Šest varovných znamení aneb kondice firemní kyberbezpečnosti

Většina podniků se už vypořádala se skutečností, že v souvislosti s bezpečnostními incidenty se neužívá slovo „pokud“, ale spíše „kdy“. Přesto se mnoho z nich potýká při přechodu na správnou bezpečnostní politiku a myšlení s jistými problémy.

244
0
SDÍLET

Průzkumy společnosti FireEye z konce loňského roku ukazují, že 51 % organizací se necítí být připraveno na kybernetický útok nebo únik dat, resp. by na ně nedovedly adekvátně zareagovat.

V prostředí neustále se vyvíjejících a zdokonalujících se hrozeb se předpokládá, že staré bezpečnostní modely či vzorce chování povedou mnoho společností, které se staly či stanou obětí útoku, k ukončení podnikání. Budete jednou z nich? Pokud se dopouštíte základních chyb, může vaše kybernetická bezpečnost selhat dřív, než se nadějete. Jaké hlavní chyby nahrávají útočníkům?

Domníváte se, že vaše firma je příliš malá na to, aby se stala cílem útoku

Zpráva Data Breach Investigations Report společnosti Verzion z roku 2019 překvapila zjištěním, že 43 % všech kybernetických útoků se zaměřuje na malé podniky. Národní aliance pro americkou kybernetickou bezpečnost (US National Cyber Security Alliance) navíc odhaduje, že 60 % malých společností zanikne během pouhých šesti měsíců od kybernetického útoku. Z toho lze usuzovat, že opatření v oblasti kybernetické bezpečnosti nejsou dostatečná.

Firmy všech velikostí musí letos přiřadit svému zabezpečení nejvyšší prioritu. Přestože se mnoho majitelů menších společností domnívá, že si nemohou dovolit investovat do kybernetické bezpečnosti, náklady, které s sebou přinese útok nebo únik dat, bývají mnohonásobně vyšší.

Proto je lepší část těchto peněz vložit do proaktivních bezpečnostních opatření. Mějte však na paměti, že dvojnásobný rozpočet na zabezpečení nezdvojnásobí samotnou bezpečnost. Pokud jde o investice do kybernetické bezpečnosti, nejedná se o jednoduchou koupi kusu za kus.

Chytře rozložte svůj rozpočet na bezpečnost s ohledem na své konečné cíle – ať už jde o ochranu klientských dat, ochranu duševního vlastnictví nebo zamezení výpadků sítě. Tím si utříbíte své priority a učiníte vhodné kompromisy mezi bezpečností, využitelností a náklady.

Neumíte se bránit polymorfním a zero-day útokům, ani multivektorovým hrozbám

Od 80. let můžeme sledovat evoluci kybernetických útoků, které nás neustále nutí přizpůsobovat se a měnit prostředky, jakými na ně reagujeme, i to, jak chráníme svůj digitální majetek. Útoky první generace zahrnovaly hlavně viry, před kterými se dalo účinně bránit pomocí antivirového softwaru.

V 90. letech začaly být hrozby sofistikovanější, když hackeři zacílili na sítě. Od té doby se staly firewally nezbytnou bezpečnostní ochranou všech zařízení. Nové tisíciletí přineslo masové rozšíření aplikací i souvisejících zranitelností. Díky tomu se dočkaly obliby IPS systémy (pro detekci a prevenci průniku). Počínaje rokem 2010 jsme se stále častěji setkávali se zero-day hrozbami, kterým daří obcházet tradiční obrany. Nástroje založené na behaviorální analýze však pomáhají čelit i těmto hrozbám.

V loňském roce jsme byli svědky šíření rozsáhlých a multivektorových kyberútoků jako WannaCry nebo NotPetya. Při těchto útocích se hackeři snaží napadnout více front – dokonce síťová, cloudová a mobilní zařízení současně. Kvůli tomu musí být kybernetická bezpečnost mnohem složitější a komplikovanější. Nyní je před zero-day, multivektorovými nebo polymorfními útoky dostatečně chráněno pouze zanedbatelné procento lidí.

Kybernetická bezpečnost není systém, který stačí jednou nastavit a pak na něj na dlouho zapomenout. Kybernetičtí zločinci získávají stabilní půdu pod nohama, protože jsou motivováni finančním ziskem, a ochotně inovují své metody. V roce 2020 se setkáváme se sofistikovanějšími útoky, které způsobují větší škody. Zároveň je stále těžší se proti nim bránit.

Proto je třeba zvýšit obranu pomocí několika vrstev kybernetické bezpečnosti. Nové technologie prokazují účinnost v boji proti útočníkům, a uživatelé díky nim získávají účinnou zbraň, která může změnit výsledek bitvy o data.

Topíte se v datech

Hledání podezřelých aktivit ve vaší síti může být jako hledání jehly v kupce sena. V mnoha případech trvá společnosti půl roku, než vůbec únik dat detekuje. K nalezení útočníka a odhalení útoku jsou samozřejmě data potřeba, ale mnoho firem se marně snaží zachytit úplně všechno – i přes nutnost obrovské infrastruktury a dalších nákladů na pracovní sílu. Pak pochopitelně uznají, že nemohou veškerá data efektivně analyzovat nebo s informacemi v krizové situaci naložit podle svých potřeb.

