Počítače a internet zohrávajú vo firmách čoraz väčšiu úlohu. Fungovanie mnohých spoločností je doslova závislé od počítačových systémov. Preto firmy predstavujú čoraz väčšie lákadlo pre kybernetických útočníkov. Tí sa snažia zablokovať počítače vo firmách a pýtajú od nich výkupné. „Možnosť zaplatiť výkupné by som neodporúčal, pretože sa v mnohých prípadoch stalo, že napriek uhradeniu výkupného sa útočník odmlčal a dešifrovací kľúč obeti neposkytol,“ vraví v rozhovore pre TREND Prime partner oddelenia podnikového poradenstva a riadenia rizík EY na Slovensku Peter Borák.
Venujú slovenské firmy dostatočnú pozornosť kybernetickej bezpečnosti?
Slovenské firmy sa postupne čoraz viac venujú oblasti informačnej a kybernetickej bezpečnosti, no napriek tomu, že sa snažia prijímať bezpečnostné opatrenia a zdokonaľovať zabezpečenie informačných systémov, výrazne zaostávajú za reálnymi kybernetickými hrozbami a sofistikovanosťou kybernetických útokov. Napriek nespochybniteľne väčšej pozornosti, ktorá sa kybernetickej bezpečnosti venuje, stále pretrvávajú určité nedostatky, na ktorých odstránení musia spoločnosti systematicky pracovať. Je dokázané, že veľmi častou príčinou únikov dát je nevedomosť a neúmyselné ľudské chyby.
Ktoré riziká firmy najviac ohrozujú?
So zvyšujúcou sa mierou digitalizácie a pôsobenia firiem v kybernetickom priestore sa prirodzene zvyšuje aj miera rizika. Rizikom môžu byť čoraz častejšie využívané cloudové služby. Ďalšiu množinu zraniteľností so sebou prináša internet vecí (IoT), keďže čoraz viac inteligentných zariadení je neustále pripojených k internetu a množstvo týchto zariadení nemá implementované ani bazálne bezpečnostné nastavenia brániace ich zneužitiu. V neposlednom rade netreba zabúdať ani na „klasický“ malvér a hrozby spojené so sociálnym inžinierstvom.
Dôležitá prevencia
Budú podľa vás v budúcnosti pribúdať kybernetické útoky?
Proces digitálnej transformácie a elektronizácie je nezadržateľný. S pravdepodobnosťou blížiacou sa istote možno predpokladať, že počet kybernetických útokov cieliacich na firmy – ale pravdaže i na inštitúcie verejnej správy či jednotlivcov – sa bude v budúcnosti len zvyšovať. Žiadna z firiem by nemala podceňovať kybernetické hrozby a mala by prijímať primerané technické, personálne a organizačné bezpečnostné opatrenia, ktorých primárnou úlohou je ochrana kritických informačných aktív.
Viaceré firmy sa už stali obeťami kybernetických vydieračov. Čo má firma robiť, ak sa jej to stane?
Otázka by možno mala skôr znieť, čo má firma robiť, aby sa jej to nestalo. Infikovanie ransomvérom je pomerne častým a nebezpečným typom útoku, prostredníctvom ktorého útočník zašifruje pevný disk alebo časť údajov uložených na pevnom disku obete. Pretože ransomvér sa veľmi často šíri prostredníctvom phishingových e-mailových správ, účinnou prevenciou je zvyšovanie bezpečnostného povedomia používateľov a vynucovanie dodržiavania bezpečnostných smerníc.
Škody spôsobené kybernetickými útokmi môžu byť pre organizáciu značné, v niektorých prípadoch až likvidačné
Čo všetko treba pre to urobiť?
Z pohľadu organizačno-technického je dôležité mať v organizácii zavedené riadené procesy zálohovania, obnovy a manažmentu plynulého podnikania, vďaka ktorým možno takýto útok zvládnuť s nepomerne menšími následkami. Veľmi účinným preventívnym opatrením je udržiavať operačný systém, antimalvérové riešenie a ostatné softvérové vybavenie v aktuálnom stave. Ak sa útok napriek tomu útočníkovi podarí zrealizovať, je potrebné aktivovať havarijný plán či plán obnovy, prípadne kontaktovať expertov na kybernetickú bezpečnosť, ktorí môžu významne prispieť k vyriešeniu situácie a znížiť celkové škody.
Pravdepodobnosť útoku sa zvyšuje
A čo zaplatenie výkupného?
Možnosť zaplatiť výkupné by som neodporúčal, pretože v mnohých prípadoch sa stalo, že napriek uhradeniu výkupného sa útočník odmlčal a dešifrovací kľúč obeti neposkytol.
Čo by mali firmy urobiť, ak sa nechcú stať obeťou útoku?
V prvom rade by mali čo najprecíznejšie identifikovať vlastnú zraniteľnosť. Na základe týchto údajov potom vedia zraniteľnosť efektívne pokryť cielenými bezpečnostnými opatreniami a adresne vyberať, prispôsobovať a zdokonaľovať svoje bezpečnostné systémy.
Dokážu firmy samy čeliť rôznym nebezpečenstvám alebo je potrebné, aby sa obrátili na špecialistov?
