Najčastejšie mýty v kybernetickej bezpečnosti
Mne sa to nemôže stať
Nie sme v hollywoodskom filme
My sme malí, nikoho nezaujímame
Nemáme nič tajné
Ako sa k nám môžu dostať, veď používame heslá
Stará sa nám o to synov kamarát, majú počítače v škole
|
A stalo sa
V apríli otriasol masívny ransomvérový útok výrobnou firmou na strednom Slovensku. Zasiahol IT infraštruktúru aj prevádzkové technológie, ohrozil existenciu firmy, zamestnanie pre vyše tristo ľudí, aj výrobný reťazec odberateľov. Náklady súvisiace s incidentom už prevýšili pol milióna eur.
Bezpečnostná špecialistka Zuzana Omelková zo spoločnosti GAMO, ktorá na mieste pracuje v responzívnom tíme to zhŕňa výstižnou vetou: „Ide o firmu s viac než 70-ročnou históriou a tento incident predstavuje to najhoršie, čo sa im za celý čas stalo.“
99,9 percent
V korporáciách sú totiž bezpečáci králi. Stredné a malé firmy, mikropodniky a živnostníci, sa často spoliehajú na to, že nie sú zaujímaví pre kybernetický zločin. Pravda je taká, že pre zločincov sú zaujímavé všetky firmy a akékoľvek zdroje zisku.
Malé a stredné podniky na Slovensku pritom tvoria 99,9 percent z počtu podnikateľských subjektov a zamestnávajú 74 percent aktívnej pracovnej sily v podnikovej ekonomike* Je to presne ten segment, ktorý zažíva výrazný medziročný nárast kybernetických útokov.
Pracovitosť nestačí
Malé a častokrát aj stredné firmy sú totiž zamerané predovšetkým na dosahovanie zisku. Oveľa menej pozornosti venujú potenciálnym rizikám, kam patria aj kybernetické útoky. Útoky na tento segment dostávajú v médiách len minimálny priestor a preto sa môže zdať, že pre útočníkov nie sú zaujímavé.
Senior technický špecialista Július Selecký však upozorňuje, že podľa dát, ktoré má spoločnosť ESET k dispozícií, útoky na malé a stredné firmy neustále rastú. A kybernetické útoky na firmy s nižším počtom zamestnancov majú väčšinou fatálny vplyv na podnikanie.
Koniec mýtu
Samostatnou a početnou slovenskou kapitolou sú mikropodniky. Pre nich sú bezpečnostnými garantmi ich dodávatelia IT služieb, či už živnostníci, alebo ďalšie malé a stredné firmy.
Veľká časť týchto dodávateľov zažila čas hardvérového boomu a nástup internetu. Toto obdobie v bezpečnosti charakterizuje Ladislav Líška zo spoločnosti SmartCad: „Ešte na prelome storočia bolo úspechom predať antivírus.“
Po roku 2005 to už prestalo stačiť a už treba hovoriť o bezpečnostnom softvéri. Organizácie však šťastne a mylne žijú v tom, že antivírus im na ochranu aktív stále postačuje.
Dôvera zaväzuje
Na Slovensku sú desiatky firiem, ako je SmartCad, ktoré spravujú infraštruktúru malým podnikom, od špecializovaných kancelárií až po lokálnych producentov a služby. A aj tu platí, že dôvera je absolútny základ spolupráce.
O to viacej musia dodávatelia IT služieb pracovať na svojom vzdelávaní. Jeden z najkvalitnejších zdrojov je partnerské vzdelávanie výrobcov softvéru a hardvéru. Prezentuje sa tu rozvoj technológii, typy útokov a prípadové štúdie.
Náročnosť na vedomosti
Otázka kybernetickej bezpečnosti je pre malé slovenské firmy častokrát ako z inej dimenzie. Je to široký pojem, vyžaduje si roky skúsenosti a vývoj napreduje nepredstaviteľne rýchlo.
