Kybernetická bezpečnosť: Rok COVIDU. Je zvláštna doba

Brány do citlivých systémov sa preniesli na jar takpovediac do obývačiek. Menej aj viac úspešne.

titulka_dreamstime
Zdroj: Dreamstime

Počas mimoriadnej situácie na jar pracovala nepretržite z „domácej kancelárie“ približne polovica zamestnancov na Slovensku. V období predtým to boli menej ako štyri percentá, čo je jeden percentuálny bod pod priemerom Európskej únie.

Hlavne rýchlo, ostatné potom

Firmy, organizácie a inštitúcie, ktoré ani len neuvažovali o tom, že by ich zamestnanci mohli pracovať aspoň čiastočne z domu, boli na jar zrazu nútené doslova zo dňa na deň vybaviť  zamestnancov hardvérom a soft­vérom a nechať ich pracovať doma. Prioritou bolo zabezpečiť fungovanie firmy a biznisu, a tak sa bezpečnosť, aj nechtiac, mohla ocitnúť na druhom mieste. Z domu totiž pracovala aj väčšina odvetví, ktorá manipuluje s citlivými údajmi občanov, ako napríklad banky, poisťovne.

Pasce a pascičky

„Ak človek pracuje z domu a vstupuje do firemných systémov z pohodlia svojej domácej pracovne, často zabudne na bežne zaužívané bezpečnostné návyky, ako je napríklad obyčajné zamknutie obrazovky, keď od neho odchádza,“ upozorňuje Vladimír Palečka, produktový manažér pre strategické projekty a kybernetickú bezpečnosť, Aliter Technologies, a. s. „Od triviálne zaužívaných rutín vieme zabudnúť na hrozby, ktoré na nás číhajú.“ Ľudia nadobudli falošný dojem, že sú doma v bezpečí aj pred kybernetickými útokmi. Opak je pravdou.

Sme online! A budeme

Operátori zažili skúšku sietí a kapacít, ktorá prekonala aj veľmi odvážne predstavy, a nie všetci je zvládli v bezpečnom režime. Komunikačné online platformy zažili nápor nových používateľov, milióny účastníkov stretnutí a konferencií každý deň. Niet sa čomu čudovať, že od marca do júna vydalo Národné centrum kybernetickej bezpečnosti SK-CERT niekoľko varovaní pred bezhlavým používaním online komunikačných platforiem.

Pre menej skúsených zamestnávateľov pripravil SK-CERT niekoľko odporúčaní, ako vytvoriť bezpečný koncept práce z domu a neohroziť tak chod spoločnosti a bezpečnosť infraštruktúry. Od pravidiel na používanie vlastných zariadení, zálohovanie dát, aktualizácie softvéru až po návod, ako urobiť pre zamestnancov praktickú príručku. Jeseň nebude odlišná.

Víťazi a porazení

Firmy, ktoré ku kybernetickej  bezpečnosti vždy pristupovali inovatívne a flexibilne, striktné požiadavky regulácie ani pandémia nezaskočili. „Home office si u nás vyžiadal v podstate len zvýšenie kapacity už existujúceho riešenia zabezpečujúceho vzdialené pripojenie. Rovnako sme si poradili s požiadavkami zákona, najmä s rozšírením alebo so zavedením niekoľkých technických opatrení,“ hovorí Pavol Pajerský, špecialista kybernetickej bezpečnosti Orange Slovensko.

Ak sa hovorí – Sto rokov cvičíte armádu, aby vyhrala bitku za jeden rok. Pre kybernetickú bezpečnosť prišiel ten čas práve na jar 2020. Niekedy až otravné bezpečnostné opatrenia slávili úspech. „Na tomto mieste by som pochválil jedno odvetvie, ktoré je z hľadiska bezpečnosti najďalej, a to finančný sektor. Tu vidím naozaj najviac odborníkov na bezpečnosť a najväčšiu pripravenosť,“ hovorí  Marek Král, generálny riaditeľ SecTec.

