Kybernetické útoky predstavujú pre podnikovú sféru stále vážnu hrozbu

• Viac než tretina (37 %) opýtaných spoločností nemá aktuálny prehľad o relevantných kybernetických rizikách a chýba im flexibilita, prostriedky i schopnosti nevyhnutné na boj s narastajúcou počítačovou trestnou činnosťou

• Najobávanejším slabým miestom je nedbalý či neuvedomelý prístup zamestnancov, v rebríčku hrozieb dominuje krádež finančných informácií

• Východisko spočíva v neustálej pohotovosti spoločností a ich snahe predvídať nové hrozby

Väčšina spoločností (67 %) čelí narastajúcim hrozbám v oblasti informačnej bezpečnosti, ale viac ako tretina (37 %) pritom nemá potrebný aktuálny prehľad o kybernetických rizikách, ktorý je nutný pre pochopenie a potláčanie týchto hrozieb.

Toto zásadné zistenie vyplýva z každoročnej globálnej štúdie spoločnosti EY o bezpečnosti informačných systémov (Global Information Security Survey). Závery tohtoročného prieskumu, na ktorom sa zúčastnilo 1 825 podnikov zo 60 krajín sveta, boli publikované v správe s názvom Get Ahead of Cybercrime.

Firmám chýba pružnosť, prostriedky i schopnosti potrebné na to, aby dokázali eliminovať známe zraniteľnosti a dostatočne sa zorientovali v otázkach kybernetickej bezpečnosti. Celých 43 % účastníkov prieskumu priznáva, že suma vyčlenená podnikom na informačnú bezpečnosť sa v najbližších dvanástich mesiacoch napriek zosilňujúcim hrozbám nezvýši, čo predstavuje iba nepatrné zlepšenie oproti vlaňajšku, keď sa takto vyjadrilo 46 % respondentov.

Za jednu z hlavných prekážok rozvoja programu informačnej bezpečnosti označila viac než polovica opýtaných (53 %) nedostatok kvalifikovaných pracovníkov. Iba 5 % zahrnutých spoločností ďalej disponuje tímom špecializovaným na analýzu relevantných hrozieb. Uvedené údaje sa priveľmi nelíšia od roku 2013, keď na nedostatok odborných zdrojov poukázalo 50 % firiem a špecialistov, ktorí by sa zaoberali výhradne bezpečnostnými hrozbami, zamestnávali necelé 4 % podnikov.

V rebríčku slabých miest, ktoré oblasť informačnej bezpečnosti najviac ohrozujú, vedie „nedbalý či neuvedomelý prístup zo strany zamestnancov“. Tento problém považuje za najpálčivejší 38 % respondentov. Nasledujú „zastarané kontroly alebo architektúra“ (35 %) a „využívanie cloud computingu“ (17 %). Najvýraznejšie tri hrozby sú „krádež finančných údajov“ (28 %), „narušenie chodu alebo poškodenie povesti spoločnosti“ (25 %) a „krádež duševného vlastníctva alebo informácií“ (20 %).

Tohtoročný prieskum tiež ukázal, že treba vynaložiť viac úsilia na prevenciu a lepšie predvídať možné útoky – súčasné prostredie jednoducho neumožňuje eliminovať všetky bezpečnostné prieniky, ako aj samotné hrozby pochádzajúce z čoraz vynaliezavejších a dobre financovaných zdrojov.

„Rozumnou cestou, ako spoločnosti dokážu vytvoriť rizikovú stratégiu do budúcnosti, je, ak majú plne osvojené základné komponenty kybernetickej bezpečnosti a na jej základoch vytvoria proaktívne, štruktúrované a koordinované činnosti, ktoré v plnej miere začlenia do svojich obchodných procesov. Na tieto kroky pritom treba pozerať z hľadiska zvyšovania pridanej hodnoty, a nie ako na faktor vytvárajúci dodatočné náklady, ktoré treba obmedziť. Kybernetické útoky sú čoraz sofistikovanejšie a ich dôsledky, ktoré môžu byť ďalekosiahle, sa čoraz ťažšie predvídajú, a to nielen z finančného hľadiska, ale aj z hľadiska poškodenia dobrého mena značky a povesti firmy, straty konkurenčných výhod či nedodržiavania zákonných požiadaviek. Firmy musia podstúpiť cestu transformácie od vyčkávacieho k aktívnemu postoju – iba tak prestanú byť pre útočníkov ľahkým cieľom a stanú sa ich rovnocennými súpermi,“ hovorí Lukáš Neduchal, riaditeľ oddelenia podnikového poradenstva EY špecializujúci sa na informačnú bezpečnosť.

