Aj to je jeden z omylov, ktoré môžu vašu firmu stáť peniaze a reputáciu. V spolupráci s Dávidom Dvořákom, ktorý sa téme kybernetickej bezpečnosti vo firmách venuje dlhé roky, sme pre vás zostavili hitparádu tých najčastejších mýtov s ktorými sa v praxi stretávame.
4. najčastejší mýtus: Bezpečnosť vyriešil dodávateľ priemyselnej technológie
Kybernetické hrozby sa stávajú čoraz sofistikovanejšími a nebezpečnejšími. Každý výrobca priemyselných strojov, elektroniky, hardvéru či softvéru je preto etickými pravidlami viazaný zverejniť na internete všetky bezpečnostné diery, ktoré vo svojom produkte našiel a zaplátal. Ak vaše softvérové vybavenie nie je aktualizované, môže si každý skutočný či ašpirujúci hacker vyhľadať tento zoznam „dier“, a skúšať cez ne do vašej firmy preniknúť. Preto nestačí jednorazovo nakúpiť riešenie od dodávateľa a spoľahnúť sa, že ste spravili všetko, čo bolo potrebné. Sledovať oznamy a varovania od výrobcu vašich zariadení a softvéru je bezpečnostné minimum. Ak si chcete byť skutočne istý je nevyhnutné nasadiť aj ďalšie vrstvy ochrany.
Príklad upozornenia výrobcu Schneider Electric na (opravenú) bezpečnostnú dieru v ich výrobkoch Zdroj: Schneider Electric
3. najčastejší mýtus: Náš IT špecialista má všetko pod palcom
Keď sme zakladali Void SOC – operačné stredisko pre kybernetickú bezpečnosť, vypočítali sme, že minimálny počet pracovníkov, ktorých firma potrebuje na 24/7 monitoring a reakciu na hrozby, je 13. Hovoríme o špecialistoch na kybernetickú bezpečnosť, ktorých dnes na Slovensku nájdete len ťažko a v niektorých regiónoch vôbec. Nehovoriac o nákladoch, ktoré takýto tím predstavuje.
V mnohých firmách ma zodpovednosť za kybernetickú bezpečnosť oddelenie IT. A v mnohých to oddelenie tvorí len jeden človek. Avšak nechať kybernetickú bezpečnosť na jedného človeka je rizikové. Hackeri nepočkajú, kým ráno príde do práce, a urobia všetko preto aby si ich aktivity vôbec nevšimol. Možno aj preto ukazujú štatistiky, že na útok sa v priemere príde až po 214 dňoch od napadnutia. Za ten čas môže útočník spôsobiť vašej firme nenapraviteľné škody
2. najčastejší mýtus: Naša firma je dobre zabezpečená, veď máme antivírus a firewall
Antivírus aj firewall často vytvárajú falošný pocit bezpečia. Sú dôležité pre ochranu koncových zariadení, akými sú počítače či notebooky alebo elementárnu ochranu siete ale taktiež majú svoje bezpečnostné diery a nedostatky a skúsený hacker ich vie obísť.
Najčastejšie zanedbávanou je však bezpečnosť automatizovaných strojov a výrobných liniek. Tie sú častokrát úplne bez ochrany a ak sú napojené na vnútornú sieť vašej firmy, a cez ňu do internetu, tak sú vystavené obrovskému riziku, že sa k nim útočník dostane.
Ďalším príkladom sú tlačiarne. Mnoho firiem ich má pripojené na internet, skenujú a posielajú z nich emaily. Tlačiarne ale nepatria k tým zariadeniam, ktorým je venovaná zvýšená pozornosť, čo sa bezpečnosti týka. Aj preto je zvyčajne jednoduché napadnúť ich a použiť ich ako vstupnú bránu do celej firmy.
Ak naozaj chcete chrániť svoju firmu z pohľadu kybernetickej bezpečnosti, nestačí len nakúpiť antivírus či nasadiť firewall, riešenie bezpečnosti musí byť komplexné a korešpondujúce s potrebami vašej firmy.
Najčastejší mýtus: Kto by NÁS chcel napadnúť?
Kybernetické útoky sú najčastejšie motivované túžbou po finančnom zisku. Zďaleka to ale nie je jediný dôvod prečo vás môžu zasiahnuť. Útok môže byť aj náhodný, ako súčasť plošnej kampane, jednoducho preto, že sa to dalo. Ohrozenou preto môže byť aj malá firma, ktorá je zdanlivo nezaujímavým cieľom.
V prípade útokov, akými sú ransomware (škodlivý program vám zašifrovaním zneprístupní systémy a potom od vás pýta výkupné), však nemusí byť útok cielený. Hacker napíše kód, ktorý automaticky hľadá zraniteľnosti, a ak nejakú nájde, použije ju na prienik. Sám ale ani nemusí vedieť, kam a na koho útočí. V tomto prípade robí z firiem cieľ ich slabé zabezpečenie, nie ich majetok, cennosť ich know-how či patentov. Cieľom tak môže byť skutočne každý. Dôležité je zachytiť útok hneď na začiatku a hrozbu odvrátiť ešte skôr, ako sa z malého problému stane veľký.
Na zabezpečenie svojej firmy nemusíte nutne investovať obrovské peniaze do technológií, ani zamestnávať "armádu" vlastných kybernetických špecialistov. Dnes si už oboje viete zabezpečiť formou služby externe. Čo ale sami robiť musíte, je brať tému vážne a neschovávať sa za mýty.
