Zlepšení kybernetické kultury organizací

Článek přečtěte do 7 min.

Podívejte se na nový plán pro přijetí kvantově odolné kryptografie. Navíc zjistěte, jak může vaše společnost vytvořit lepší prostředí kybernetické bezpečnosti. MITRE navíc varuje před ochranou kritické infrastruktury před kybernetickou válkou. A získejte nejnovější informace o strategiích reakce na ohrožení a o odměňování CISO a spokojenosti s prací.

Skupina vydává plán pro přijetí postkvantové kryptografie

Hledá vaše organizace rady, jak provést migraci na postkvantovou kryptografii (PQC)? Skupina, která zahrnuje společnosti MITRE, Microsoft a IBM, právě zveřejnila plán, který má organizacím pomoci s plánováním a realizací přijetí PQC.

Dvacetistánkový dokument „Koalice pro postkvantovou kryptografii“ s názvem „Plán migrace PQC “ rozděluje migrace PQC do čtyř hlavních fází:

Příprava, která zahrnuje identifikaci hlavních cílů přechodu, určení vedoucího projektu a identifikaci klíčových zainteresovaných stran
Základní znalost, která zahrnuje komplexní inventuru dat a aktiv, jež mají být chráněny, a také stanovení potřebných zdrojů a rozpočtů
Plánování a realizace, což zahrnuje spolupráci s interními i externími partnery s cílem získat nebo vyvinout potřebné nástroje pro migraci.
Monitorování a hodnocení, které zahrnuje stanovení metrik pro sledování pokroku projektu a pro přehodnocení kryptografické bezpečnosti na základě vývoje kvantových schopností.

„Tento plán umožňuje CIO a CISO jednat rozhodně a podnikat proaktivní kroky k ochraně citlivých dat nyní i v budoucnu,“ uvedl ve svém prohlášení Wen Masters, viceprezident MITRE pro kybernetické technologie.

Přechod na PQC, známou také jako kvantově odolná kryptografie, je složitý proces, jehož dokončení by typickému podniku mělo trvat několik let, a proto bude vyžadovat přesné plánování a ultra přesné provedení.

Zahájení procesu zavádění PQC je nezbytné, protože až se kvantové počítače stanou všeobecně dostupnými – což se očekává někdy mezi lety 2030 a 2040 – budou schopny prolomit dnešní kryptografické algoritmy s veřejným klíčem, které chrání všechny typy digitálně uložených a přenášených dat.

Algoritmy pro kvantově odolné šifrování jsou již k dispozici. Americký Národní institut pro standardy a technologie (NIST) vydal v roce 2024 tři standardy algoritmů odolných vůči kvantovým škodám a očekává vydání čtvrtého v roce 2026. Existuje další standard PQC s názvem Covercrypt od Evropského institutu pro telekomunikační standardy (ETSI). Začátkem tohoto roku si NIST vybral svůj pátý algoritmus PQC, který by měl být k dispozici pro použití v roce 2027.

Mezi další zdroje určené na pomoc organizacím s přijetím PQC patří bílá kniha NIST „Úvahy o dosažení kryptoagility“ a dokument britského Národního centra pro kybernetickou bezpečnost (NCSC) „Časové osy pro migraci na postkvantovou (PQC) kryptografii“.

Více informací o tom, jak chránit vaši organizaci před kybernetickou hrozbou kvantových počítačů:

„Jak dosáhnout kryptoagility a zabezpečení připraveného na budoucnost“ (TechTarget)
„Moody’s bije na poplach ohledně rizika kvantových výpočtů, protože přechod na PQC „bude dlouhý a nákladný“ (Industrial Cyber)
„Případy použití migrace po kvantové kryptografii“ (IETF)
„ USA představují nové nástroje, které odolají kvantovému prolomení šifrování. Zde je to, co říkají odborníci“ (Světové ekonomické fórum)
„Na postkvantovou kryptografii se musíte připravit hned teď. Zde je důvod.“ (SC World)
„Kvantové technologie a hrozba pro šifrování“ (SecurityWeek)

Jak ve vaší organizaci zavést skvělou kulturu kybernetické bezpečnosti

Firemní kultura může mít zásadní vliv na úspěch či neúspěch úsilí společnosti v oblasti kybernetické bezpečnosti. Jak tedy vytvořit organizační prostředí, které kybernetickou bezpečnost posiluje?

