;

Drtivá většina firem si zvyšuje zranitelnost chybami v nastavení cloudu

6. 1. 2023
Doba čtení: 3 minuty

Sdílet

 Autor: © Andrea Danti - Fotolia.com
Celosvětově může až 90 procent firem a státních institucí čelit kyberbezpečnostním hrozbám kvůli chybnému nastavení svých cloudů. Upozorňuje na to studie KPMG, podle které nejsou bez rizik ani další IT trendy jako například 5G sítě. Posílit kyberbezpečnost má i nová směrnice NIS2, která byla schválena během českého předsednictví v EU.

V průzkumu KPMG mezi šéfy globálních korporací jich 58 procent uvedlo, že jejich firmy jsou na kybernetický útok dobře připraveny.

Je vaš cloud bezpečný?

„To znamená, že téměř polovina ředitelů nepřímo přiznala, že mají v kyberbezpečnosti rezervy. Jestliže obranyschopnost není nejlepší ani ve všech velkých mezinárodních společnostech, tím spíš pokulhává v mnohých českých podnicích a úřadech. Problém obnažil i úspěšný květnový hackerský útok na Ředitelství silnic a dálnic,“ uvedl direktor technologického týmu české KPMG Tomáš Kudělka.

Přísnější pravidla kyberbezpečnosti budou muset brzy dodržovat tisíce podniků i státních institucí. Nově totiž začnou podléhat unijní normě NIS2 (Směrnice o síťové a informační bezpečnosti). 

„Revoluční je rozšíření počtu subjektů, na které bezpečnostní regulace dopadne. Další poměrně převratnou věcí je přísnost sankcí, které mají být strašákem na management, jenž nese za kyberbezpečnost odpovědnost. Zásadní novinkou je i požadavek použití evropského systému certifikace produktů kybernetické bezpečnosti,“ shrnul Kudělka hlavní změny v NIS2. 

Bezpečnost cloudu posílí serverless architektura 

Jak se stále více dat, programů a aplikací přesouvá do cloudů, bezpečnost cloudu se téměř stala synonymem pro kybernetickou bezpečnost. 

„Mnohé firmy i státní instituce to ale podceňují. Podle odhadu ve studii Cyber security considerations 2022 je celosvětově až 90 procent organizací potenciálně zranitelných kvůli chybné konfiguraci cloudu. Údaj za Česko není k dispozici, bude asi nižší, ale i tak významný,“ upozornil Kudělka.

Za 50 tisíc už v IT v Praze nikdo nepracuje, horní hranice i je čtvrt milionu Přečtěte si také:

Za 50 tisíc už v IT v Praze nikdo nepracuje, horní hranice i je čtvrt milionu

Poskytovatelé cloudu a společnosti, které jejich služby využívají, uzavírají dohody o sdílené odpovědnosti.

„Ty jsou ale často špatně chápány, hlavně ze strany klientů. Nejasnosti panují zejména ohledně odlišení odpovědnosti za bezpečnost cloudu jako prostředí a obsahu na cloudu uloženém. Nejproblematičtější to bývá v případě využívání konceptu softwaru či platformy jako služby,“ vysvětlil Kudělka. Dodal, že za všechna data na cloudu má nést odpovědnost organizace, která je tam uložila, nikoli poskytovatel cloudu.

Posílit bezpečnost cloudových řešení může vhodně nastavená automatizace – ať už monitoringu či oprav. Přínosný bývá i přechod cloudů na serverless architekturu. Data na cloudu se obvykle vyplatí zašifrovat. 

„Vývojáři cloudu musí samozřejmě dodat bezpečný produkt, na jeho následnou nezranitelnost za provozu by ale měl dohlížet jiný speciálně vyškolený tým. Nelze čekat, že vývojáři budou současně experty i na všechny aspekty bezpečnosti, zvlášť když vynalézavost budoucích útočníků nelze zcela předvídat,“ poznamenal Kudělka. 

5G je pokrok i riziko

Přechod na 5G sítě bude spojený i s novými bezpečnostními výzvami, které nesouvisejí pouze s prověřováním dodavatelů kritických prvků této rodící se infrastruktury. 

Osm charakteristik vysoce efektivních CIO Přečtěte si také:

Osm charakteristik vysoce efektivních CIO

„5G přinese velký pokrok v konektivitě, což si však vyžádá vysoce sofistikovaný systém zabezpečení a kontroly. Budeme nejspíš v situaci, kdy se miliony zařízení s vlastní digitální identitou budou moci připojovat současně v ne vždy důvěryhodných prostředích s velmi proměnlivou architekturou připojení,“ varuje studie Cyber security considerations 2022.

Budoucnost hesel zbavená?

Pozorujeme stírání rozdílů mezi správou autentizace a dalšími způsoby zabezpečení v B2C a B2B podnikání. Zároveň se postupně rozšiřuje ověřování identity bez hesel, která nahrazují hlavně tokeny ve formě USB/NFC klíčenky, smart karty nebo biometrie. 

Prohlížeč Chrome ruší hesla. Bude mít token Přečtěte si také:

Prohlížeč Chrome ruší hesla. Bude mít token

„Začněte používat strategii autentizace bez hesla ve vybraných případech,“ doporučuje studie.

ICTS24

Elektronická peněženka snad už v roce 2024

Digitální identitu upravuje i tzv. eIDAS II., tj. návrh revize nařízení EU eIDAS o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu. 

„V souvislosti s povinností zavést toto nařízení v jednotlivých členských státech EU bychom se mohli již v roce 2024 dočkat první vlastní digitální a snad i skutečně použitelné elektronické peněženky. Ta by kromě základních osobních identifikačních údajů měla obsahovat například i řidičský průkaz, diplom nebo rodný list,“ uzavřel Kudělka.

 

CIO Business World si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.