Boj s neviditeľným nepriateľom

Boj s neviditeľným nepriateľom

Digitalizácia patrí medzi najvýraznejšie trendy v priemysle. K postupujúcej automatizácii pridáva prepojenie s vonkajším svetom nielen do kancelárií administratívnych budov v továrňach, ale aj do výrobných hál. K digitálnemu trhu sa pridáva využitie konceptov, ako je Priemysel 4.0, čo kybernetické hrozby ďalej znásobuje. Podľa manažérskych prieskumov sa z kyberkriminality stal najviac progresívny typ ekonomických podvodov, ktoré môžu firmám vážne ublížiť.

Nevidia, no obávajú sa

Riziká sú značné a problém sa začína už tým, či si manažéri v riadiacich pozíciách vôbec uvedomujú ich hrozbu a potenciálny dosah. Kyberkriminalita má napriek svojej rozmanitosti jednu spoločnú črtu – vždy je neviditeľná. Ak s ňou chce firma bojovať, musí ju najskôr vôbec vedieť odhaliť. Ukradnuté údaje totiž v podnikovom informačnom systéme nechýbajú, sú stále na svojom mieste. Iba sa k nim dostal niekto, kto nemal, často s pomocou kohosi, kto k nim mal oprávnený prístup.

Zistiť takýto únik je veľmi ťažké. Slovenské firmy na tom podľa prieskumov nie sú najlepšie. Keď vlani konzultačná firma PwC zverejnila svoj ostatný prieskum hospodárskej kriminality, zapôsobil v ňom pomerne prekvapivo fakt, že počet firiem, ktoré zaregistrovali útoky v počítačovej bezpečnosti, v porovnaní s predchádzajúcim prieskumom klesol. Jej experti odhadli, že dôvod je najmä nedostatočná schopnosť firiem zistiť narušenia v informačných systémoch.

Podľa partnera PwC Slovensko pre oblasť riadenia rizík Tomáša Kuču si však firmy už nemôžu dovoliť luxus reagovať až potom, ako k počítačovej kriminalite došlo, ba ani budovať ochranu podľa očakávaní. „Najvhodnejší prístup pre vypracovanie zásad počítačovej bezpečnosti je predpokladať, že k jej porušeniu došlo alebo sa práve deje,“ upozorňuje. Okrem prípadov, keď je cieľom útočníkov zámerné zničenie dát alebo poškodenie informačných systémov, teda viditeľné škody, sa zneužitie firemných údajov podarí odhaliť v 90 percentách prípadov iba so značným oneskorením.

Pritom škody, spôsobené odcudzením informácií, bývajú často nevyčísliteľné. Podľa prieskumov spoločnosti PwC dosiahli škody z kybernetických útokov na americké firmy v 11 percentách prípadov vyše milióna dolárov. Získavajú sa strategické informácie o podnikaní spoločnosti, technické dáta, ale aj osobné informácie zamestnancov či dokonca údaje o ich identite a využívajú sa na vydieranie alebo ďalšiu trestnú činnosť, vymenúva generálny riaditeľ forenznej agentúry Surveilligence Ján Lalka.

Že si manažéri predsa len kybernetické riziká uvedomujú, dokazuje podľa prieskumov fakt, že výrazne rastú obavy z výskytu počítačových útokov a straty dôležitých údajov. Manažéri pritom sami nedokázali presne určiť, akú hodnotu majú ich firemné informácie, ktoré by sa mohli stať potenciálnym cieľom útočníkov. Aj v prípadoch, keď si firmy boli vedomé kybernetických hrozieb, umožnili prístup k svojim údajom širokému okruhu spolupracovníkov, obchodných partnerov a zákazníkov cez nezabezpečené platformy, ako sú mobilné zariadenia či cloud.

Hrozba pre každú firmu

Kým donedávna hovorili medzinárodné prieskumy o tom, že rôznym formám počítačovej kriminality čelí každá štvrtá, piata firma podľa krajín, vlani mali kybernetické útoky napríklad v USA zasiahnuť päť zo šiestich veľkých spoločností. To predstavuje medziročný nárast o 40 percent. Štúdia spoločnosti Symantec o internetových bezpečnostných hrozbách dokonca tvrdí, že v súčasnom prepojenom svete sa cieľom kybernetického útoku stane každá organizácia – otázkou je len kedy.