Čomu sme sa naučili

Kybernetická bezpečnosť je však o tom, ako nezaspať na vavrínoch. Potvrdzuje to aj Marek Zeman, vedúci oddelenia Bezpečnosti informačných systémov Tatra banka, a. s. „Veľkou zmenou prešli aj tréningy. Aby bola téma bezpečnosti pre mladých atraktívnou, bolo nevyhnutné ju prepojiť s realitou a priniesť v interaktívnej forme. Komunikáciu rizík informačnej bezpečnosti na všetkých úrovniach riadenia vo firme výrazne zjednodušila nová procedúra EBA, ktorá prelomovo prepája riadenie bankových rizík s rizikami informačnej bezpečnosti.“

V súvislosti s epidemiologickou situáciou veľa spoločností a organizácií začalo využívať vzdialené prístupy a cloudové technológie, a to zvyšuje tlak na bezpečnosť. Marián Daníšek IT Manager Svet Zdravia, a. s., zároveň varuje: „Výrazne sa zvýšili ransomware a phishing útoky a nové sofistikované hrozby cielené na koncových používateľov. Na trhu je zároveň nedostatok skúsených IT bezpečnostných odborníkov, spoločnosti musia investovať do školení existujúcich zamestnancov a najímať si externé zdroje.“ Týmto da dostávajú do popredia IT bezpečnostné riešenia Security As Service.

Žijeme vo svete hypervýkonov a pripravujeme sa na kvantové počítače. Segment kybernetickej bezpečnosti, ochrany údajov a šifrovanie je biznisom budúcnosti a pritom zabúdame na elementárne riešenie: „Alfou a omegou úspešnej ochrany pred útokmi je v každej firme či organizácii neustále vzdelávanie a trénovanie zamestnancov,“ uzatvára Vladimír Palečka.    

     

KYBERNETICKÉ NEBEZPEČIE AKO STRESOVÝ FAKTOR

Celosvetový prieskum 200 generálnych riaditeľov z rôznych odvetví vrátane zdravotníctva, financií a maloobchodu odkryl významné stresové faktory súvisiace s kybernetickou bezpečnosťou.

Lídri o sebe prezradili, že:

  • 76 percent nemôže spávať z obáv pred kybernetickým útokom,
  • 87percent verí, že ich bezpečnostný tím čelí neustálym kybernetickým hrozbám,
  • 89 percent je presvedčených o počítačovej a dátovej gramotnosti vedúcich pracovníkov.
  • 85 percent vníma kybernetickú stratégiu ako hnací motor digitálnej transformácie.
  • 46 percent lídrov pravidelne prehodnocuje firemné stratégie kybernetickej bezpečnosti.

VPLYV KORONAVÍRUSU NA IT ROZPOČTY V ROKU 2020

graf_IT_rozpocty

AKO SA PODIEĽA SOCIÁLNE INŽINIERSTVO NA ÚSPEŠNOSTI ÚTOKU?

  • 98 % kybernetických útokov pochádza zo sociálneho inžinierstva
  • 63% úspešných útokov pochádza z interných zdrojov, ich kontroly, chýb alebo podvodov
  • 21 % bývalých zamestnancov využíva sociálne inžinierstvo na vlastné obohatenie sa, ako formu pomsty alebo zo zvedavosti či zábavy

INTERPOL VARUJE

  • Zvýšený dopyt po zdravotníckych pomôckach a informá­ciách podnietil raketový nárast počtu podvodných domén registrovaných pod kľúčovými slovami, ako napr. koronavírus. Od februára do marca došlo k 569-percentnému nárastu škodlivých registrácií vrátane malvéru a phishingu.
  • Falošné správy a dezinformácie vytvárali priestor nielen pre konšpiračné teórie, ale aj pre kybernetické útoky v podobe podvodných SMS správ či malvéru ukrytého v príspevkoch na sociálnych sieťach.

Zdroj: Purplesec, 2020 Cyber Security Statistics, www.helpnetsecurity.com

Všetci sme zraniteľní. Ale nie bezbranní

ludia_s_mobilmi_Dreamstime
Zdroj: Dreamstime

MANIPULÁCIA

Sociálne inžinierstvo používajú profesionáli na vykonanie útoku. Je založené na psychologickej manipulácii a obete často „spolupracujú“.

Bod nula je príprava, keď sa útočník vyzbrojuje informáciami o obeti. Stačí pár klikov a nájde informácie z médií, webových komunít, zo sociálnych sietí, z blogov, vládnych reportov a rezortných rozpočtov, tlačových konferencií a verejných registrov. Ak útočník kontaktuje obeť s pravdivými informáciami,  vzniká dôverný vzťah. Dôvera v tomto zmysle môže byť pozitívna – pomáham ti, neutrálna – máte štandardnú povinnosť, alebo až vynútená, ak príde napríklad mail z Finančnej správy alebo zo zdravotnej poisťovne.