Touto otázkou se zabývalo britské Národní centrum pro kybernetickou bezpečnost (NCSC), které tento týden zveřejnilo své pokyny s názvem „Principy kultury kybernetické bezpečnosti“. Dokument shrnuje šest základních doporučení, jejichž cílem je přimět zaměstnance, aby přijali procesy kybernetické bezpečnosti.

„Principy popisují kulturní podmínky, které jsou nezbytným základem pro kybernetickou bezpečnost organizace, a nabízejí přístup k rozvoji této kultury,“ uvádí se na blogu NCSC.

Zde je stručný pohled na tři z těchto principů:

Rámec kybernetické bezpečnosti jako nástroje umožňujícího: Podporujte pocit, že kybernetická bezpečnost je odpovědností každého, tím, že ji jasně prezentujete jako „společný cíl“. Ukažte, jak kybernetická bezpečnost není překážkou, ale spíše usnadňuje dosažení obchodních cílů.
Podporujte otevřenost: Usnadněte zaměstnancům hlášení bezpečnostních problémů a kladení otázek. Vyšetřujte problémy spravedlivě a transparentně s cílem řešit problémy a sdílet získané poznatky, namísto svalování viny.
Přijměte změny: Zůstaňte v obraze s nově vznikajícími kybernetickými riziky a buďte připraveni odpovídajícím způsobem upravovat procesy kybernetické bezpečnosti. Ukažte, jak tato schopnost přizpůsobit se novým kybernetickým hrozbám pomáhá posilovat odolnost organizace.

Více informací o vytváření zdravé kultury kybernetické bezpečnosti ve vaší organizaci:

„Jak vytvořit celopodnikovou kulturu kybernetické bezpečnosti“ (Informační týden)
„Nová éra kultury kybernetické bezpečnosti“ (KPMG)
„Známky toho, že kultura vaší organizace poškozuje vaši kybernetickou bezpečnost“ (Temné čtení)
„Jak zvrátit toxickou kulturu kybernetické bezpečnosti“ (CSO)
„Vytváření kultury povědomí o kybernetické bezpečnosti“ (Rada IT manažerů)

VIDEO

Zlepšete svou kulturu kybernetické bezpečnosti (SANS Institute)

MITRE: Americká kritická infrastruktura musí být připravena na kybernetickou válku

Kromě prevence a zmírňování samostatných kybernetických hrozeb a útoků musí mít organizace kritické infrastruktury v USA plán pro případ, že by vypukla zdlouhavá a rozsáhlá kybernetická válka.

K tomu vyzývá organizace MITRE, která zveřejnila informační list s klíčovými kroky pro přípravu organizací kritické infrastruktury na totální kybernetický konflikt, který na delší dobu naruší řadu základních služeb.

Dokument s názvem „5 kroků k přípravě kritické infrastruktury na kybernetickou válku“ je určen pro provozovatele kritické infrastruktury, federální, státní a místní samosprávy, podniky a komunity.

Informační list vychází z utajovaného simulovaného cvičení kybernetické války, které se konalo v prosinci v sídle společnosti MITRE a kterého se 70 vládních a soukromých organizací zúčastnilo.

„Událost odhalila naléhavou potřebu, aby se vlastníci/provozovatelé infrastruktury, vládní agentury a komunity posunuli od řešení izolovaných kybernetických incidentů k přípravě na rozsáhlé kybernetické konflikty trvající týdny až měsíce,“ uvádí se v dokumentu.

Zde je pět kroků, které MITRE považuje za nezbytné pro organizace kritické infrastruktury, aby se připravily na scénář kybernetické války:

Vytvořte myšlení zaměřené na civilní obranu: Informujte občany o tom, že mohou být ovlivněny základní služby, jako je elektřina, voda, telekomunikace a doprava. Zúčastněné strany by měly plánovat, jak reagovat na mimořádné události a jak stanovit priority v úsilí o obnovu.
Správa omezených zdrojů: Provozovatelé kritické infrastruktury by měli testovat své plány reakce na incidenty, zatímco vlády musí s podniky plánovat, jak řešit výpadky služeb.
Plánování provozu v extrémních podmínkách: Zotavení se z dopadů kybernetické války vyžaduje plánování zvládání ničivých výpadků, které trvají týdny. Opatření by měla zahrnovat školení personálu pro manuální, oddělené operace a posílení kybernetické odolnosti.
Posílení systémů nouzové komunikace: Vyvinout komunikační systémy a procesy, které odolají narušením způsobeným kybernetickou válkou, a také způsoby, jak ověřovat totožnost zúčastněných osob.
Zajištění připravenosti pracovní síly: Vzhledem k tomu, že se počet zaměstnanců během kybernetické nouze pravděpodobně sníží, měly by být vytvořeny pohotovostní plány pro práci s menším počtem zaměstnanců, včetně školení pracovníků pro tento scénář.

