Nespať na vavrínoch
Národný index kybernetickej bezpečnosti tallinskej Akadémie e-Governance hodnotí úroveň kybernetickej bezpečnosti 160 krajinách sveta a Slovensko zaraďuje do prvej desiatky najlepšie pripravených krajín na boj proti kybernetickým útokom. Vytvára to dobrý predpoklad, ale nie úplné riešenie do budúcnosti.
Dopĺňa to Marek Zeman vedúci oddelenia bezpečnosti Informačných systémov Tatra banky, a. s.: „V rámci Slovenska existujú oblasti, kam informačná bezpečnosť zatiaľ neprenikla, ako je ochrana a zabezpečenie riešení založených na cloudoch, na umelej inteligencii a biometrii. Segmenty sú obrovské, rýchlo sa rozvíjajúce a zatiaľ sa im akademická pôda ani legislatíva nevenujú s dostatočným zreteľom.“
Kyber priestor je všade
Rozvojom vysokorýchlostného pripojenia padajú doterajšie limity, odkiaľ pracovať, alebo kde mať uložené dáta. Platí to pre všetky oblasti podnikania, verejnej správy aj súkromie. Dá sa pristupovať rýchlejšie k čoraz väčším objemom údajov a s tým rastie bezpečnostné ohrozenie.
Technológie sú príťažlivé, nápomocné a je im ťažké odolávať. Aj predstavitelia vládnej moci dnes využívajú sociálnu sieť namiesto oficiálnych tlačových správ. Zdvihla sa vlna DeepFake útokov, falošných správ, skvalitňujú sa manipulačné techniky a informačná vojna naberá čoraz väčšie obrátky. „Zmeniť spôsob myslenia ľudí je beh na dlhé trate,“ varuje v tejto súvislosti Igor Urban, regionálny manažér Forcepoint pre východnú Európu. Preto je legitímnou súčasťou kybernetickej bezpečnosti pripraviť na tieto hrozby všetkých používateľov bez rozdielu veku či sociálneho statusu.
Za všetko môže cloud
Zatiaľ čo sa právnici na oboch stranách Atlantického oceánu trápia s tým, kde tie dáta vlastne sú a komu patria, používatelia ich veselo hromadia a pristupujú k nim. Dáta v dátových centrách, často aj viacerých naraz, sa už nedajú chrániť bežnými postupmi a vznikajú hybridné architektúry.
„Aj keď slovenský trh výrazne zaostáva za úrovňou využívania verejných cloudových služieb, trend je nezvratný a je otázkou času, kedy budú tieto služby vo väčšom rozsahu využívane komerčným a verejným sektorom,“ upozorňuje Peter Kováč, riaditeľ pre strategické projekty Aliter Technologies. Na základe skúseností s migráciami preto odporúča nepodceniť analytickú fázu, zamerať sa na výber služieb s vysokou pridanou hodnotou, dôkladne naplánovať prechod do cloudového prostredia a zabezpečiť v ňom certifikovaný personál na implementáciu a prevádzku systémov.
Čoraz viac a čoraz menšie
Meranie na diaľku, alebo skrátene – telemetria, už dávno zostúpilo z družíc a rakiet do bežného života v podobe monitoringu vozidiel, snímačov spotreby elektriky či údajov zo zdravotníckych zariadení. Je to sieť s tisíckami bodov a miliónmi prenosov každú sekundu. A k tomu si pridajte ďalšie snímače a miniatúrne zariadenia a ich komunikáciu na internete vecí.
Aplikačná architektúra, tak ako ju poznáme v súčasnom tvare, sa rozpadá. Perimeter v klasickom ponímaní ochrany „tu vnútri a tam vonku“ prestane byť pravdou, lebo zraniteľnosť bude proste všade. Decentralizácia a miniaturizácia sa tak stávajú novou výzvou pre kybernetickú bezpečnosť, keďže ju bude treba zvažovať ešte pred výrobou samotného produktu a naviazať na to ich certifikáciu.
