Newsroom
přihlásit se k odběru newsletteru

Proč je pro důvěru v kybernetickou bezpečnost zásadní transparentnost

7 minutové čtení
značky:
autor:
Andre Bastert
Andre Bastert
Pro důvěru v kybernetickou bezpečnost je zásadní transparentnost

Kdosi moudrý kdysi řekl: „Čím více lidí pozveš do svého domu, tím je uklizenější.“ Stejný princip otevřenosti lze snadno aplikovat i ve světě podnikání. Čím je organizace transparentnější – pokud jde o procesy a kulturu – tím je pravděpodobnější, že bude ve své činnosti disciplinovanější.  Pro budování důvěry mezi dodavateli, zákazníky a partnery je základem transparentnost – což platí o to víc v souvislosti s kybernetickou bezpečností. V tomto článku se budeme zabývat základními faktory, které transparentnost a s ní spojenou důvěru umožňují.

Transparentní přístup ke kybernetické bezpečnosti je nutností

Rizika a potenciální následky kybernetických útoků a úniků dat jsou právem na prvním místě zájmu každé organizace. Firmy a veřejné instituce ve všech odvětvích už nehodlají věřit tvrzením dodavatelů o bezpečnosti jejich výrobků a jejich řešení. V mnoha zemích a regionech totiž legislativa vyžaduje, aby měli lepší kontrolu nad bezpečností výrobků a služeb v organizaci používaných.

Názor, že když se utají detaily a fungování systému, je to ten nejlepší způsob, jak zvýšit jeho bezpečnost – často označovaný jako „bezpečnost pomocí utajení“ – byl do značné míry vyvrácen. Americký Národní institut pro standardy a technologie (NIST) uvádí, že „bezpečnost systému nesmí záviset na utajení jeho provedení nebo jeho součástí“.

Poznatky, jak dodavatel technologií postupuje v oblasti zabezpečení, jsou hlavním hlediskem při posuzování rizik u dodavatelů. Tato hodnocení zkoumají potenciální dopad, který můžou mít výrobky dodavatele na síť a připojené systémy zákazníka, a zjišťují, zda má dodavatel odpovídající opatření ke zmírnění rizik. 

Zákazníci proto chtějí mít úplný přehled o tom, jak dodavatel přistupuje k podpoře optimálního zabezpečení výrobku a k jeho udržování po celou dobu jeho životnosti. Požadavek na transparentnost je třeba akceptovat, protože je klíčový pro to, aby bylo možné určit, zda výrobky dodavatele podporují bezpečnostní pozici zákazníka, a pro budování důvěry mezi dodavateli, partnery a zákazníky. 

Transparentnost přináší celou řadu výhod 

Pokud výrobce technologií informuje o svých bezpečnostních postupech transparentně, zásadním způsobem tím dokazuje, že se snaží zajistit bezpečnost svých výrobků. Sem patří i to, že zákazníkům poskytuje bezpečnostní funkce a nastavení, díky nimž můžou výrobky používat tím nejbezpečnějším způsobem, a chránit tak své vlastní systémy a data.  

Díky transparentnosti je také možné efektivněji spolupracovat a sdílet informace se zákazníky a partnery – což jim umožňuje rychle řešit jakékoli chyby softwaru. 

Transparentnost navíc pomáhá výrobcům i zákazníkům poučit se z minulých bezpečnostních incidentů a zlepšit svou celkovou bezpečnost. Informovaná rozhodnutí pomáhají předcházet budoucím incidentům a zajišťují trvalou ochranu dat a informací zákazníků.

Nestačí jen dodržovat požadavky stanovené kybernetickými bezpečnostními certifikacemi

V této souvislosti můžou průmyslové standardy a certifikace poskytovat cennou záruku toho, že se společnost zavázala k zajištění základní kybernetické bezpečnosti. Tam, kde tyto certifikace vyžaduje zákon, musí dodavatelé prokázat, že je splňují. Jsou také důležité k tomu, aby se stanovila základní úroveň, která může být smluvně závazná, když firmy vzájemně obchodují a poskytují služby svým zákazníkům. Zákazníci také můžou využít doklady o certifikaci během výběrového řízení – uvidí, jestli výrobci splňují minimální požadavky. 