Dobrý príbeh predáva

A tak to je aj v prípade úspešného útoku sociálneho inžinierstva. Útočník dokáže prehĺbiť dôveru natoľko, že obeť mu dobrovoľne odovzdá citlivé údaje, napríklad prístupy do účtov alebo systému. Používateľ tak v následku sofistikovanej manipulácie porušuje bezpečnostné alebo firemné protokoly a „pomáha“ útočníkovi spôsobiť škodu.

Lov oštepom

Gramaticky chybné phishingové maily sa menia na vysoko personalizovaný útok – spear phishing, keď sa útočník zameriava na úzku skupinu, napríklad na vysokopostavených zamestnancov. Mail s linkom alebo prílohou škodlivého kódu je absolútne personalizovaný a uveriteľný a odoslaný s identitou človeka, s ktorým obeť komunikuje. Na prvý pohľad priateľský mail nainštaluje obeti do počítača malvér, ktorý odosiela dokumenty z počítača alebo čaká na pokyn vzdialeného servera.

Baiting

Obeť si nainštaluje škodlivý kód do pracovnej stanice cez fyzické médium – USB, DVD alebo CD. Prípadne si ho stiahne cez webovú stránku, vyskakovacie okná, online reklamu alebo po prihlásení na sieť s označením „free“. Dôveryhodnosť obsahu je zvýšená atraktívnym pomenovaním – tajné plány, stratégie alebo výhodná cena za softvér.

Watering holes

Ide o osobnejší útok cez webovú stránku, ktorú obeť často navštevuje. Útočník spozná správanie obete na internete a jej preferencie - stránky s informáciami o hobby alebo zdroje pracovných informácií. Útočník využíva zraniteľnosť webu alebo hostingu, umiestni tam stiahnutie malvéru a pri minimálnej interakcii sa kód sťahuje do pracovnej stanice obete.

Reverzné sociálne inžinierstvo

Útočník vytvorí situáciu tak, aby obeť využila pomoc útočníka na vyriešenie umelo vytvoreného problému. Pri tejto sofistikovanej metóde psychickej manipulácie obeť často nemá ani najmenšie pochybnosti, že ide o útok, a odovzdáva potrebné informácie s presvedčením, že svoj problém takto rieši. Je to veľmi nebezpečná forma útoku najmä pre zraniteľné skupiny používateľov.        

 

AKO SA CHRÁNIŤ PRED ÚTOKMI NA BÁZE SOCIÁLNEHO INŽINIERSTVA?

Vzdelávanie zamestnancov. Urobte tréningy na spoznanie podozrivých mailov a aktivít, individuálna zodpovednosť  v ochrane informácií spoločnosti.

Pravidlá. Dôrazne obmedzujte privilégiá pri inštalácii softvérov a sťahovaní súborov.

Ochrana. Používajte najnovšie verzie operačných systémov, aktualizáciu ochranných softvérov a monitoring siete.

Záložný plán. Vybudujte si zálohu dokumentov a vytvorte si stratégiu obnovy, ktorej zraniteľnosť a funkčnosť budete pravidelne testovať.

Komentár

Môžu byť múdri ľudia naivní? Áno, a veľmi

Neutešujúci až alarmujúci je stav kybernetickej bezpečnosti na Slovensku. Príčiny a faktory by zabrali jeden seminár a dve strany tohto denníka, ale východiskový bod je spoločný. Bezpečnostné povedomie používateľov informačných technológií a internetových služieb je katastrofálne nízke.

Na všetkých úrovniach spoločnosti nachádzame deficit základných znalostí a zručností, ktoré majú potenciál znižovať riziká. Až zarážajúca je skutočnosť, ako väčšina používateľov podceňuje skutočný stav kybernetických hrozieb. Preto spozorniem vždy, keď počujem typický argument „nám (mne) nič nehrozí“. Vývoj informačných technológií a nárast rizík pri ich používaní sú dnes však už také dynamické, že pre domácich i firemných používateľov sú základné znalosti bezpečnosti nutnosťou. Práve podceňovanie a neznalosť patria medzi primárne dôvody úspešnosti útočníkov, narastajúcej kyberkriminality, a tým aj rastúceho počtu obetí a škôd.

