Globální ztráty způsobené kybernetickým zločinem v roce 2023 dosáhly 6 bilionů dolarů. Tato čísla neustále rostou a je jasné, že kybernetická bezpečnost je pro firmy a organizace stále důležitější. Proto se tématem ochrany dat, systémů a aplikací organizací zabývá čím dál více lidí a firem a vše je aktivně podpořeno i legislativou v podobně Kybernetického zákona.

Jedním z nástrojů, jak účinně předcházet incidentům a vážným problémům v důsledku kybernetických útoků zvenku nebo zevnitř organizace, je aktivní monitoring bezpečnostních událostí prostřednictvím Security Operations Center (SOC).

SOC je specializované bezpečnostní dohledové centrum kybernetické bezpečnosti, které zajišťuje služby detekce bezpečnostních událostí a eliminuje aktivity kyberútočníků dříve, než ohrozí data, informace, finance a pověst organizace. SOC je aktivním monitoringem, který provádí sběr a vyhodnocení kybernetických bezpečnostních událostí.

Dobře fungující SOC by měl mít nástroje, které umí monitorovat dění na perimetru organizace, dění v síťové infrastruktuře, na serverech a koncových stanicích a na úrovní informačních systémů a aplikací. Vedle technologicky vyspělých nástrojů a technologií jsou důležitým článkem SOC lidé – odborníci v oblasti kybernetické bezpečnosti, kteří analyzují a vyhodnocují zjištěné nestandardní situace a chování z pohledu IT v organizaci a umí na ně včas a účinně reagovat. SOC týmy mohou pomoci firmám a organizacím identifikovat a odstranit bezpečnostní nedostatky, které mohou být využity útočníky.

Správně fungující SOC může pomoci výrazně snížit riziko bezpečnostních incidentů a tím i jejich dopad na organizaci:

1. Prevence bezpečnostních incidentů: SOC týmy mohou pomoci firmám a organizacím identifikovat a odstranit bezpečnostní nedostatky, které mohou být využity útočníky.
2. Rychlé řešení bezpečnostních incidentů: SOC týmy pomáhají firmám a organizacím rychle a efektivně řešit bezpečnostní incidenty, což minimalizuje jejich dopad.
3. Zlepšení provozní účinnosti: SOC týmy mohou pomoci firmám a organizacím zlepšit jejich provozní účinnost tím, že jim pomohou efektivněji využívat své kybernetické bezpečnostní zdroje.
4. Snižují náklady organizace na několika úrovních:

• Náklady na odborné pracovníky ve firmě, kteří mají monitorovat, vyhodnocovat a řešit IT prostředí ve firmě z pohledu kybernetické bezpečnosti včetně jejich odborného rozvoje,
• Pomáhají předcházet incidentům a útokům v organizaci ještě dříve, než dojde ke kybernetickému útoku. Náklady na obnovu IT prostředí a dat organizace po útoku jsou dvakrát až třikrát vyšší, než když se bezpečnost řeší průběžně společně s aktivním monitoringem,
• Pojištění odpovědnosti a kybernetické bezpečnosti firmy. Firmy, které používají SOC mají často nižší pojistné sazby s ohledem na zvýšené využívání bezpečnostních opatření a tím snížení rizik bezpečnostních incidentů a útoků.

Prevence bezpečnostních incidentů

Prevence bezpečnostních incidentů je nejúčinnější způsob, jak snížit jejich dopad na organizaci. SOC týmy pomáhají firmám a organizacím identifikovat a odstranit bezpečnostní nedostatky, které mohou být využity útočníky.

SOC týmy provádějí detekci bezpečnostních událostí díky pravidelnému a komplexnímu sběru a vyhodnocování dat a chování prostřednictvím různých nástrojů pro audity a testování, aby identifikovali bezpečnostní nedostatky. Může jít například o:

• Vulnerability scanning: Tento proces identifikuje zranitelnosti v softwaru a hardwaru.
• Penetration testing: Tento proces simuluje útok útočníka, aby se zjistilo, zda a jak jsou systémy odolné.

SOC týmy mohou rovněž monitorovat provozní systémy a data, aby rychle identifikovali bezpečnostní incidenty. Může jít například o:

• Monitoring síťového provozu: Tento proces identifikuje podezřelou aktivitu v síti.
• Monitoring událostí: Tento proces identifikuje podezřelé události v systémech.

Odborné týmy z oblasti kybernetické bezpečnosti mohou také pomáhat firmám a organizacím implementovat bezpečnostní opatření, která snižují riziko bezpečnostních incidentů.

Rychlé řešení bezpečnostních incidentů

U řady organizací a firem došlo a dochází k bezpečnostním incidentům dnes a denně, s většími či menšími dopady na jejich fungování a obnovu jejich IT. Pokud k tomu dojde, je důležité jednat rychle a efektivně.

Pro tyto krizoví situace lze využít profesionální a certifikované SCIRT týmy v kombinaci s dispečinkem SOC, které mohou pomoci firmám a organizacím rychle a efektivně řešit bezpečnostní incidenty. A to jak vzdáleně tak fyzicky na místě u zákazníka. To může pomoci minimalizovat dopad útoků.

SOC týmy mohou také pomáhat firmám a organizacím obnovit své systémy a data po bezpečnostním incidentu.

Zlepšení provozní účinnosti

SOC týmy mohou pomoci firmám a organizacím zlepšit jejich provozní účinnost tím, že jim pomohou efektivněji využívat své kybernetické bezpečnostní zdroje.

SOC týmy mohou poskytovat firmám a organizacím komplexní přehled o jejich kybernetické bezpečnosti. Tento přehled může pomoci firmám a organizacím identifikovat oblasti, kde mohou zlepšit své bezpečnostní opatření.

SOC týmy mohou také pomáhat firmám a organizacím automatizovat některé bezpečnostní úkoly. To může pomoci firmám a organizacím ušetřit čas a peníze.

Vybudovat vlastní SOC je samozřejmě možné, ale také velmi nákladné. Důležitou roli hrají operátoři s potřebným rozsahem odborných znalostí a zkušeností v oblasti kybernetické bezpečnosti.

I při značných investicích do vybudování vlastního SOC je pro nespecializované společnosti nesnadnou výzvou, aby dosáhly stejné úrovně a vybavení jako ve specializovaných společnostech poskytujících tuto službu.

Jak z hlediska finančního, kvalitativního a personálního, je pro většinu společností jednoznačně výhodné využívání externích specializovaných firem jako je například společnost AXENTA, leader a specialista v tomto oboru.

Ing. Radovan Slaný, MBA, AXENTA a.s. & Drahomír Kalina, UNIS COMPUTERS, a.s.