Dnešok je už dávno
Svet a Európa si uvedomujú, že rozvoj umelej inteligencie, využitie kvantových technológií a dátová agenda sú nielen priestorom na neľútostný konkurenčný boj, ďalší ekonomický rozvoj, ale aj etický a legislatívny problém. Kognitívne systémy sú totiž schopné učiť sa a rozhodnutia robia rýchlejšie a nad väčším množstvom dát. Ak sa z nich stanú skutočné systémy umelej inteligencie, získajú schopnosť predvídať a tvoriť. Umelá inteligencia sa vymyká statickým pravidlám, ako ju hodnotiť či posudzovať, takže samostatnú kapitolu úloh predstavujú k nej prislúchajúca legislatíva a parametre auditu kybernetickej bezpečnosti.
Využitie kvantových počítačov otvorí povestnú Pandorinu skrinku. A to doslova. Súčasné šifrovanie sa totiž zakladá na tom, že počítače nedokážu prelomiť šifrovacie mechanizmy. Keď sa zvýši výpočtový výkon, aj tie najťažšie šifry budú padať ako dominové kocky v reálnom čase.
Zmena je v hlave
Všetky trendy spolu predstavujú smerovanie, ktoré zároveň prináša nové typy zraniteľnosti, hrozieb a bezpečnostných incidentov. „V dekáde 2015 – 2025 sa posúvame v používaní technológií rádovo niekde úplne inam, dokonca tak ďaleko, že je to ťažké si až predstaviť,“ uzatvára Ivan Makatura z Kompetenčného a certifikačného centra kybernetickej bezpečnosti. A dodáva: „Filmy ako Terminátor alebo Minority Report už nie sú zábava, je to literatúra faktu.“
Desať najväčších výziev
So začiatkom nového desaťročia môžeme očakávať významné zmeny, ako chápeme kybernetickú bezpečnosť. Ochrana kybernetického priestoru bude čoraz náročnejšia, pretože prístup k internetu má čoraz viac ľudí, zariadení, systémov a procesov.
- Riešenie systémových a komplexných rizík
- Redukcia neúmyselných chýb
- Umelá inteligencia ako nástroj zisťovania hrozieb
- Dodávateľský reťazec a hrozby tretích strán
- Automatizácia bezpečnostných procesov
- Redukcia falošných poplachov
- Bezpečnostné stratégie s nulovou dôverou
- Chyby podnikových cloudov
- Hybridné hrozby
- Cloud ako cieľ útokov
Gaia-X |
|
Projekt má politickú podporu krajín EÚ a viac ako 300 organizácií. Od júla 2020 združuje európskych operátorov, priemyselných producentov a softvérových developerov s cieľom vytvoriť dátovú infraštruktúru, ktorá spĺňa najvyššie štandardy, pokiaľ ide o digitálnu suverenitu a podporu inovácií. Výstupom projektu budú cloudové služby prevádzkované na lokálnej infraštruktúre v krajinách EÚ, nie však konkurenčné k súčasným. |
| Zdroj: Agentúra EÚ pre kybernetickú bezpečnosť (ENISA), Report Prostredie hrozieb – Nové trendy |
Všetci hľadajú akčný plán na najbližšiu budúcnosť
Na jednej strane top manažment, na druhej manažéri bezpečnosti, potom zákon, potom zamestnanci a potom rozpočet. Tak kam upratať kybernetickú bezpečnosť?
Často sa stretávame s informáciou, že najslabším článkom kybernetickej bezpečnosti je práve zamestnanec. Avšak mnohokrát je ten najslabší článok zo zamestnancov na vrchole firemnej hierarchie.
Ako ukotviť bezpečnosť
Súčasný korporátny trend smeruje k tomu, že manažér kybernetickej bezpečnosti nepodlieha šéfovi informatiky a optimálne by mal byť v štruktúre riadenia rizika. Ak sa nebudú top manažéri pravidelne vzdelávať v informačnej bezpečnosti, nebude sa vedieť správne rozhodovať. Prichádzajú do styku s najcitlivejšími informáciami a mali by vedieť, čo ich ohrozuje a ako ich chrániť.
Požiadavka na riadenie rizík je ukotvená v zákone o kybernetickej bezpečnosti, nariadení GDPR a v odvetvovej regulácii. Riadenie rizík je komplexný manažérsky systém vzájomne závislých a súvisiacich procesov, takže ak ste ešte nezačali, je najvyšší čas.