Není ale dobré spoléhat se pouze na certifikace jako na jediný důkaz komplexního přístupu ke kybernetické bezpečnosti. Certifikace potvrzují, že společnost v určitém okamžiku splňuje minimální úroveň zabezpečení – ať už se jedná o zabezpečení firemních informací (ISO 27001, různé předpisy o kybernetické bezpečnosti při exportu atd.) nebo o bezpečnostní certifikace zaměřené na výrobky (FIPS 140, ETSI EN 303 645 a různé další normy pro jednotlivé země).

Standardy a certifikace jsou často navrženy tak, aby pokrývaly širokou škálu odvětví a jejich použití. To znamená, že můžou být příliš obecné a nemusejí vždy odpovídat specifickým potřebám a případům použití v určitých specializovaných oblastech. Například IEC 62443 se zaměřuje konkrétně na průmyslové automatizační a řídicí systémy, což je míň relevantní pro fyzickou bezpečnost.

Z komerčního hlediska můžou certifikace a dodržování standardů představovat riziko, že se budou používat jen formálně a pouze jako strategie k získání konkurenční výhody během výběrových řízení – získat co nejvíce certifikací, aby se posílil dojem, že organizace má „dobrou“ kybernetickou bezpečnostní pozici. To platí zejména v případě, pokud jsou standardy a technické požadavky dostupné pouze za poplatek – „uzamčeny“ – a nejsou volně přístupné veřejnosti. 

A konečně, technologický pokrok, procesy a výrobky se často vyvíjejí mnohem rychleji než proces standardizace – to znamená, že výrobci, kteří se spoléhají pouze na certifikaci, zaostávají za technologickými inovacemi. Například, když se ve výrobcích použije šifrování sítě MACsec podle standardu IEEE 802.1AE, významně se tím ztíží síťová komunikace, ale technologie nebo osvědčené postupy používání MACsec pro zabezpečení sítí se v současných normách nespecifikuje.

Stručně řečeno, certifikace a standardy mají určitou hodnotu, ale měly by se brát jako základní úroveň, nikoli konečný cíl. Měly by doplňovat širší aktivity dodavatele v oblasti kybernetické bezpečnosti, nikoli je nahrazovat. 

Jak se pozná transparentnost

Při výběru dodavatelů je důležité hledat konkrétní ukazatele, které potvrzují jejich transparentnost v oblasti kybernetické bezpečnosti při vývoji výrobků a softwaru a během celého životního cyklu výrobku ve vztahu ke kybernetické bezpečnosti.

