Článek
Bezpečnost organizace jako základní pilíř
Za poslední tři roky se zásadně změnil pohled firem a společností na kybernetické zabezpečení. Množství hackerských útoků na úřady, nemocnice či soukromé společnosti zcela změnily vnímání důležitosti digitální bezpečnosti. Jen v Česku se jednalo o stovky případů (a to mnohé další nebyly zveřejněny ani vyšetřovány). To, co bylo dříve okrajovou záležitostí se stalo centrem zájmu nejen IT manažerů.
Změnil se také způsob fungování firem a zaměstnaneckých návyků, a to zejména během pandemie koronaviru. Vzdálená práce nabrala v tomto období zcela jinou dynamiku. Většina organizací navíc musela provést urychlenou digitální transformaci většiny svých procesů. Hackerům se tím ale v mnoha oblastech otevřely dveře a získali příležitost bez větších potíží zaútočit na infrastrukturu organizací.
Miliony za výkupné a návrat dat
O co útočníkům jde? O data, samozřejmě. Tedy o jejich zcizení nebo zašifrování (většinou však oboje). Cílem je pak získat od organizace výkupné za návrat do původního stavu. Právě data jsou největším bohatstvím většiny firem a často také jejich jediným majetkem. Kyberbezpečnost se tak stala jedním z hlavních faktorů, zajišťujících finanční stabilitu organizací.
Proč? Řešení těchto incidentů totiž stojí organizace řádově miliony korun a mohou zastavit jejich provoz na celé týdny.
Přitom náklady na pořízení technologií pro ochranu organizace jsou mnohem nižší. Firmy v nich však často vidí jen mrtvé peníze, které by se daly využít jinak. Tedy až do prvního útoku. Pak se rozpočty na bezpečnost zvyšují často až o několik řádů.
Největší omyl? Nás se to přece netýká
Největší chybou, které se organizace dopouštějí je představa, že se jich podobný útok netýká. Proč by někoho zajímala naše malá firma, když může zaútočit na velkou banku nebo korporaci?
To je ale zásadní omyl. Je třeba si uvědomit, že hackeři nejsou jednotlivci, ale velmi dobře organizované skupiny, často se strukturou firmy. A útoky provádí hromadně a automatizovaně. Například tak, že si vyberou nějakou známou zranitelnost (například software, který již není podporován) a pak spustí hromadný scan internetu s cílem vytvořit seznam organizací, které ho ještě používají. Druhým, stále častějším způsobem je zaměření se na tradiční nejslabší článek každého řetězu, na lidský faktor.
Nejslabší článek? Zaměstnanec
Je smutnou pravdou, že 80 % úspěšných útoků je způsobeno prolomením nebo krádeží přihlašovacích údajů samotných zaměstnanců. Právě přes jejich účty (nebo účty administrátorů) mohou útočníci nejjednodušeji proniknout do systémů organizace a ovládnout je.
Situaci napomáhá to, že většina uživatelů používá velmi slabá hesla slovníkového typu (admin123 apod.), která navíc používají do všech služeb včetně svých soukromých. Nejhorší variantou je pak prolomení privilegovaných účtů administrátorů organizace, kteří mají většinou přístup do všech systémů a rozhraní.
Účinná ochrana uživatelských účtů
Obranou proti těmto typům útoků se zabývá oblast IT s názvem Workforce Identity, tedy pracovní identita. Pokrývá všechny operace, se kterými se zaměstnanci setkávají při svých běžných činnostech – například přihlášení do firemních systémů, počítačů nebo administrátorských rozhraní.
Slabá a snadno prolomitelná hesla pak nahrazuje nástroji pro tzv. dvoufaktorovou autentizaci, kdy všechna přihlášení podléhají potvrzení v externím nástroji, například mobilní aplikaci ProID, nebo bezpečnostním tokenem. Právě tento druhý faktor ověření je pojistkou proti jeho prolomení.
Samotná oprávnění uživatelů se pak definují tzv. digitálními certifikáty, které jim přidělují pověření správci organizace a automaticky importují do jejich ověřovacích nástrojů.
Nová směrnice NIS2 - GDPR pro kyberbezpečnost
Na kritickou situaci reaguje i legislativa, především nová evropská směrnice NIS2. Ta zavádí zcela novou strategii pro boj s kybernetickou kriminalitou a bude povinná pro všechny státy EU. Zavádí velmi přísná pravidla pro řešení kybernetické ochrany a definuje, jak ji má organizace řešit. Jen v ČR do ní bude spadat více než 7.000 subjektů. Kromě procesů a povinných školení vyžaduje i zavedení výše zmíněného dvoufaktorového ověřování a používání kryptografie.
Jak řešit bezpečnost a NIS2 uvnitř organizace?
Již 21. září se uskuteční patrně největší online event na téma kybernetické bezpečnosti v ČR, virtuální konference Směrnice NIS 2 v praxi. Na předchozí akce se registrovalo přes 6.000 účastníků a přednášet na ni budou největší špičky v tomto oboru. Důležité je, že registrace i účast na akci je zcela zdarma.
Pokud tedy chcete zjistit více o kybernetické bezpečnosti pro firmy, navštivte web www.nis2.tech.