Príde kontrola
Národný bezpečnostný úrad, ako regulátor pre oblasť kybernetickej bezpečnosti, sa zameriava na preverovanie účinnosti prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom. Podľa tohto zákona si prevádzkovateľ povinne objednáva aj audit a auditovú správu musí doručiť NBÚ raz za dva roky. Každá majoritná zmena by však mala byť sprevádzaná auditom. Veľké podniky, typicky banky, audit vykonávajú takpovediac kontinuálne, prostredníctvom interných audítorov.
Kde zobrať peniaze a koľko
Na bezpečnostné opatrenia si podnik musí peniaze „odkladať“. Za primerané bezpečnostné opatrenie sa typicky považuje také, ktoré neprevyšuje desatinu hodnoty identifikovaného rizika. Ak teda manažér kybernetickej bezpečnosti ohodnotí bezpečnostné riziko na jeden milión eur, nech rýchlo nájde na trhu bezpečnostných produktov aj riešenie, ktorého implementácia nepresiahne hodnotu 100-tisíc. A vyhral.
Ak organizácia proaktívne identifikuje riziká a tvorí kapitál na ich krytie, vykonáva vlastne istú formu poistenia. Optimálne obdobie hodnotenia rizík by mal kopírovať rozpočtový cyklus podniku, väčšinou jeden rok. Na rok sa potom odhaduje aj hodnota podnikového rizika, ktorej sa hovorí „rizikový apetít“. Už zostáva len odložiť si príslušnú časť tejto sumy.
Niečo zo života
Povedomie o kybernetickej bezpečnosti je slabinou našej krajiny. A ako v tomto porovnaní vyznievajú slovenskí top manažéri? Často podceňujú vzdelávanie zamestnancov v kybernetickej bezpečnosti, či také elementárne faktory, akými sú ochrana periférií – tabletov, mobilov a laptopov s prístupom k citlivým informáciám. „Zo skúseností vieme, že organizácie vytvoria často príliš jednoduché, ak vôbec nejaké mechanizmy na zabránenie únikom dát či neoprávnenému prístupu k dátam zvnútra organizácie,“ hovorí Vladimír Palečka, produktový manažér pre strategické projekty a kybernetickú bezpečnosť Aliter Technologies.
A pokračuje: „Spoločnosti síce plnia povinnosti z legislatívy a regulácie, ale vyhovieť zákonným povinnostiam je jednoznačne nedostatočné na riadenie rizika a zvýšenie schopnosti efektívnej reakcie na incidenty. Vyhovenie regulácii kybernetickej bezpečnosti je najmä prevenciou proti nechceným dosadom, nie proti nesprávnemu riadeniu bezpečnosti.“
Komentár
It from Bit alebo kvantová informačná bezpečnosť
Jeden z najoriginálnejších mysliteľov dvadsiateho storočia John A. Wheeler výrazným spôsobom prispel k nazeraniu na fyzikálny svet – a to tak na mikroskopickej – kvantovej, ako i kozmickej úrovni. Bol majstrom výstižných tvrdení a priam mysticky pôsobí jeho povestné: „Nie je iného zákona okrem zákona, že nie je žiaden zákon.“ (Samozrejme, rozprávame sa o fyzike).
Medzi jeho najzáhadnejšie a možno i najkontroverznejšie výroky patrí maxima: „It from bit“. Podľa Johna Wheelera nikdy nepochopíme kvantové vlastnosti sveta, pokiaľ neporozumieme, akú úlohu zohráva informácia vo vzťahu k realite. „Informácia môže byť nielen to, čo vieme o svete. Ona môže byť jedinou realitou.“
Aj keby sme nechceli polemizovať o ontologickom statuse informácie a jej vzťahu k fyzikálnej realite, niet pochýb o tom, že sociálna realita je tvorená informáciou. Presnejšie povedané – komunikovanou informáciou. Parafrázujúc Wheelera môžeme tvrdiť: „Žiadna informácia nie je informáciou, pokiaľ nie je komunikovanou informáciou.“ A tu sa dostávame k podstate problému – informačnej bezpečnosti. Bez starostlivo chránenej informácie naša realita, čiže svet, v ktorom žijeme, nebude bezpečná.