„Mnohé spoločnosti, ktoré sa zúčastnili na našom prieskume, stále zaostávajú v implementácii niektorých základných aktivít súvisiacich s kybernetickou bezpečnosťou. Okrem nedostatočnej podpory zo strany vedenia a chýbajúcich presne vymedzených procesov a postupov odhalil aktuálny prieskum aj to, že viac než 40 % účastníkov prieskumu nemá špecializované prevádzkové bezpečnostné centrum. Ďalší dôvod na znepokojenie je, ako by takéto centrum – v prípade, že vo firme existuje – malo získavať najnovšie poznatky o bezprostredných hrozbách,“ konštatuje Lukáš Neduchal.

Štúdia nabáda podniky, aby z počítačovej bezpečnosti vytvorili jeden z pilierov vlastnej konkurencieschopnosti. Taký krok vyžaduje neustálu pripravenosť, schopnosť predvídať výskyt nových hrozieb a nezmieriť sa s pozíciou „obete“, ale naopak, koncipovať prevádzku s prihliadnutím na maximálnu obozretnosť. S týmto cieľom správa predkladá nasledujúce odporúčanie:

• Ostražitosť voči novým hrozbám. Manažment by mal kybernetickým hrozbám/rizikám venovať rovnakú pozornosť ako ostatným kľúčovým aspektom podnikania a implementovať dynamický rozhodovací proces, ktorý umožní prijímať rýchle preventívne opatrenia.

• Porozumenie prostrediu a hrozbám. Podstatu tohto odporúčania tvorí komplexný, avšak dôkladný prehľad o kontexte hrozieb a ich dôsledkoch na spoločnosť spolu s nevyhnutnosťou zabezpečiť funkčný analytický monitoring bezpečnostných hrozieb.

• Znalosť vlastných „korunovačných klenotov“. Je nevyhnutné, aby v celom podniku existovalo jasné povedomie o aktívach spoločnosti, ktoré sú z hľadiska jej podnikania najcennejšie, vrátane spôsobov, ako ich

• o najefektívnejšie využívať a chrániť.

• Dôraz na riešenie incidentov a kritických udalostí. Firma by mala pravidelne testovať svoju schopnosť zasiahnuť zodpovedajúcim spôsobom.

• Snaha poučiť sa z chýb a ďalej sa rozvíjať. Forenzné technológie zamerané na počítačovú bezpečnosť sú úplne kľúčové. Spoločnosti by mali starostlivo vyhodnocovať údaje z incidentov a útokov, udržiavať a nadväzovať novú spoluprácu a pravidelne aktualizovať uplatňovanú stratégiu.

Lukáš Neduchal na záver dodáva: „Okrem vnútorných hrozieb treba uvažovať o súvislostiach v rámci celého ekosystému – o tom, aký vplyv na bezpečnostnú situáciu podniku majú vzťahy s tretími stranami a dodávateľmi. Spolupráca a výmena informácií v rámci obchodného ekosystému a vytvorenie náležitých väzieb umožňujúcich využívanie rôznych špecializovaných informačných platforiem sú kľúčovými zložkami pri budovaní funkčného monitoringu bezpečnostných hrozieb. Iba vtedy, ak sa firmám podarí dosiahnuť v oblasti programu kybernetickej bezpečnosti vysokú úroveň faktickej pripravenosti, môžu investície do tejto oblasti priniesť skutočné ovocie. Vďaka solídnym základom a schopnosti reagovať na zmeny možno získať pred páchateľmi počítačovej trestnej činnosti určitý náskok, zavádzať opatrenia skôr než budú potrebné, a pripraviť sa na hrozby, ktoré sa ešte len objavia.“

EY

EY je významným celosvetovým poskytovateľom odborných poradenských služieb v oblasti auditu, daní, transakčného a podnikového poradenstva.