Odolnost firmy vyjadřuje její schopnost co nejvíce udržet své činnosti a služby, když dojde k nepředvídatelné události, co nejrychleji obnovit ty části, které jsou postiženy a přizpůsobit se novým podmínkám.
Jak budovat odolnost
Budování odolnosti vyžaduje:
- Rozumět, co je pro organizaci ohrožující
- Hledat cesty, jak dopady snížit
- Hledat cesty, jak zajistit, že ohrožují událost nenastane
- Připravovat se na ohrožení, se kterými se dopředu nepočítalo
Ochrana před riziky nestačí
Rizika se snažíme snižovat. Odolnost budujeme proto, že víme, že některým rizikům zabránit nedokážeme.
Omezování rizik – tedy že nenastane ohrožující událost – je důležitou součástí odolnosti. Ochrana před riziky má ale i druhou část, tedy plán B: Co dělat, když k události dojde. (Odborně se plánu B říká kontingenční plán).
Ochrana před riziky ale není pro dobrou odolnost dostatečná. Není možné všem rizikům předejít ať už proto, že ochrana by byla příliš nákladná tak proto, že vždy mohou nastat rizika, která nikdo nepředpokládal.
Odkud mohou přicházet hrozby
Odborně a hlavně v IT se používá trochu matematický pojem Vektor hrozby.
Nejčastěji se uvažují vektory a příklady zdrojů ohrožení:
- Vlastní pracovníci: Odchod, zranění / náhlá nedostupnost, zlé úmysly, vážná chyba managementu
- Externí subjekty: Dodavatelé (výpadek), zákazníci (výpadek, pomluvy), konkurence (získání dotace, která sníží její cenu)
- Ransomware nebo podobná forma zničení informační základny firmy
- Narušení vstupů: Elektřina, ale i fyzické vstupy do prostor nebo informační vstupy nezbytné pro fungování
- Legislativa nebo významná změna business prostředí: Např. zákaz používat některou látku ve výrobě, pandemie apod.
Pojem směr hrozby (nebo také vektor) je podobný používanému „zdroje ohrožení“. Jak je patrné z příkladů, zdroje jsou z některých směrů, směr je tedy obecnější pojem a pomáhá všechny zdroje lépe identifikovat.
Způsoby zvyšování odolnosti
Kromě zmiňované práce s riziky je druhou a zásadní cestou zvyšování dostupnosti potřebných zdrojů. Zdroj je cokoli, co může výpadkem firmu ohrozit, nebo naopak dostatečnou rezervou předejít problémům. Zdroj samozřejmě do velké míry kopírují už zmíněné vektory hrozeb, ale ne úplně.
Nejdůležitějšími zdroji a příklady odolnosti jsou:
- Lidé (zajistit, aby firma nebyla nikdy závislá na jednotlivci)
- Finance a jejich dostupnost (Dostatečná finanční rezerva)
- Procesy (Risk Management plány, plány kontinuity)
- Informace (Přístupové údaje a postupy mimo servery firmy)
- Technologie a infrastruktura (Redundantní servery a zálohy mimo firmu)
- Vazby na externí subjekty (Smlouvy o zastoupení, paralelní odběry součástek od více dodavatelů)
Příklad budování odolnosti
Riziko Pracovník, kterého přijmeme, je nepřátelský agent (např. od konkurence)
Minimalizace rizika (snaha mu předejít)
Vstupní kontrola Každého kandidáta důkladně prověřovat. I když to může pomoci, ve skutečnosti prověřování na úrovni komerčních organizací nemá velkou úspěšnost. Je proto nutné počítat s tím, že nepřátelský agent se do týmu dostane. Může se jím také stát kterýkoli zaměstnanec
Minimalizovat potenciál agenta Přesně identifikovat, které informace jsou ve firmě cenné (je jich většina) a zajistit, aby se každý pracovník dostával jenom k těm informacím, ke kterým se dostat potřebuje. Co nejvíce omezit možnosti data z firmy vynášet
To znamená
- Dělit informace na menší celky
- Omezovat práva exportů a tisků. Snažit se nemít žádné hodnotné informace v souborech (např. adresy klientů) a znemožnit, aby pracovníci soubor s cennými informacemi mohli vytvořit.
- Šifrovat hodnotná data. Největší přístup k informacím – pokud nejsou šifrována – mají IT pracovníci a šifrování tuto bezpečnostní díru může výrazně omezit
Nedůvěřovat I když to nezní dobře, organizace musí být a priori nedůvěřivá. Princip "nikdy automaticky nedůvěřuj" dnes označujeme v IT jako Zero Trust. Stejný princip ale platí i mimo informační technologie.
Odolnost I přes všechna opatření počítám s tím, že do týmu se může dostat lotr, který chce škodit a škoda se mu alespoň do určité míry povede. Je proto nutné analyzovat, jakou škodu může lotr způsobit. Konkurence může získat plány výrobku, zákazníky apod. Čím menší objem dat má jeden pracovník v ruce, tím menší je tato hrozba.
Mezi největší hrozby bude vždy patřit lotr, který otevře vrátka a vlk se dostane do ohrady. Může zničit všechna data, zablokovat přístupy. Může ohrozit fungování interních kontrol a výrobu a způsobit, že budeme dodávat vadné výrobky. Může i mnoho dalšího. Nic z uvedených příkladů není nereálné, dětské výživy otrávené ve skladu výrobce nebo firmy postižené útokem na software u dodavatele jsou důkazem, že nejde o plané hrozby.
Shrnutí zkušenosti
Interní mechanismy musí počítat i s tím, že hrozby jsou reálné. Musí je snažit se detekovat a počítat s tím, že nastanou.
Mezi klíčové prvky ochrany patří umístit nejdůležitější nástroje pro ochranu mimo zónu firmy někde jinde. Pokud možno tak, aby k nimy z firmy nevedly přímé linky (technické). Firmu může před útokem chránit právě schopnost normálně a systematicky fungovat i po vlastním zásahu.
Relevantní legislativa a standardy
Rodina standardů 223xx se Otázkám Business Continuity věnuje z řady úhlů. Největší váhu tyto standardy dávají informační a manažerské připravenosti. Tento přístup je logický, protože pokud v případě průšvihu bude vedení firmy bezradné, bude všechno ostatní téměř jistě zbytečné.
V oblasti bezpečnosti informací je klíčová rodina standardů ISO 27xxx. Její požadavky se promítají do většiny dalších standardů a je fakticky výchozím předpokladem např. i pro NIS2.
Nejvíce citovanou a důležitou a legislativou je zmíněné nařízení NIS 2 a její implementace v podobě zákona o kybernetické bezpečnosti. Jde o evropskou legislativu, která vznikla díky narůstajícím hrozbám zejména z východního směru. Její význam je ale univerzální – tlačí na obecnou informační odolnost nezávisle na tom, kdo konkrétně chce škodit.
Každý kritický obor (bankovnictví, telekomunikace, energetika, zdravotnictví) rozvíjí své vlastní standardy. Jejich popis přesahuje možnosti tohoto příspěvku.