Je iróniou situácie, že vlastnosti kvantového sveta môžu ohroziť klasické komunikačné protokoly a súčasne poskytujú bezprecedentnú komunikačnú bezpečnosť vďaka kvantovému prenosu kryptografických kľúčov.
To, čo v roku 1935 Albert Einstein považoval za tragický omyl kvantovej teórie a nazval ho strašidelné pôsobenie na diaľku, to jest kvantové previazanie, je dnes obdivuhodným základom kvantových technológií. Pomocou kvantovo-previazaných fotónov môžeme bezpodmienečne bezpečne distribuovať kryptografické kľúče, čiže môžeme zabezpečiť bezpečný prenos informácie. A ten, kto čítal majstra Sun'c, vie, že toto je otázkou „života a smrti štátu“.
Preto v roku 2017 Európska komisia prijala strategický plán rozvoja kvantových informačných technológií a od roku 2018 financuje takzvanú kvantovú vlajkovú loď, čiže miliardový projekt nasmerovaný na rozvoj kvantových informačných technológií, akými sú aj kvantové počítače ako nevyhnutná budúcnosť umelej inteligencie a kvantových senzorov, čo je budúcnosť Internetu vecí.
Paralelne s týmto sa pripravuje veľký projekt EuroQCI zameraný na rozvoj kvantovej komunikačnej infraštruktúry. Je potešiteľné, že prvé kvantové spojenie medzi dvomi hlavnými mestami sveta bolo nedávno vybudované práve medzi Viedňou a Bratislavou. Smutnou správou je, že na Slovensku neexistuje žiaden strategický zámer, ako sa pripojiť ku kvantovej budúcnosti.
Vladimír Bužek, Centrum pre výskum kvantovej informácie, Fyzikálny ústav Slovenská akadémia vied
Koho a čoho sa treba vyvarovať?
ANKETA:
Október, mesiac kybernetickej bezpečnosti, sa končí. Určite lepšie pomenovanie by bolo, ak by to bol mesiac, v ktorom sa viacej hovorí, publikuje a diskutuje. Pozornosť si kybernetická bezpečnosť totiž vyžaduje neustále. Každý deň a v každej oblasti.
Posledná anketová otázka niektorých účastníkov pobavila, iní ju využili na apel pre zodpovedných manažérov alebo pre koncových užívateľov. V každom prípade odpovede predstavujú reálne skúsenosti profesionálov kybernetickej bezpečnosti na Slovensku. Tie najlepšie veci nás vždy naučí prax.
Ivan Makatura
generálny riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti
Nečinnosti a zároveň neprofesionality. To druhé ma trápi viac. Chápem, že nedostatok kvalifikovaných odborníkov núti štatutárov organizácií a HR manažérov siahnuť aj k neovereným zdrojom. No potom sa nemožno čudovať, keď v technickom odbore, ktorým kybernetická bezpečnosť bezpochyby je, budú bezpečnostné opatrenia navrhovať ľudia z profesií, ktoré s informačnými technológiami nikdy nemali nič spoločné. A potom je tu ešte jedna zvláštna skupina „tiežodborníkov“. Tí sa síce s problémami ochrany informácií doteraz reálne nestretli, no keď zistili, že kybernetická bezpečnosť je aktuálne v centre záujmu a taktiež lukratívna oblasť, sami seba vyhlásia za expertov a angažujú sa všade, kde sa len dá.
Jaroslav Oster
predseda Správnej rady preventista.sk
Kúzelníkov, falošného pocitu bezpečia a straty kritického myslenia. Kúzelníkov v ponímaní predajcov technických riešení garantujúcich širokospektrálnu a absolútnu bezpečnosť. Falošného pocitu bezpečia vo vnímaní rizika na úrovni „nám sa nič nemôže stať“ či „my máme všetko dokonalo zabezpečené“. A bez istej dávky kritického myslenia v čase sociálnych manipulátorov striehnucich na každú chybičku nie je otázkou, či sa niečo môže stať, otázkou je len kedy.