„Nepredpokladám, že by sa architekti, stavbári alebo riaditelia malých firiem začali venovať kybernetickej bezpečnosti a ani to od nich neočakávam,“ uzatvára Ladislav Líška. Za najhoršiu skúsenosť u klienta považuje ransomvérový útok, či hromadné zavírenie. Ako zvyčajne, boli až neuveriteľnou kombináciou diletanských rozhodnutí.
Problémy: časť 1
Jozef Bálint bezpečnostný špecialista ALISON Slovensko sa stretáva s tým, že ešte stále veľa firiem nemá ani zoznam aktív a zraniteľností. Ani v druhom roku pandémie nedbajú na zabezpečenie videokonferencií a komunikácie medzi zamestnancami.Množstvo bezpečnostných incidentov vzniká zneužitím zraniteľnosti na neaktualizovanom softvéri a hardvéri. Kľúčové je dokázať tieto zraniteľnosti identifikovať a aplikovať bezpečnostné záplaty a aktualizácie. A ak už k incidentu dôjde, je dôležitý stav pripravenosti na riešenie kybernetického bezpečnostného incidentu.
Problémy: časť 2
Zákaznícka podpora ESETu často identifikuje ako problémom závislosť firiem na viacerých technológiách, starší hardvér a neschopnosť pohotovo udržovať systémy
Ak sú desiatky, či stovky zamestnancov a každý má laptop, desktop, mobilné zariadenia a k tomu servery, výsledný sumár môže byť enormný. Problémom sa stáva slabá vizibilita, čiže potreba väčšieho prehľadu o vlastnej sieti.
Budíček?
Malé a stredné podniky sa pomaly preberajú z letargie. Vyburcuje ich negatívna skúsenosť a obava z pokuty. „To sú dve najčastejšie príčiny, kedy klienti začnú intenzívne hľadať bezpečnostné riešenia a obrátia sa na odborníkov,“ stručne zhŕňa Miroslav Chlipala z advokátskej kancelárie Bukovinsky & Chlipala.
Negatívna skúsenosť pôsobí v tomto prípade ako „pokropenie živou vodou“. V tomto sa zhodujú všetci profesionáli kybernetickej bezpečnosti. Aj podľa skúsenosti Zuzany Omelkovej je záujem o bezpečnostné služby skôr reakciou na vzniknutý bezpečnostný incident, ako výsledkom preventívneho riešenia kybernetickej odolnosti.
Príbeh osvietených
Investíciu do hardvéru dnes už aj v malých firmách dopĺňa legálny softvér, antivírus sa stáva štandardom. Kvalitná podpora IT infraštruktúry počas celého životného cyklu, zálohovanie, bezpečné úložiská a prístupy a vzdelávanie pracovníkov o bezpečnosti a sociálno-manipulatívnych technikách sú však stále iba pre osvietených.
Za najväčšiu zraniteľnosť slovenských firiem považuje Miroslav Chlipala nekritický prístup: „Je nevyhnutné pochopiť, že každá pozícia v spoločnosti má svoj podiel na kybernetickej bezpečnosti. Nedá sa očakávať, že to vyrieši len dedikovaný zamestnanec alebo dodávateľ“.
Dobrá služba
Nárast záujmu o služby bezpečnosti vysvetľuje Július Selecký na príklade účtovníctva: „Nepotrebujete vlastniť účtovnícky softvér alebo mať konkrétneho zamestnanca, ale potrebujete spoľahlivé a profesionálne vedenie účtovníctva. Analogicky to platí aj pre kybernetickú bezpečnosť.“
Takto si aj napriek menším skúsenostiam a nižšiemu rozpočtu firmy outsourcujú služby na báze Security as a Service. Firmy potrebujú byť chránené voči kybernetickým útokom a málokedy ich zaujíma, či na to potrebujú pripojenú v sieti čiernu krabičku alebo konkrétny softvér v počítači.
*Zdroj: Atlas MSP na Slovensku, SBA 2021