Únik firemných dát sa podpíše na jej fungovaní aj financiách. Kľúčom k zvoleniu vhodných opatrení je analýza a ocenenie potenciálnych rizík. Ako na to a prečo je to dôležité?
Kybernetických útokov pribúda a nevyhýbajú sa im ani slovenské a české firmy. Ako vyplýva z prieskumu spoločnosti Mastercard v roku 2023, napriek zvyšujúcej sa hrozbe situáciu manažment často podceňuje. O úroveň kybernetickej bezpečnosti sa podľa prieskumu vedenie spoločností zaujíma v menej ako polovici prípadov. Pätina sa touto problematikou nezaoberá vôbec. Rastú pritom tak útoky formou phishingu, ransomware či malware, ako aj rôznymi podvodnými telefonátmi (tzv. vishing), kedy sa útočník snaží dostať k citlivým údajom alebo rovno presvedčiť k prevodu peňazí. Okrem finančných dôsledkov môžu kybernetické útoky zapríčiniť aj výpadky prevádzky či stratu a odcudzenie dôležitých dát.
A hoci moderné technické riešenia ponúkajú veľmi vysokú úroveň kybernetického zabezpečenia pred rôznymi typmi útokov, akú sofistikovanú a nákladnú ochranu v skutočnosti firma potrebuje, možno zistiť analýzou možných rizík. Ako na to?
Kybernetické zabezpečenie je podobné poisteniu nehnuteľnosti
V niektorých prípadoch nie je až tak náročné analyzovať riziká. Napríklad, ak ide o e-shop, z histórie objednávok možno celkom jednoducho spočítať, o koľko peňazí prichádza každú hodinu výpadku kvôli kyberútoku. Podobne to vedia vyčísliť výrobné závody alebo poskytovatelia online služieb. Na základe týchto výpočtov je potom možné stanoviť rámec investície do kybernetického zabezpečenia, ktorá bude zodpovedať potenciálnym škodám.
„Kybernetické zabezpečenie môžeme vnímať podobne ako poistenie nehnuteľnosti proti živelným pohromám či vykradnutiu. Nehnuteľnosť a veci v nej majú nejakú odhadovanú hodnotu a od tej sa odvíja výška poistky. V kyberbezpečnosti je to podobné, len výpočet hodnoty nehmatateľných, digitálnych dát nemusí byť vždy úplne ľahký. Firmy sa preto niekedy dopúšťajú chyby a preceňujú hodnotu fyzického majetku práve na úkor dát,“ vysvetľuje Milan Ryšavý, architekt kybernetickej bezpečnosti spoločnosti Seyfor.
Kyberzločinci cielia primárne na dáta
Sú to práve dáta, ktoré dnes vo väčšine firiem predstavujú najväčšiu časť majetku a súčasne aj absolútne nevyhnutný prostriedok na každodenné fungovanie. Aj preto musí byť identifikácia konkrétnych typov informácií a ich hodnoty neoddeliteľnou súčasťou efektívnej prípravy na kyberútoky.
Ako sa uvádza v tlačovej správe spoločnosti Seyfor, práve na dáta sa dnes zameriava drvivá väčšina kyberzločincov, ktorí spôsobujú neustále rastúce množstvo ransomvérových útokov. Spoločnosť sa odvoláva na štúdiu kyberbezpečnostnej firmy Check Point, ktorá uvádza, že v roku 2023 bola pokusom o ransomvérový útok zasiahnutá každá desiata organizácia na svete, čo znamená medziročný nárast o 33 %. V priemere potom organizácie po celom svete zaznamenali 1 158 rôznych kyberútokov týždenne. V druhej polovici minulého roka bol pritom priemerný počet kyberútokov za týždeň u nás na Slovensku vyšší ako globálny priemer. Kým globálne išlo o 1 039 útokov, u nás to bolo 1 062 útokov. Najčastejšími cieľmi útokov boli banky a finančné inštitúcie.
Taktika útočníkov, ktorí cielia primárne na dáta, sa navyše mení: „Kým predtým boli dáta napadnutej organizácie zašifrované ransomvérom a útočník na obete vymáhal výkupné za ich opätovné sprístupnenie, dnes dochádza pri väčšine ransomvérových útokov aj k likvidácii dostupných záloh a predovšetkým k odcudzeniu podnikových dát. Kyberzločinci tak znemožnia firme obnovu dát vlastnými silami a navyše majú ďalšiu páku v rokovaní o zaplatení výkupného – hrozí totiž, že odcudzené dáta zverejnia na internete,“ opisuje evolúciu praktík kyberzločincov M. Ryšavý.