Kybernetické útoky sú čoraz častejšie, intenzívnejšie, rozsiahlejšie a sofistikovanejšie. Pravdepodobnosť uplatnenia a dosah kybernetických hrozieb sa neustále zvyšuje a nič nenasvedčuje tomu, že by sa v dohľadnom čase mal tento trend zmeniť. Je jasné, že rizikám súvisiacim s informačnou a kybernetickou bezpečnosťou budú musieť organizácie venovať čoraz väčšiu pozornosť. Ochrana informačných systémov a údajov, ktoré spracúvajú, je dôležitá a musí byť v rukách odborníkov. Je principiálne jedno, či špecialisti pochádzajú z firmy samotnej alebo z externého prostredia. Ak mám odpovedať na položenú otázku, praxou osvedčená kombinácia je kvalitný a stabilný interný tím expertov, ktorý podľa potreby využíva kapacity externých expertov špecializujúcich sa na konkrétne domény kybernetickej bezpečnosti.
Oplatí sa mať aj poistenie proti kybernetickým hrozbám?
Škody spôsobené kybernetickými útokmi môžu byť pre organizáciu značné, v niektorých prípadoch až likvidačné. Poistenie môže reálne pomôcť finančne zvládnuť samotný útok, rovnako i následnú fázu zotavenia.
Peter
Borák (50)
Vyštudoval Matematicko-fyzikálnu fakultu na Univerzite Komenského
v Bratislave. Je držiteľ certifikátov CISA, CISSP, CISM, CGEIT,
CRISC, CIPP/E, CIPM, C|CISO a PRINCE2 Practitioner.
V spoločnosti EY pracuje od roku 2017. V súčasnosti je partner
oddelenia podnikového poradenstva a riadenia rizík EY na Slovensku
a líder centrálneho klastra pre poradenské služby v oblasti
kybernetickej bezpečnosti a líder centrálneho klastra pre poradenské
služby pre verejný sektor.
Investícia, ktorú nevidno
Organizujete súťaž EY Cyber Security Trophy, ktorá má upriamiť pozornosť na kybernetickú bezpečnosť. Pozorujete, že sa firmy začínajú viac zameriavať na tieto riziká?
Súťaž EY Cyber Security Trophy sa snaží upriamiť pozornosť na kybernetickú bezpečnosť, jej nemenej dôležitým poslaním je aj vyzdvihnúť úsilie bezpečnostných administrátorov, etických hackerov, mladé talenty a v neposlednom rade i inovátorov v oblasti kybernetickej bezpečnosti. Aj prostredníctvom tejto súťaže [v súčasnosti ide už o tretí ročník – pozn. TRENDU] pozorujeme v mno
hých firmách zvýšený záujem o kybernetickú bezpečnosť a riziká s ňou spojené. Pozitívny efekt na záujem a informovanosť v tejto oblasti mali nepochybne aj významné európske a národné legislatívne akty týkajúce sa informačnej a kybernetickej bezpečnosti, z ktorých by som spomenul európske nariadenie GDPR, európske smernice PSD2 a NIS a slovenský zákon o kybernetickej bezpečnosti.
V čom najviac firiem zlyháva?
Organizácie podceňujú, respektíve nevenujú dostatočnú pozornosť zvyšovaniu bezpečnostného povedomia svojich zamestnancov a nealokujú dostatočné finančné prostriedky na kybernetickú bezpečnosť, pretože v drvivej väčšine prípadov nie je efekt priamo viditeľný. Je skutočne veľmi náročné pre vrcholový manažment vyargumentovať takýto typ investície. Táto neľahká úloha je zväčša na pleciach chief information security officerov, pre ktorých sme v našej súťaži EY Cyber Security Trophy pripravili jednu súťažnú kategóriu.
Rizikom môžu byť čoraz častejšie využívané cloudové služby
Ktoré firmy sú najohrozenejšie?
Keďže jedným z hlavných motívov – aj keď zďaleka nie jediným – je finančné obohatenie, logicky sa ponúka odpoveď, že terčom útočníkom by mali byť ekonomicky disponované organizácie. Na druhej strane vo všeobecnosti platí, že čím bohatšia a vyspelejšia firma, tým viac pozornosti venuje zabezpečeniu svojich informačných systémov a sietí. Najčastejšími cieľmi sa tak stávajú stredné firmy, internetové obchody, ale napríklad aj nemocnice, orgány samosprávy či štátne inštitúcie.
Na jar tohto roku kybernetickí útočníci prakticky odstavili Fakultnú nemocnicu v Brne. Hrozí takéto niečo aj slovenským nemocniciam?
Podobne ako vo svete, aj v našich zemepisných šírkach sú nemocnice pomerne zaujímavým terčom pre kybernetických útočníkov. Nevidím žiaden dôvod, prečo by terčom útoku nemohla byť i ktorákoľvek nemocnica na Slovensku.
Ako sa môžu nemocnice brániť?
Keďže veľmi častým typom útoku na nemocnice je infikovanie ransomvérom prostredníctvom phishingových e-mailových správ, účinným bezpečnostným opatrením je zvyšovanie povedomia nemocničného personálu v oblasti informačnej bezpečnosti a ochrany údajov. Určite však nemožno podceňovať ani iné typy kybernetických útokov, ako sú napríklad DoS/DDoS útoky, proti ktorým sú účinné iné – najmä technické – bezpečnostné opatrenia.