Veškeré podrobnosti o simulovaném cvičení jsou k dispozici vlastníkům a provozovatelům kritické infrastruktury v USA a také vládním agenturám. Zájemci si mohou vyžádat přístup písemně na tuto e-mailovou adresu: CICSTTX@mitre.org.

Pro více informací o kybernetické válce:

„Příprava na kybernetickou válku: 6 klíčových ponaučení z Ukrajiny“ (Temné čtení)
„Kybernetická válka: Nové frontové linie“ (Průvodce kybernetickou bezpečností)
„Rusko může zhasnout světla‘: Jak se Spojené království připravuje na kybernetickou válku“ (The Guardian)
„Rostoucí hrozba kybernetické války ze strany národních států“ (PaymentsJournal)
„Nejznámější ruská jednotka speciálních sil má nyní vlastní tým pro kybernetickou válku“ (Wired)

Průzkum webináře Tenable se zaměřuje na strategie reakce na expozici

Během nedávného webináře „Aktualizace pro zákazníky Tenable Vulnerability Management, červen 2025“ se účastníků zeptali na jejich strategie a výzvy v reakci na ohrožení. Podívejte se, co na to řekli.

^{(152 účastníků webináře v průzkumu organizace Tenable, červen 2025)}

^{(145 účastníků webináře, oslovených společností Tenable v červnu 2025. Respondenti mohli vybrat více než jednu odpověď.)}

Sledujte tento webinář na vyžádání a získejte nejnovější informace o Tenable Vulnerability Management a naučte se, jak vyvíjet strategie reakce na ohrožení.

Navzdory vysokým platům je mnoho CISO ve velkých organizacích nespokojeno

S mediánovými platy přesahujícími 500 000 dolarů a ročním příjmem osob s nejvyššími příjmy přes 1,3 milionu dolarů sice CISO ve velkých podnicích vydělávají, ale ironicky je mezi nimi vysoká nespokojenost s prací.

Vyplývá to ze studie „2025 Compensation and Budget for CISO in Large Enterprises Benchmark Report“ od společností IANS Research a Artico Search, která rovněž zjistila, že velké procento těchto CISO aktivně hledá nová pracovní místa.

„CISO ve velkých podnicích sice patří k nejlépe placeným v různých odvětvích, ale naše zpráva odhaluje, že mnoho CISO se cítí příliš vytížených a nízká spokojenost s prací je nutí otevírat se novým příležitostem,“ uvádí se na blogu IANS Research o této zprávě.

Konkrétně mnoho z těchto CISO není spokojeno s rozpočtem svého týmu a v menší míře i se svým odměňováním. Je také běžné, že mají potíže s rozšířením svého zaměření z dohledu nad technologiemi kybernetické bezpečnosti na podporu obchodních iniciativ.

„Při povyšování pozice CISO v podniku se méně zaměřuje na technické znalosti a více na obchodní rizika a sladění s obchodními záležitostmi,“ uvedl na blogu Matt Comyns, spoluzakladatel a prezident společnosti Artico Search.

„V některých ohledech trh školí technické lídry způsobem, který je v rozporu s vytouženou prací CISO,“ dodal.

^{(Zdroj: „2025 Compensation and Budget for CISO in Large Enterprises Benchmark Report“ od IANS Research a Artico Search, květen 2025)}

Zpráva definuje tyto CISO jako ty, kteří pracují v podnicích s tržbami přesahujícími 1 miliardu dolarů. Jejich roční odměna činí v průměru asi 700 000 dolarů.

Více informací o trendech v oblasti CISO:

„Proč si bezpečnostní lídři vybírají konzultační služby“ (Dark Reading)
„Vyhoření CISO narůstá – zde je návod, jak jim pomoci“ (přepracováno)
„Výplaty CISO: Stojí za rostoucí bezpečnostní problémy?“ (Temné čtení)
„Byl CISO konečně akceptován jako klíčový strategický hráč?“ (Deloitte)
„CISO v roce 2025: Vývoj vysoce profilované role“ (Informační týden)

Pro další inforace o produktech Tenable nás neváhejte kontaktovat.

Zdroj: Tenable