetické bezpečnosti.

Uvádí dvanáct základních rolí s jasnými popisy odpovědností, což zní velice rozumně. Jenže když se podíváme trochu blíže, přichází spíše zklamání. V sekci 2.10 totiž najdeme roli Cybersecurity Risk Manager.

V prostředí řízení bezpečnostních incidentů se často zaměňují pojmy incident response plan, playbook a runbook. Přestože se tyto dokumenty vzájemně doplňují, liší se svým účelem, úrovní řízení i mírou detailu.

Cílem článku je vyjasnit, jak tyto pojmy používají mezinárodní standardy (ISO/IEC 27035, NIST SP 800-61 Rev. 3) a jak je vhodně propojit v praxi.

Sbírky a spontánní iniciativy na podporu obětí války jsou lidsky pochopitelné. V okamžiku, kdy sledujeme destrukci a utrpení, je přirozené chtít pomoci.

Jenže sbírky na munici či zbraně a zejména pak titulky typu „Češi sbírají na raketu, která může zasáhnout Moskvu“ otevírají otázky, které už nejsou ani morální, ani symbolické. Jsou politické. A hlavně bezpečnostní.

Ransomware představuje jednu z nejzávažnějších hrozeb současného kyberprostoru. Jeho dopad dalece přesahuje rámec běžného provozního narušení a zasahuje samotnou existenci organizací.

V tomto článku analyzujeme průběh ransomwarových útoků, techniky exfiltrace dat a specifika útoků v cloudovém prostředí. Zaměřujeme se jak na teoretická východiska, tak na empirické poznatky z praxe, které ukazují skutečný způsob, jakým útočníci operují.

Každá organizace, která to s kybernetickou odolností myslí vážně, si dříve či později položí otázku, jak vlastně testovat svou odolnost? A odpověď je nasnadě.

Ale má to být table top, technický dry run, automatizovaná BAS simulace, nebo rovnou red teaming?

Můžete si vybrat. Rudě zářící pole risk matice, jedno číslo vyjadřující roční ztrátu v korunách anebo smyslné ladné křivky slibující vědeckou přesnost.

Asi už tušíte, že je řeč o kvalitativním, semikvantitativním a kvantitativním přístupu k analýze rizik. Rozdíl mezi jednotlivými přístupy je ale mnohem větší, než si většina lidí připouští. A bohužel právě na tom často stojí nebo padá správné rozhodnutí managementu o investicích do informační bezpečnosti.

Obrana 21. století se nevede jen tanky, letouny a raketovými systémy, ale i v kyberprostoru, prostřednictvím dronů, umělé inteligence a informační války.

Jenže právě v těchto oblastech má ČR dlouhodobý deficit a závislost na zahraničních technologiích ji činí zranitelnou.

Během léta se riskařilo a kvantovalo jak v Bruselu, tak i na Slovensku. A trochu nečekaně vznikl revoluční metodický/podpůrný materiál právě na východ od nás.

Během horkých letních dní vzniklo v okruhu států EU hned několik materiálů zajímavých pro analytiky, specialisty a manažery, kteří se budou v souvislosti s NIS 2 zabývat kybernetickými riziky. Pozastavme se u dvou z nich. Důvodem výběru je „oficiální“ punc jednoho a až revoluční vyznění druhého.

Když přijde řeč na praktický výpočet rizika bez chytrých pomůcek, všichni logicky sahají po známém vzorci: R = likelihood × impact. Jenže v pojmu „likelihood“ může být zakopaný pes.

Jedni oním pojmem myslí klasickou pravděpodobnost, druzí zase frekvenci výskytu události, typicky za nějaké časové období (ARO — Annualized Rate of Occurrence, jinak bychom asi mohli říci i míra výskytu v jednom roce). Dokonce i norma ISO připouští oboje.

O problematickém postavení CISO v hierarchii organizace jsem naposledy psal zde.

Otázka je, zda se od té doby něco změnilo. Nic zásadního, ale k určitým změnám přesto došlo, dochází a bude i nadále na této pozici docházet.