Firmy trpia na incidenty tretích strán, bezpečnosť dodávateľov však neriešia

Podľa prieskumu Kaspersky Lab až 47 % podnikov utrpela stratu či únik údajov v dôsledku incidentu, ktorý zasiahol infraštruktúru dodávateľa IT služieb. Napriek miliónovým škodám riziká prichádzajúce od tretích strán podceňuje stále väčšina firiem.

Rýchly a nekontrolovaný prechod na cloudové služby sa firmám nemusí vždy vyplatiť. Obzvlášť, ak nemajú jasne definované bezpečnostné stratégie a ponechajú množstvo dát nekoordinovane sa pohybovať medzi množstvom externe prístupných aplikácií. V prieskume spoločnosti Kaspersky Lab sa pritom až 35 % podnikov priznalo, že nemajú ani len základný prehľad o tom, ktoré z korporátnych informácií sú uložené na firemnom serveri a ktoré spravujú poskytovatelia cloudovej infraštruktúry.

Cloudové služby sú stále populárnejšie, pretože poskytujú firmám neobmedzený dátový priestor a prístup k informáciám kedykoľvek a odkiaľkoľvek. Umožňujú im využívať všetky výhody kľúčových technológií, ktoré zefektívňujú ich operačné procesy, čo sa pozitívne premieta do plnenia ich plánov a následného rastu. Preto nie je prekvapivé, že až 78 % podnikov už dnes aktívne využíva aspoň jednu z tzv. SaaS (softvér-ako-služba) platforiem. Z prieskumu bezpečnostnej spoločnosti, ktorý bol zameraný predovšetkým na firmy, ďalej vyplynulo, že takmer rovnaký počet – trištvrtiny podnikov (75 %) plánujú v blízkej budúcnosti presunúť do cloudu viac aplikácií. Pokiaľ ide o model založený na IaaS (infraštruktúra-ako-služba), dnes už takmer polovica (49 %) veľkých podnikov a 45 % malých a stredných firiem sa snaží outsourcovať IT infraštruktúru a procesy od externých dodávateľov, teda tretích strán.

V mnohých prípadoch však tlak na rýchle zavedenie, ako aj vidina úspory prevádzkových nákladov, odsúvajú bezpečnosť na druhú koľaj. Firmy často využívajú cloudové služby a IT infraštruktúru poskytovanú tretími stranami bez toho, aby mali zavedené bezpečnostné stratégie na ochranu korporátnych informácií. Prieskum Kaspersky Lab ukázal že 7 z 10 podnikov využívajúcich služby poskytovateľov SaaS a cloudových modelov nemá žiadnu bezpečnostnú stratégiu pre prípady incidentov, ktoré by ich mohli zasiahnuť práve cez týchto dodávateľov. Štvrtina sa dokonca priznala, že v ich obchodnom vzťahu nemá dodávateľ jasne špecifikovanú mieru zodpovednosti v prípade incidentu.

Vývoj za posledných 12 mesiacov naznačuje, že spoliehanie sa v otázkach bezpečnosti len čisto na poskytovateľa cloudových služieb je skutočne riskantnou stratégiou. Naznačujú to nakoniec aj výsledky prieskumu – 42 % podnikov sa totiž necíti dostatočne chránených pred útokmi, ktoré by mohli zasiahnuť dodávateľov cloudových služieb, pričom štvrtina z týchto firiem už má vlastnú skúsenosť s bezpečnostnými incidentmi na IT infraštruktúru tretej strany.

Podceňovanie otázok bezpečnosti voči akýmkoľvek tretím stranám, ktorým firma zveruje do rúk cenné dáta, môže spôsobiť obrovské škody. Podľa štatistík stála za posledné obdobie takáto ľahostajnosťveľké firmy v priemere 1,2 milióna dolárov, v prípade malých a stredných podnikov hovoríme o finančných škodách okolo 100-tisíc dolárov. V prípade incidentov pochádzajúcich od tretích strán boli najčastejšie zasiahnuté tieto tri typy údajov:

  1. citlivé informácie o zákazníkoch (49 % u malých a stredných podnikov, 40 % u veľkých spoločností),
  2. informácie o zamestnancoch (35 % u malých a stredných podnikov, 36 % v prípade veľkých spoločností) a
  3. e-mailová a interná komunikácia (31 % u malých a stredných podnikov a 35 % u veľkých spoločností).

Preto je dôležité, aby spoločnosti mali pod kontrolou všetky dáta, ktoré putujú na externé úložiska a ktoré sa ocitnú v rukách tretích strán, a mali by mať zavedené účinné bezpečnostné stratégie.

Viac podobných článkov nájdete na www.podnikajte.sk


Tomáš Zaťko: 3 jednoduché zásady, ktoré pomôžu ochrániť vašu firmu pred kyberútokom

Prvý program napísal, keď mal osem a jeho prvým hackom bolo odomknutie všetkých levelov počítačovej hry. V dvanástich sa zúčastnil programátorskej súťaže a spoznal Juraja Bednára, s ktorým neskôr založili firmu, ktorá patrí k špičke v etickom hackerstve. Aké druhy útokov najčastejšie ohrozujú slovenské firmy a ktoré tri veci musíte urobiť, aby ste predišli väčšine kyberútokov? Rady od Tomáša Zaťka, etického hackera a majiteľa spoločnosti Citadelo.

Pavol Draxler: Ako sa brániť proti hackerským útokom?

Hackeri môžu o firme zistiť viac, ako si jej majitelia vôbec vedia predstaviť. Spoločnosti často podliehajú mylnému dojmu, že pre útočníkov nie sú zaujímavé. Opak je pravdou, hovorí expert v oblasti kybernetickej bezpečnosti.

Milióny aplikácií vystavujú riziku osobné údaje používateľov

Bezpečnostní experti spoločnosti Kaspersky Lab sledovali 13 miliónov aplikácií pochádzajúcich z oficiálnych zdrojov a zistili, že takmer štvrtina z nich prenáša používateľské údaje cez nechránené HTTP protokoly. Vo väčšine prípadov ide o údaje o zariadení a technické špecifikácie, úniky sa však týkali aj určenia polohy zariadenia, histórie vyhľadávaní či citlivých osobných údajov – ako telefónne číslo, meno alebo vek majiteľa zariadenia.

6 rafinovaných taktík kyberzločincov

Jeden z najväčších bezpečnostných samitov SAS 2018 (Security Analyst Summit) hostil tento rok opäť špičku v oblasti výskumu kybernetických hrozieb. Experti priniesli niekoľko zásadných zistení, ktoré odhaľujú čoraz rafinovanejšie taktiky kyberzločincov a zraniteľnosti súčasného digitálneho sveta.