Ako na ocenenie rizík?
Aby firma vedela, aké dáta vlastne potrebuje pred zničením alebo odcudzením chrániť, musí začať s identifikáciou informácií a určením ich dôležitosti či prenesene hodnoty. Od toho sa potom bude odvíjať aj úroveň ich ochrany a súvisiace investície.
Spoločnosť Seyfor radí ako základný krok roztriediť informácie do niekoľkých úrovní - od tých najmenej dôležitých až po najcitlivejšie informácie, bez ktorých nemôže firma fungovať. Súčasne je nutné dáta kvantifikovať a urobiť si predstavu, ako rýchlo porastie ich množstvo. Dáta z rôznych senzorov (napríklad o pohybe firemných vozidiel) môžu rásť rýchlo, ale ich dôležitosť nie je taká značná, aby na ne bolo nutné aplikovať najvyšší stupeň zabezpečenia a robustné zálohovanie. Na druhej strane, dokumenty súvisiace s podnikovým know-how, údaje o zákazníkoch či finančné dáta, ktorých objem síce rastie pomalšie, majú strategickejší význam a vyžadujú najvyššiu úroveň ochrany.
„Identifikácia a klasifikácia informácií v rámci podniku je kľúčová nielen kvôli návrhu vhodných bezpečnostných opatrení, ale aj kvôli splneniu legislatívnych požiadaviek. Je to totiž aj jedna z kľúčových oblastí riešených pripravovanou novelou zákona o kybernetickej bezpečnosti na základe smernice NIS2,“ upozorňuje M. Ryšavý na nové povinnosti, ktoré bude novelizovaný zákon ukladať poskytovateľom regulovaných služieb. V predbežnej informácii k novele sa uvádza: „V návrhu zákona sa upravujú a precizujú bezpečnostné opatrenia tak, aby reflektovali nové bezpečnostné štandardy a posilňuje sa nástroj analýzy rizík pre aplikáciu bezpečnostných opatrení. Zavádza sa minimálna úroveň bezpečnostných opatrení ako základná prahová hodnota určujúca bazálnu úroveň bezpečnosti v štáte. Taktiež sa posilňuje dohľadová činnosť, podporuje sa vzdelávanie, dopĺňa sa zodpovednosť a posilňuje sa funkcia manažér kybernetickej bezpečnosti.“
Úlohou bezpečnostných opatrení na ochranu dát je zabezpečiť nielen ich dostupnosť a možnosti obnovy v prípade útoku, ale aj ich integritu (nemennosť) a dôvernosť. A to ako pri spracovaní a ukladaní v podnikových systémoch, tak aj počas prenosu po internete. „Ochrana všetkých dát na najvyššej úrovni by pre organizáciu znamenala náklady zďaleka prevyšujúce možné riziká. Preto je hlavnou úlohou analýzy rizík stanoviť hodnotu konkrétnych informácií a následne zvoliť adekvátny spôsob a úroveň ich ochrany, ktorý bude zodpovedať potenciálnym škodám. Spravidla sa to nezaobíde bez konzultácií so špecialistami, ktorí pomôžu ako s klasifikáciou dát, tak aj s návrhom vhodných opatrení,“ uzatvára M. Ryšavý zo spoločnosti Seyfor.
Netreba podceniť vzdelávanie a nastaviť jasné pravidlá vo firme
K úniku dát nezriedka dochádza v prípadoch, keď zamestnanci používajú firemné počítače a mobily aj na súkromné účely. Pri kyber útokoch zlyháva najmä ľudský faktor, ktorý sa nechá „nachytať“ podvodníkmi a klikne napríklad na škodlivý link, zadá citlivé údaje na falošnej webovej stránke či sa pripojí na verejnú Wi-Fi sieť. Jednou z rád odborníka preto je nepodceniť vzdelávanie užívateľov v oblasti kyber bezpečnosti.
Taktiež je podľa M. Ryšavého vhodné interným predpisom jasne definovať, za akých podmienok a ako je možné firemné zariadenie použiť na súkromné účely. Je pritom potrebné rozlišovať, o aký segment podnikania ide. Iné interné pravidlá budú potrebné v prípade technologického startup-u a iné v prípade vojenského spravodajstva.
Rady, ako riešiť kyber bezpečnosť vo firme, približujeme aj v článku Kybernetická bezpečnosť vo firme: tipy a triky, ako ochrániť údaje aj biznis.
