(PR článek)
V reakci na masivní úniky citlivých dat, kdy hackeři získali například miliony údajů o platebních kartách zákazníků obchodních řetězců Target nebo Marcus Neiman, uskutečnila společnost BAE Systems Applied Intelligence velký průzkum mezi vedoucími IT manažery velkých amerických firem. Průzkum ukázal, že 82 procent firem se obává, že intenzita velkých cílených útoků na systémy a data se v horizontu dvou let zvýší. Víc než polovina respondentů navíc uvedla jako největší hrozbu organizované skupiny útočníků.
Téměř dvě třetiny (60 %) respondentů uvedlo, že jejich firma v reakci na nedávné skandály zvýšila výdaje na kybernetickou bezpečnost; ty podle respondentů aktuálně představují 15 % výdajů na informační technologie.
Za pozornost stojí, že vrcholové orgány společností IT hrozby stále podceňují. Plných 31 procent respondentů uvedlo, že představenstvo jejich společnosti „nechápe rozsah IT hrozeb“.
V Evropě to není lepší
Díky vyspělejší platební infrastruktuře v Evropě nedošlo k tak masivním únikům údajů o platebních kartách, ale zdejší situace je v principu obdobná. Společnosti se obávají útoků, jako byla například vlna malware Hesperbot, cíleného na přístup k internetovému bankovnictví uživatelů, nebo vyděračský útok Cryptolocker, kdy zločinci požadovali výkupné za klíč k zašifrovaným souborům.
Závěry průzkumu BAE Systems jsou v souladu s tím, co pozorujeme na českém trhu. Společnosti projevují velký zájem o možnosti, jak se chránit. Není proto divu, že na únorovém bezpečnostním semináři, který společnost ESET uspořádala pro své klienty a ostatní zájemce o zvýšení informační bezpečnosti, bylo beznadějně plno.
Společnosti mají zájem jak o produkty ESET, tedy o nástroje na ochranu proti informačním hrozbám, tak také o služby, které ESET ke zvýšení informační bezpečnosti nabízí.
Bezpečnostní produkty a služby
Co se produktů týče, klíčová je antivirová ochrana koncových stanic. Právě ty jsou totiž nejčastějším terčem útoků; laboratoře ESET VirusLab, které jsou strategicky rozmístěny po světě, registrují denně na čtvrt milionů vzorků malware. Za pozornost stojí závratně rostoucí počty mobilního malware – existuje již přes 200 tisíc škodlivých aplikací – drtivá většina z nich cílí na platformu Android, která je kvůli své otevřenosti a současně velkému tržnímu nejsnazším a současně nejlákavějším terčem.
Samotné bezpečnostní produkty zabezpečení firmy nezajistí - byť by byly sebelepší. Jejich nasazení totiž má být jen jedním z prvků řízení informační bezpečnosti. Za tuto oblast ve firmách odpovídá bezpečnostní manažer; zajímavou možností je, tuto funkci outsourcovat. Dalšími službami řízení informační bezpečnosti jsou například analýza rizik, tvorba vnitřních předpisů nebo průběžné školení uživatelů.
Důvěřuj, ale prověřuj
Skutečnou účinnost zabezpečení systémů a dat odhalí jedině útok. A je lepší, když jde o útok simulovaný v podobě takzvaného penetračního testu. Pokud jsou totiž v zabezpečení slabiny, je lepší, když jsou výsledkem útoku doporučení na zlepšení, než když útok způsobí reálné škody.
Největší slabinou zabezpečení typicky bývá lidský faktor. Ukazují to i statistiky, založené na analýzách úspěšných útoků: většina z nich využila některou z metod sociálního inženýrství. Jde o metody, založené na zneužití přirozených lidských reakcí uživatelů, na něž je útok cílen. Právě penetrační testy jsou nejlepší možností, jak odolnost vůči sociálnímu inženýrství zjišťovat.
Závěry penetračních testů poslouží k vylepšení ochrany. To je nutné, protože ochrana, která byla ještě včera dostatečná, už zítra rozhodně nestačí. Útočníci své metody neustále vylepšují a firmy, pokud nechtějí hazardovat s bezpečností systémů a dat – tím spíš, že často jde o data jejich zákazníků či partnerů – s nimi musí držet krok.
PŘEDPLATNÉ
ČLÁNKY DO MAILU