A ako sme sa do tejto situácie dostali? Opakovaným profesionálnym zanedbávaním, chýbajúcou legislatívou aj nelogickými predpokladmi. Zvyšovanie povedomia sa podceňuje  v riadení bezpečnosti na všetkých úrovniach – počnúc školstvom, v štátnych inštitúciách, samospráve, zdravotníctve, v komerčnom sektore, ale rovnako aj v rodinnom prostredí. Od používateľov informačných systémov sa mnohokrát – a nelogicky očakáva, že budú intuitívne chápať princípy bezpečnosti a (ešte nelogickejšie) že si budú iniciatívne samostatne dopĺňať vedomosti. V realite to však nefunguje. V plnej miere nám to ukázal rad kybernetických útokov s nezanedbateľnými následkami v poslednom čase prevažne voči poskytovateľom zdravotnej starostlivosti.

Nemocnice v Brne, Benešove či Nitre, ktoré sa stali obeťami kybernetických útokov, nás na chvíľu vystrašili, médiá si chvíľu popísali a zasa ticho. Pri všetkých podobných útokoch boli okrem technických nedostatkov identifikované aj problémy s úrovňou bezpečnostného povedomia zamestnancov. A to v takých elementárnych otázkach ako narábanie s e-mailovou poštou, zvládanie sociálnej manipulácie v internetovom prostredí a znalosti reakcií na bezpečnostné riziká a incidenty.

Východiskom je koncepčné vzdelávanie. Dominantnou úlohou je zavedenie témy kybernetických rizík a bezpečnosti do vzdelávacieho systému na všetkých úrovniach škôl. Je nemysliteľné, aby v 21. storočí stála koncepcia vzdelávania v tejto téme iba na školách a externej pomoci špecialistov a mimovládnych organizácií. Súbežne s tým je nutné zintenzívniť vzdelávanie zamestnancov štátnej správy, samosprávy, zdravotníctva aj komerčnej sféry i širokej verejnosti. A časová priorita? Nie – že začneme zajtra, nie – že urobíme pracovnú skupinu. Na kybernetickú bezpečnosť bolo včera neskoro.          

Jaroslav Oster, autor je súdnym znalcom v oblasti informačných technológií

 

Trojica najzraniteľnejších odvetví

ANKETA

Štatistiky za rok 2020 hlásia vo svete zvýšený počet útokov na zdravotnícke zariadenia, školy, univerzity a priamo aj na štáty a lokálnu správu. Kybernetické organizované skupiny skrátili obdobie medzi počiatočnou infekciou ransomware a aktiváciou útoku, pretože nečakajú na ideálny okamih na spustenie útoku, ale útočia čo najskôr, čím sa snažia maximalizovať zisky.

Bolo by neprofesionálne a nezodpovedné nahovárať si, že malé štáty či menšie firmy sú mimo hľadáčika zločinu. Profesionáli hodnotia zraniteľnosť segmentov a oblastí na Slovensku a idú k veci. Situácia je vážna.

Ivan Makatura
Ivan Makatura

generálny riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti

Zvážme vzťahy medzi príčinami incidentov, motiváciou útočníkov a pozrime sa aj na technologické trendy. Príčiny incidentov sú totiž tri – systémové zlyhania, ľudské chyby a úmyselné konanie, pričom dôvodom zlomyseľného konania je dlhodobo finančná motivácia. Informatika smeruje ku cloudovým službám, k vysokorýchlostnému mobilnému pripojeniu, práci na diaľku a telemetrii. Na základe týchto faktov mám adeptov, ktorí by mali venovať stálu pozornosť kybernetickej bezpečnosti: bankovníctvo, zdravotníctvo, distribúcia elektrickej energie.

Rastislav Janota
Rastislav Janota

riaditeľ Národného centra kybernetickej bezpečnosti SK-CERT

Každé odvetvie je potenciálne zraniteľné rovnako. Rozdiel nie je v odvetví, ale najmä vo vnímaní či v nevnímaní kybernetickej bezpečnosti vedeniami firiem. Je tu obrovská priepasť. Na tej dobrej strane sú banky, nasledované veľkými energetickými spoločnosťami a najväčšími telekomunikačnými firmami. Zo zlej strany sú v súčasnosti asi zdravotníctvo, verejná správa, ale napríklad aj pošta či firmy v sektore dopravy. Priaznivé to nie je ani v priemysle či u menších telekomunikačných operátorov.

