Je doba vánoční plná příběhů a zázraků a na jeden takový je potřeba se podívat, protože se z něj můžeme hodně poučit.

Bylo, nebylo 9. 12. (byl a už není) se objevil níže uvedený tweet (mimochodem velmi trefná profilová fotka odkazující na dnes již kultovní film Leon), … a nastalo zděšení, často i oprávněné, hlavně tam, kam bezpečnost nechodí. Protože jak víme, kam nechodí bezpečnost, tam chodí hacker.

V prostředí řízení bezpečnostních incidentů se často zaměňují pojmy incident response plan, playbook a runbook. Přestože se tyto dokumenty vzájemně doplňují, liší se svým účelem, úrovní řízení i mírou detailu.

Cílem článku je vyjasnit, jak tyto pojmy používají mezinárodní standardy (ISO/IEC 27035, NIST SP 800-61 Rev. 3) a jak je vhodně propojit v praxi.

Ransomware představuje jednu z nejzávažnějších hrozeb současného kyberprostoru. Jeho dopad dalece přesahuje rámec běžného provozního narušení a zasahuje samotnou existenci organizací.

V tomto článku analyzujeme průběh ransomwarových útoků, techniky exfiltrace dat a specifika útoků v cloudovém prostředí. Zaměřujeme se jak na teoretická východiska, tak na empirické poznatky z praxe, které ukazují skutečný způsob, jakým útočníci operují.

Každá organizace, která to s kybernetickou odolností myslí vážně, si dříve či později položí otázku, jak vlastně testovat svou odolnost? A odpověď je nasnadě.

Ale má to být table top, technický dry run, automatizovaná BAS simulace, nebo rovnou red teaming?

Během léta se riskařilo a kvantovalo jak v Bruselu, tak i na Slovensku. A trochu nečekaně vznikl revoluční metodický/podpůrný materiál právě na východ od nás.

Během horkých letních dní vzniklo v okruhu států EU hned několik materiálů zajímavých pro analytiky, specialisty a manažery, kteří se budou v souvislosti s NIS 2 zabývat kybernetickými riziky. Pozastavme se u dvou z nich. Důvodem výběru je „oficiální“ punc jednoho a až revoluční vyznění druhého.

Když přijde řeč na praktický výpočet rizika bez chytrých pomůcek, všichni logicky sahají po známém vzorci: R = likelihood × impact. Jenže v pojmu „likelihood“ může být zakopaný pes.

Jedni oním pojmem myslí klasickou pravděpodobnost, druzí zase frekvenci výskytu události, typicky za nějaké časové období (ARO — Annualized Rate of Occurrence, jinak bychom asi mohli říci i míra výskytu v jednom roce). Dokonce i norma ISO připouští oboje.

O problematickém postavení CISO v hierarchii organizace jsem naposledy psal zde.

Otázka je, zda se od té doby něco změnilo. Nic zásadního, ale k určitým změnám přesto došlo, dochází a bude i nadále na této pozici docházet.

Bezpečnostní firmy a média se v posledních měsících předhánějí, kdo silněji varuje před „novými“ technikami zvanými ClickFix a FileFix.

Ale když se na ně podíváme blíže, zjistíme, že tyto útoky jsou jen další variací dávno známých sociálně-inženýrských principů.

Matice rizik patří k nejrozšířenějším nástrojům v oblasti řízení rizik. Nabízejí jednoduchou formu vizualizace rizik podle dvou dimenzí – dopadu a pravděpodobnosti.

Právě tato srozumitelnost stojí za jejich popularitou u managementu i auditorů. Jak je ale ukázáno v článku o hanojském masakru krys, popularita je někdy důsledkem iluze efektivity, nikoli reálné užitečnosti.

Organizace působící ve vysoce regulovaném prostředí patří mezi nejlépe zabezpečené instituce vůbec.

Mají zavedená veškerá doporučená opatření, často v režimu „best in breed“. Pravidelně procházejí audity, podléhají detailnímu dohledu regulátorů a disponují zdroji, o kterých si většina firem může nechat jen zdát. V takovém prostředí se může zdát, že kvantitativní analýza kybernetických rizik je zbytečná.

Černá labuť, šedý nosorožec, černý slon, černá medůza, bílá labuť jsou metaforická označení, která nám pomáhají lépe pochopit různé typy rizik a jejich dynamiku.

Každé uvedené zvíře přináší nový úhel pohledu na to, jak může riziko vzniknout, jak ho rozpoznat a jak s ním efektivně pracovat. A začneme těmi nejznámějšími.