Letošní 20. ročník mezinárodního průzkumu informační bezpečnosti EY Global Information Security Survey potvrdil, že útočníci jsou dnes organizovaní, mají téměř neomezené prostředky a používají pokročilé metody útoků. Řada organizací jím však zároveň dále usnadňuje práci nedůsledným aplikováním základních bezpečnostních pravidel, které známe desítky let. Ve světě, kde rostoucí digitalizace přináší stále nová rizika, se většina organizací nesnaží zvyšovat úroveň své kybernetické odolnosti cestou minimálního úsilí, která je zároveň nejefektivnější. Je na čase podrobněji prozkoumat příčiny této digitální laxnosti.

Ostrovy ochrany nepomáhají

Překážky mohou ležet na straně technologií a používaných systémů, ale také v podcenění rizika, že jakákoliv organizace se může stát terčem útoku. Dalším důvodem může být i nedostatečný předpoklad, že když budou organizace investovat do technologií umožňujících monitoring a detekci či aktivní detekci, budou schopny odhalit a čelit útokům. Technologie je ovšem dobrá pouze tak, jako její uživatel. Mnohdy vidíme moderní technologie nasazené vedle sebe, které fungují pouze jako samostatné „ostrovy“ ochrany. To dokládají i výsledky průzkumu v otázce hodnotící vyspělost programu detekce narušení kybernetické bezpečnosti. Jen 14 % respondentů využívá vyspělé nástroje a metody detekce integrující externí a interní zdroje pracující s analýzou chování a bezpečnostní analytikou. Pouze 18 % respondentů využívá pokročilé metody monitorování sítě. Zbytek používá jen některý z nástrojů a technologií, nejčastěji integrovaný v rámci SIEM. Pouze 4 % organizací jsou přesvědčeny, že dostatečně zohlednily důsledky informační a kybernetické bezpečnosti ve své strategii a že jsou vůbec schopny účinně monitorovat relevantní kybernetické hrozby, zranitelnosti a rizika.

Zdroj: EY Global Information Security Survey 2017-18

Základní hygiena kybernetické odolnosti

Průzkum společnosti EY ukázal, že v minulém roce bylo nutné nejvíce čelit phishingu zaměřenému na neopatrné uživatele, což byla nejčastější trajektorie útoku pro zanesení malware. Vzhledem k evoluci ransomware, který jednoznačně poukázal na jednoduché zranitelnosti s dosti dramatickým dopadem je zřejmé, že je potřeba se cíleně zaměřit na základní hygienu kybernetické odolnosti – pravidelné a důsledné záplatování a zvyšování povědomí uživatelů o rizicích a důsledcích. Tento fakt je podpořen nálezem dvou nejčastějších důvodů úspěšného útoku, kterými, jak již bylo zmíněno, byly zneužití nedostatečně uvědomělého uživatele prostřednictvím phishingu a zastaralé či nezáplatované technologie.

Pozitivním zjištěním je, že 70 % respondentů by potřebovalo navýšit svůj rozpočet na kybernetickou bezpečnost o maximálně 25 % tak, aby mohli zajistit ochranu v souladu s očekáváním managementu a jejich vnímáním závažnosti kybernetických rizik.

Zdroj: EY Global Information Security Survey 2017-18

Prostředky je třeba investovat chytře a takovým způsobem, aby byl zajištěn správný mix interních a externích znalostí a technologií. Organizace se už nebudou moct spoléhat pouze na outsourcovaný monitoring bezpečnosti a hodnocení zranitelností. Žádný z poskytovatelů totiž nikdy nebude umět dodat interpretaci a kompetence, které lze získat pouze interní zaměstnaností s dokonalou znalostí vnitřních procesů a specifik a pochopením toho, co je pro jejich organizace cenné a nutné chránit. Zároveň reakce na kybernetický incident musí být v režii interních zaměstnanců, kteří jsou obeznámeni s krizovými procesy a postupy a umí spolupracovat napříč celou organizací. To by rozhodně měla být prioritní oblast, kam směřovat finanční prostředky.

Jak zajistit vyšší úroveň kybernetické odolnosti

Věnujte se základní bezpečnostní hygieně, vzdělávejte uživatele, využívejte prostředky řízení identit, používejte nástroje prosazující bezpečnostní pravidla, kombinujte externí a interní technologie a s rozmyslem nakupujte bezpečnostní služby. Neuzavírejte se do sebe, ale komunikujte a sledujte své okolí, vyměňujte si zkušenosti, snažte se poučit a zejména pravidelně aktualizujte a záplatujte své systémy.

Petr Plecháček Autor článku je ředitelem oddělení IT poradenství a kybernetické bezpečnosti EY v České republice.