Jaroslav Oster
Jaroslav Oster

predseda Správnej rady preventista.sk

Do trojice najzraniteľnejších odvetví v súčasnej dobe nesporne patria zdravotníctvo, školstvo a samospráva. Všetky tri odvetvia majú niekoľko spoločných čŕt, ktoré sa mimochodom ukázali ako kľúčové nedostatky pri posledných útokoch na zdravotnícke zariadenia v ČR. Nedostatočné alebo žiadne zabezpečenie IT infraštruktúry, zanedbané patch, update, upgrade OS, aplikácií, bezpečnostných riešení a nedostatočné bezpečnostné povedomie používateľov informačných systémov.

Tomáš Hettych
Tomáš Hettych

viceprezident ISACA Slovakia, Asociácia Auditu a Kontroly Informačných Systémov

Myslím, že jasnou jednotkou je zdravotníctvo, nasledované tesne verejnou správou, štátnymi organizáciami, podnikmi a agentúrami, ktoré sú súčasťou kritickej infraštruktúry štátu. O stave kybernetickej (ne)bezpečnosti v zdravotníctve sa v poslednom čase intenzívne diskutuje. V niektorých organizáciách už dokonca prebieha audit kybernetickej bezpečnosti. Dlhoročné zanedbávanie a podceňovanie problematiky, nedostatočné zdroje na investície a obnovu infraštruktúry začínajú produkovať incidenty. Nastal vhodný čas na dramatické zvýšenie pozornosti.


Martin Oczvirk

riaditeľ odboru informačnej bezpečnosti a certifikácie Úradu na ochranu osobných údajov

Možno to bude znieť otrepane, ale podľa môjho názoru patrí v prvom rade medzi najzraniteľnejšie odvetvie nepochybne verejný a štátny sektor. A to aj napriek existencii legislatívy na ochranu technologického prostredia. Žiaľ, aj tu platí často pravidlo formálneho zavedenia bezpečnosti. Druhou významnou skupinou sú zdravotnícke zariadenia. Zvláštnu kategóriu tvorí priemysel, lebo ten používa špecializované technológie a produkuje cenné dáta, ktoré sú pre konkurenciu lákavé.

Lukáš Neduchal
Lukáš Neduchal

podpredseda Správnej rady Asociácie kybernetickej bezpečnosti

Vnímanie rizík v širokej verejnosti nemusí vždy reflektovať skutočný stav IT bezpečnosti daného odvetvia. Inak nahliadame na ochranu kritickej infraštruktúry zo strany štátu ako na reakciu jednotlivca, keď je ohrozené zdravie alebo sú zneužité osobné údaje. Predstavme si historické kumulácie zraniteľnosti, ich možné zneužitie relatívne známymi a frekventovanými hrozbami a k tomu nedostatok zdrojov. Z týchto dôvodov sú ohrozené práve zdravotníctvo, školstvo a distribúcia kritických komodít (voda, elektrina, plyn).

Andrej Žucha
Andrej Žucha

generálny riaditeľ Alison Slovakia

Európska únie si kladie dlhodobo za cieľ propagovať informačnú či kybernetickú bezpečnosť medzi občanmi. V našich podmienkach je potrebné výrazne zmeniť a posilňovať vnímanie bezpečnostných hrozieb na všetkých úrovniach. Prioritne treba poskytovať  informáciíe o kybernetickej bezpečnosti hlavne v ohrozených sektoroch verejnej správy, zdravotníctva, energetiky. Minimum predstavuje vzdelávanie a šírenie odporúčaných štandardných riešení. Zlyhávame aj na elementárnej úrovni.

Peter Dostál
Peter Dostál

generálny riaditeľ a predseda predstavenstva Aliter Technologies, a. s.

Viac ako 30 percent organizácií v SR zápasí s tým, aby držali krok s technologickými inováciami a zabránili tak hrozbám útoku. Pre malé a stredné firmy je toto percento ešte vyššie. Výrazne ohrozený je výrobný sektor, kde má viac ako polovica firiem problémy s kybernetickou bezpečnosťou. Štátna správa a samospráva majú stále nízke povedomie a problém s včasnou aktualizáciou svojej IKT infraštruktúry. Príkladom sú nedávne útoky na nemocnice, štátne organizácie a štátne aplikácie. Bankovníctvo, resp. finančníctvo sú považované dlhodobo za kritické, keďže sú pre útočníkov veľmi zaujímavé. Na druhej strane však treba zdôrazniť, že bankový sektor najflexibilnejšie reaguje na bezpečnostné hrozby.