  • Poskytovat zákazníkům přehled o bezpečnostních činnostech a opatřeních prováděných v průběhu celého životního cyklu výrobku – od fáze vývoje, výroby a distribuce až po implementaci, provoz a vyřazení z provozu. Tyto informace by měly zahrnovat také způsob zabezpečení celého dodavatelského řetězce samotného dodavatele.   
  • Zveřejňování bezpečnostních zásad a postupů jak při vývoji výrobků, tak v přístupu dodavatele k internímu zabezpečení společnosti. Mít jasný a veřejně dostupný soubor zásad a postupů ochrany uživatelských dat a informací dokazuje, že společnost dbá na bezpečnost a odpovědnost.  
  • Pravidelně provádět nezávislé hodnocení bezpečnosti a audity, které pomáhají identifikovat a řešit potenciální bezpečnostní nedostatky a poskytují zákazníkům jistotu, že společnost bere bezpečnost vážně. Může se jednat o hodnocení na úrovni organizace, jako je hodnocení podle ISO/IEC 27001, nebo na úrovni konkrétního výrobku, jako je testování penetrace třetí stranou.
  • Poskytovat takové výrobky, u nichž je technicky snadné vyhodnotit jejich bezpečnostní úroveň pro osoby, organizace a úřady třetích stran. Patří sem například nešifrování softwaru zařízení nebo jiné činnosti podporující bezpečnost pomocí „utajení“. Důležité je také zajistit softwarový kusovník (SBOM) – obsahuje seznam „složek“, z nichž se skládá každý software. V SBOM jsou podrobně popsány všechny součásti s otevřeným zdrojovým kódem a součásti třetích stran, které jsou součástí softwaru, licence, kterými se tyto součásti řídí, verze součástí použitých v softwaru a stav případných záplat potřebných k zachování bezpečnosti.
  • Transparentnost při hlášení bezpečnostních incidentů – pokud nastanou, a to jak s ohledem na organizaci dodavatele, tak jeho výrobky. Dodavatelé by měli mít zavedeny jasné zásady správy zranitelnosti. Tím se zaručí komunikace o tom, jaká je povaha incidentu – jak byl incident původně zjištěn, jaké kroky se podnikly k odstranění zranitelnosti (včetně opatření požadovaných od zákazníků) a jaká opatření byla přijata k prevenci budoucích incidentů.
  • Pravidelné informování zákazníků a partnerů o stavu zabezpečení společnosti. Pokud mají zákazníci informace o změnách v bezpečnostních zásadách nebo postupech, nejenže jsou informováni, ale hlavně můžou rychle přijmout opatření a zabezpečit své výrobky, služby a procesy. Kromě toho umožňují zákazníkům a partnerům přihlásit se k odběru služby upozorňování na bezpečnostní problémy – můžou tak včas reagovat na bezpečnostní problémy.
  • Když společnost aktivně povzbuzuje zákazníky a výzkumné pracovníky, aby hlásili potenciální bezpečnostní chyby, které objeví, pomůže jí to identifikovat a řešit potenciální problémy dříve, než je někdo může zneužít. Když se dodavatel zapojí do programu CVE, zveřejní ID CVE a zavede program bug bounty, ukáže tím, že bere oblast kybernetické bezpečnosti vážně, že je transparentní a důvěřuje svým procesům bezpečného vývoje. 
  • Podporovat zákazníky v proaktivním procesu řízení životního cyklu výrobků – zákazníci tak můžou plánovat vyřazování a výměnu výrobků. Zásadní je přitom co nejdříve – nejlépe ihned po uvedení výrobku na trh – stanovit datum ukončení podpory softwaru zařízení.  

Každý dodavatel je povinen udělat všechno pro to, aby dodával výrobky, které splňují požadavky zákazníka na kybernetickou bezpečnost. Certifikace a standardy mají své limity. Zásadní je transparentnost. Když dodavatel zveřejňuje své postupy a zásady, pravidelně provádí nezávislá hodnocení a audity zabezpečení a otevřeně zveřejňuje informace o bezpečnostních incidentech, je to mnohem lepší způsob, jak si získat důvěru v to, že chce chránit data a poskytovat výrobky se silným kybernetickým zabezpečením.

Více informací o našem přístupu ke kybernetické bezpečnosti najdete zde.
Kybernetická bezpečnost

Andre Bastert

Andre Bastert pracuje ve společnosti Axis Communications jako Global Product Manager. Je odpovědný za softwarovou platformu AXIS OS, která podporuje síťová zařízení Axis. Andre se zaměřuje na vše, co se týká kybernetické bezpečnosti, integrace infrastruktury IT/zabezpečení a aspektů řízení životního cyklu softwarového vybavení našich produktů. Kariéru ve společnosti Axis započal Andre v roce 2014 v oddělení technických služeb. Předtím než nastoupil na současnou pozici, pracoval jako produktový specialista pro kamery PTZ a systém AXIS OS. Pokud Andre zrovna nepracuje, tráví čas s rodinou a věnuje se rekonstrukcím svépomocí.

Přečíst další příspěvky od Andre
Andre Bastert
To top