Zatiaľ čo voči kyberútokom zvonka sa manažment môže brániť len ťažko a táto úloha jednoznačne patrí do kompetencie IT špecialistov, zneužitie interných informácií vlastnými pracovníkmi poukazuje na medzery v práci s ľudskými zdrojmi priamo v podniku. Úroveň firemnej kultúry, systematické upevňovanie lojality pracovníkov, ale aj zabezpečenie interných informačných zdrojov pred možným zneužitím vlastnými ľuďmi patria medzi opatrenia, ktoré by mali byť súčasťou každodennej rutiny manažérov. Už preto, že v rebríčku slabých miest, ktoré ohrozujú firmy v oblasti informačnej bezpečnosti, vedie nedbalý a neuvedomelý prístup zamestnancov, vyplýva z vlaňajšieho prieskumu EY.

Pozor na súkromný tablet

V tomto smere sa ako dosť problematické javí, ak firma umožňuje svojim ľuďom používať vlastné mobilné zariadenia v práci (BYOD – Bring Your Own Device) najmä v spojení s intenzívnym zapájaním sa používateľov do sociálnych sietí. To platí rovnako pre útoky zvonku, ako aj pre škodlivé správanie zamestnancov. Zatiaľ čo na interných pracoviskách s ľahko idenitifkovateľnými a zabezpečenými používateľskými bodmi sa dá nekalé správanie zamestnanca odhaliť pomerne ľahko, na externých súkromných zariadeniach je to komplikovanejšie.

Našťastie, trend používania vlastných mobilných zariadení sa zatiaľ vo firmách na Slovensku veľmi nepresadil. Zatiaľ čo polovica svetových firiem, najmä v Spojených štátoch, umožňuje zamestnancom využívať vlastné počítače a tablety aj v práci, európske firmy sú v prijímaní konceptu BYOD zdržanlivejšie. Podľa prieskumu spoločnosti Intel medzi 726 stredoeurópskymi firmami je v tomto smere najkonzervatívnejšie práve Slovensko. Viac ako 82 percent opytovaných manažérov IT BYOD nepodporuje a ani sa na to v najbližšom období nechystá.

Jedným zo základných imperatívov boja proti kyberkriminalite je efektívna prevencia. Rozhodnutia v oblasti bezpečnosti IT by firmy mali príjmať na základe lepšieho poznania a analýzy existujúcich trendov a príležitostí. Metódy ochrany pred kyberútokmi zvonka i pred možným zneužitím zvnútra firmy by sa mali integrovať do každodenného života spoločnosti a nešetriť pritom na pomoci od špecialistov. Zatiaľ čo IT špecialisti musia neustále aktualizovať bezpečnostné systémy a reagovať na nové hrozby, úloha manažmentov je zavádzať počítačovú obozretnosť nie ako samostatnú novinku, ale súčasť kažodennej činnosti zamestnancov.

Desať hlavných zásad IT bezpečnosti

l Rozpočet zohľadňujúci IT riziká: v roku 2016 sa ho chystá uplatniť 25 % veľkých spoločností

l Biometrická identifikácia: v roku 2020 by mala byť zavedená v polovici všetkých mobilných zariadení (tento rok 15 %)

l Spravodajské informácie o možných hrozbách: v roku 2017 s nimi počíta 75 % veľkých firiem

l Zakódované informácie: v roku 2018 by mali tvoriť 50 % údajov v cloude (dnes 20 %)

l Bezpečnosť ako služba: SaaS (Software as a Service) v oblasti bezpečnosti vzrastie o dva roky dvojnásobne

l Manažovanie používateľov: multifaktorovú autentifikáciu oprávnených osôb využije v roku 2016 pätina veľkých firiem

l Ochrana koncového hardvéru: v roku 2017 až 90 % firiem počíta so zabezpečením všetkých používateľských zariadení

l Integrovaná bezpečnosť: v roku 2018 bude 25 % bezpečnostných aplikácií už originálnou súčasťou pracovných aplikácií

l Softvérová bezpečnosť: 40 % webových stránok a aplikácií bude v roku 2018 pravidelne preverovaných v hľadiska zraniteľnosti

l Efektívny manažment: o dva roky bude 75 % bezpečnostných inžinierov IT referovať priamo generálnemu riaditeľovi (CEO)

Foto Shutterstock

Nepripravený podnik môžu podvody položiť

Nepripravený podnik môžu podvody položiť

Odborník musí mať vedomosti aj vášeň

Odborník musí mať vedomosti aj vášeň