Roman Čupka
Roman Čupka

hlavný konzultant Flowmon pre strednú a východnú Európu

Najzraniteľnejšie je určite zdravotníctvo. Ide o dlhodobo podvyživený sektor, a tomu zodpovedá aj stav IT a zabezpečenia. Druhým sú operátori a poskytovatelia internetových služieb. Niektorí menší lokálni provideri majú už dnes problém zabezpečiť dostupnosť a kvalitu služieb, keďže ochrane voči sofistikovaným útokom mnohí z nich nevenujú náležitú pozornosť. Tretím odvetvím je energetika vrátane vodární, plynární či teplární. Tieto firmy čaká ešte dlhá cesta pri zabezpečovaní priemyselných častí počítačových sietí, ktoré budú čoraz viac previazané s internetovým prostredím – a tým aj zraniteľnejšie.

Andrej Aleksiev
Andrej Aleksiev

riaditeľ pobočky Check Point Software Technologies na Slovensku

Najzraniteľnejším odvetvím na Slovensku je to, ktoré nie je pripravené. V každom odvetví vidíme špecifické slabiny, otázka je len, s akou pravdepodobnosťou budú zneužité a aký ničivý dosah môžu mať na spoločnosť. V tejto perspektíve vidím ako najzraniteľnejšií sektor ZDRAVOTNÍCTVA. Chýbajúce základné zabezpečenie môže mať v dnešnom období fatálne následky. Stačí si spomenúť na 18. september 2020 v Düsseldorfe, kde náhodne zatúlaný ransomware zakryptoval prístroj zabezpečujúci základné životné funkcie. Dôsledok bol bohužiaľ fatálny a pacient sa považuje za prvú fyzickú obeť hackerov.

Igor Urban
Igor Urban

regionálny manažér Forcepoint pre východnú Európu

Pokiaľ mám vybrať najzraniteľnejšie odvetvia, zamýšľam sa nad tým, kto sú útočníci a aká je ich motivácia. Takže na prvom mieste je verejná správa, pričom na Slovensku rezonuje najmä zdravotníctvo. Nepamätám si síce, že by sa niekto vlámal do nemocnice kvôli dátam o pacientoch, ale v kyberpriestore je to určite výzva. Následne je dlhodobo terčom záujmu finančný sektor, kde je monetizácia útoku asi najpriamočiarejšia. Ako tretie odvetvie vidím Utility sektor, a to nemám na mysli len SCADA problematiku.

Marek Král
Marek Král

generálny riaditeľ SecTec

Kde je bezpečnosť najviac v plienkach, je určite priemyselný a výrobný sektor, čiže OT bezpečnosť. Nedostatočná až katastrofálna úroveň bezpečnosti môže mat priamy a okamžitý dosah na zastavenie výroby a s tým spojené veľké finančné škody v súkromných výrobných závodoch a taktiež na bezpečnosť štátu, napr. v energetike. Upriamil by som pozornosť na sektory, kde sa pracuje s veľmi citlivými osobnými dátami. Ale na druhej strne vyzdvihnem všetky sektory štátnej správy a každú organizáciu, ktorá pracuje s ERP systémami.

Jana Puškáčová
Jana Puškáčová

manažérka útvaru Informačná bezpečnosť MOL IT & Digital Slovensko

Zraniteľnosť by som nerada viazala na konkrétne odvetvie, pretože technická, procesná a personálna vyspelosť firiem v rámci daného odvetvia sa môže značne líšiť. Kvalitne a bezpečne implementované informačné a riadiace technológie sú nutným, avšak nie postačujúcim predpokladom na odvrátenie kybernetického útoku. Najľahšie prelomiteľnou vstupnou branou do chráneného prostredia firmy býva koncový používateľ a jeho nie vždy dôsledné dodržiavanie interných predpisov.  Iným zraniteľným miestom sú napríklad IoT zariadenia – ak však pri ich implementácii nie sú dodržané preverené a spoľahlivé postupy, môžu významne ohroziť kráľovské klenoty každej spoločnosti.

Richard Kiškováč
Richard Kiškováč

Security Consultant Digital Systems, a. s.