Váš bezpečnostní tým potřebuje správné nástroje k detekci a prošetření kritických hrozeb. Měl by mít k dispozici bezpečnostní software, který hraje důležitou roli při odkrývání hrozeb a provádění diagnostiky či sledování vzorců. Nové adaptivní bezpečnostní nástroje spoléhají na strojové učení a umělou inteligenci – pomáhají tak efektivněji najít útočníka, překazit jeho plány na vniknutí nebo exfiltraci dat během milisekund a zabrání dalšímu útoku.

Nemáte připravený plán, jak zareagovat na útok

Jak reagovat na incidenty? Plány obsahují řadu pokynů, které pomáhají IT pracovníkům detekovat incidenty zabezpečené sítě, vhodně na ně reagovat a zotavit se po nich. Technologická společnost IBM sdělila, že společnosti, které důkladně testovaly své plány reakcí na bezpečnostní incidenty, zaznamenaly mnohem nižší náklady v souvislosti s narušením dat než společnosti, které neměly žádná bezpečnostní opatření.

Plán reakce by se měl zabývat problémy, jako je kyberkriminalita, ztráta dat a výpadky služeb, které mohou narušit každodenní obchodní operace, stejně tak připravit firmu o velké částky. Pokud nejste připraveni na útok, je nejvyšší čas vypracovat svůj plán.

Neberete vážně rizika, která pro vás představují třetí strany

Slabým článkem podnikového zabezpečení mohou být také vaši partneři a dodavatelé. Útoky třetích stran nebo útoky prostřednictvím dodavatelských řetězců se objeví ve chvíli, kdy někdo infiltruje váš systém skrze vnější entitu, která má přístup k vašim datům.

Podle Ponemon Institute utrpělo 56 % organizací útok, který zbyl způsoben jedním z jejich prodejců. Přesto se zvyšuje průměrný počet třetích stran, které mají přístup k citlivým informacím společnosti.

V souvislosti s těmito riziky se zavádějí regulace, které by měly zajistit, aby kybernetická ochrana u dodavatelů i třetích stran byla na srovnatelné úrovni. Řeč může být i o nařízení GDPR, jehož nedodržování stojí společnosti vysoké pokuty.

Pokud se chcete chránit a vyhnout se sankcím, budete si muset letos pečlivě prověřit bezpečnost společností, se kterými obchodujete, vzájemně sladit své bezpečnostní standardy a aktivně sledovat přístup třetích stran.

Zapomínáte, že zaměstnanci jsou zodpovědní za kybernetickou bezpečnost stejně jako IT experti

Lidské selhání a chyby zaměstnanců zůstávají jednou z největších hrozeb, které mohou narušit hladký provoz vaší organizace. V současné době každoročně absolvuje školení v oblasti bezpečnosti pouze 3 z 10 zaměstnanců. Proto je pro podnikavé útočníky nebo scammery příliš snadné obejít i ta nejmodernější digitální zabezpečení.

91 % všech narušení bývá způsobeno phishingem. Nástroje na zabezpečení e-mailů mohou posloužit jako první linie obrany proti phishingu, ale nejlepší způsob, jak mu zabránit, je chápat kybernetickou bezpečnost spíše jako téma pracovní kultury než jako problém IT oddělení.

Aby byla vaše iniciativa v oblasti kybernetické bezpečnosti úspěšná, musíte do organizace zavést nové procesy, a zároveň nechat zodpovědnost za podnikovou bezpečnost také na bedrech zaměstnanců. Oficiální programy a školení o bezpečnosti mohou poučit zaměstnance o tom, jak mají společnost i sebe chránit před případnými incidenty, ale změnit jejich postoje a návyky bude větší výzva. Vybudujte komplexní bezpečnostní kulturu a postupně aplikujte potřebné změny.

Éra konektivity

Útočníci jsou chytřejší, útoky probíhají rychleji a samotné incidenty jsou propracovanější. Můžeme si být téměř jistí, že každé sebelepší zabezpečení a nejmodernější technologické opatření bude nakonec prolomeno. Pokud ke kybernetické bezpečnosti pořád přistupujete laxně, buďte připraveni na to, že většinu tohoto roku budete trávit v boji proti akutnímu ohrožení firemní kyberbezpečnosti.

Přecházíme do éry rostoucí konektivity, proto je kybernetická bezpečnost extrémně dynamická a vysoce specializovaná disciplína. Co nevidět budeme implementovat nástroje AI a autonomní služby; zároveň však nepřestávejte povzbuzovat každého jednotlivého zaměstnance, aby spolupracoval v boji proti on-line hrozbám.

Když přijdou kyberzločinci s novými inovacemi, ujistěte se, že vedení společnosti má představu o finančním a provozním dopadu, který může způsobit narušení a únik dat. Buďte připraveni definovat jasnou strategii, jak se s problémem vypořádat a nasadit bezpečnostní postupy, které ochrání společnost proti podobným incidentům v budoucnu.

Vaše strategie by měla sestávat z řady opatření – bezpečnostní software, správa zranitelností a školení zaměstnanců jsou na vrcholu pomyslného žebříčku způsobů, kterými může vaše organizace v následujících letech zvýšit svou odolnost vůči kybernetickým útokům.