V nadväznosti na aktuálnu situáciu je možné za najzraniteľnejšie odvetvie považovať zdravotníctvo. Oproti iným odvetviam, napríklad finančnému, je pripravenosť zdravotníctva čeliť súčasným kybernetickým hrozbám na výraznej nižšej úrovni. So zdravotníctvom úzko súvisí verejná správa, v ktorej úroveň kybernetickej bezpečnosti rovnako nie je na adekvátnej úrovni. Ako ďalšie najohrozenejšie odvetvie môžeme z hľadiska kritéria pripravenosti považovať tzv. utility, ako sú dodávka vody, elektriny a pod.

Tomáš Zaťko
Tomáš Zaťko

CEO Citadelo, etický hacker

Jednoznačne: energetika, priemysel, súkromné osoby. Energetika a priemysel používajú technológie dizajnované na dlhodobé používanie bez výpadkov, preto je v týchto odvetviach dedičstvo zastaraných technológií, ktoré sú rajom pre hackerov. Dosahy úspešných útokov v týchto oblastiach vedia byť až smrteľné. Súkromné sa prebúdzajú z falošného pocitu bezpečia, „veď kto by už mňa chcel hacknúť.” Ľudia prichádzajú o svoje dáta kvôli ransomware, o svoje peniaze kvôli phishingu. Už aj na Slovensku sa viacero žien stalo obeťami ponižovania a vydierania, keď niekto ukradol ich nahé fotky.

Pavol Adamec
Pavol Adamec

výkonný riaditeľ oddelenia Riadenie rizík KPMG Slovensko

Definovať trojicu na Slovensku nemá veľký zmysel, keďže úroveň bezpečnosti sa v odvetviach odlišuje. Zároveň však platí, že vyššia úroveň bezpečnosti zodpovedá historicky vyššiemu záujmu útočníkov. Každý sektor bude dostatočne zraniteľný, ak sa z ekonomických alebo politických dôvodov nájde dostatočne motivovaný útočník. Poukázal by som však na obrovskú zraniteľnosť celej spoločnosti na manipuláciu prostredníctvom info-mediálneho prostredia. Často si stále nechceme pripustiť možnosti rozkladu spoločnosti prostriedkami dezinformačných kampaní. Aj o tom je bezpečnosť.

Marián Trizuliak
Marián Trizuliak

architekt kybernetickej bezpečnosti, Západoslovenská distribučná, a. s.

Potravinárstvo – stačí, ak by ste napríklad v mliekarenskom podniku znížili teplotu pri UHT úprave mlieka o 10 stupňov, a zabezpečíte množine obyvateľov krušné chvíle. Zdravotníctvo – obmedzenie poskytovania starostlivosti a zverejnenie, resp. kompromitácia zdravotných záznamov. Energetika – kybernetické útoky v rokoch 2017 – 2018 na Ukrajine ukázali, že v priebehu niekoľkých sekúnd je možné na diaľku a bez pozorovania odstaviť dodávku a znefunkčniť hospodárstvo. Riešením je vzdelávanie, kvalitní a angažovaní zamestnanci a alokácia nákladov.

Ján Adamovský
Ján Adamovský

Chief Security Officer Slovenská sporiteľňa

Je prirodzené, že útočníci sa zameriavajú najviac na tie oblasti, ktoré sú najmenej chránené. Myslím, že z tohto pohľadu je to na Slovensku najmä zdravotníctvo, samosprávy či malí a strední podnikatelia. Digitálni podvodníci majú jednoduchý cieľ – maximalizovať svoje výnosy a možný dosah útokov, preto ich vidíme veľa práve v týchto odvetviach. Naopak, kybernetická bezpečnosť je dlhodobo najviac rozvinutá v bankovníctve a telekomunikáciách. Rovnaký trend je možné pozorovať nielen na Slovensku, ale celosvetovo.

 

V ďalších anketách sa každý októbrový piatok dozviete viac o kybernetickej bezpečnosti
  • Trend, ktorý si zaslúži najviac pozornosti
  • Najviac nedocenená oblasť na Slovensku
  • Koho a čoho sa treba vyvarovať

(Natívny článok)

Denný prehľad správ emailom

Dostávajte každý deň nové informácie zo sveta politiky, ekonomiky a biznisu.

Pred zadaním e-mailovej adresy si prečítajte pravidlá ochrany osobných údajov a používania cookies. Súhlas na odoberanie noviniek môžete kedykoľvek odvolať.