Tomáš Hettych
viceprezident ISACA Slovakia, Asociácia Auditu a Kontroly Informačných Systémov
Pri implementáciách riešení kybernetickej bezpečnosti je potrebné vyvarovať sa nekvalifikovaných „odborníkov“. Kvalifikáciu špecialistov je možné si overiť prostredníctvom klientskych a projektových referencií a certifikátov. Kybernetická bezpečnosť je komplexná téma, ktorá vyžaduje široké portfólio znalostí a skúseností. Druhou oblasťou, kde je potrebné spozornieť, je ponuka tzv. all-in-one riešení, čiže ak bude dodávateľ ponúkať priamo implementáciu, bez vykonaného posúdenia, či auditu. Kvalita týchto riešení je prirodzene veľmi otázna a pravdepodobnosť budúcich problémov je pomerne vysoká.
Martin Oczvirk
riaditeľ odboru informačnej bezpečnosti a certifikácie Úradu na ochranu osobných údajov
Hlavne si nenamýšľať, že „mne sa to nemôže stať“. Druhým omylom je, keď si myslíme, že už máme zavedenú bezpečnosť a sme v bezpečí na sto percent a naveky. Ako bežní používatelia by sme sa mali vyhnúť inštalovaniu aplikácií z neoverených zdrojov a nepovoľovať na svojich zariadeniach služby a prístupy, ktoré nie sú nutné. Ak chce od vás aplikácia na kreslenie lokalizačné údaje a prístup k mikrofónu, tak vám to musí znieť podozrivo. A určite nedávať osobné údaje. Už len fotka z kancelárie alebo bytu môže útočníkovi poskytnúť cenné informácie, ktoré môže zneužiť.
Lukáš Neduchal
podpredseda Správnej rady Asociácie kybernetickej bezpečnosti
V oblasti kybernetickej bezpečnosti je takmer nemožné vyhnúť sa útoku. Otázkou nie je, či áno, ale kedy sa tak stalo a ako dlho to trvalo, v lepšom prípade sa pýtam, kedy sa tak stane. Vystríhajte sa zjednodušeného pohľadu „nám sa to nemôže stať, nie sme zaujímavý cieľ“ a podobne. Každé bezpečnostné opatrenie niečo stojí a zvlášť dnes musia manažéri vedieť, ako predchádzať nevhodne vynaloženým prostriedkom a zdrojom. Ideálny začiatok je urobiť si zoznam aktív spoločnosti vrátane tých informačných a urobiť reálnu analýzu a hodnotenie rizík.
Andrej Žucha
generálny riaditeľ Alison Slovakia
Pre všetky aktivity, možno s výnimkou štatistiky J platí, že nie je dobre, ak sa robia od stola. Alebo ako hovoríme – cez vetu „Vyplňte si priložený excel“. Tieto riešenia nie sú systémové, a patria do kategórie Len aby bolo, alebo Aby bol pokoj od práce. Takže vyhýbajte sa povrchnosti a dodávateľom s excelovou tabuľkou. Naopak, dobre si zmapujte existujúci stav, poznajte, čo máte, čo potrebujete a následne si naplánujte implementáciu opatrení. To najhoršie, čo sa môže stať, je ignorovať kybernetickú bezpečnosť, lebo nie je pravda, že problém, ktorý nevidím, neexistuje.
Peter Dostál
generálny riaditeľ a predseda Predstavenstva Aliter Technologies, a. s.
Každý z nás by sa mal vyvarovať presvedčenia, že „mne sa to nemôže stať“. Ako používatelia by sa sme sa mali vyvarovať slabých hesiel, používania toho istého hesla bez dvojfaktorového overenia na rôznych weboch a otvárania príloh a liniek v emailoch, ktoré nepoznáme. Ak je nutné prezerať si potenciálne nebezpečné web stránky, je vhodné na to použiť izolovaný operačný systém napríklad na USB kľúči (sandbox) alebo aspoň vyhradiť jeden prehliadač na tento účel a zvýšiť na ňom zabezpečenie aj za cenu zníženej funkčnosti. Rovnako dôležité je vyvarovať sa prideľovania práv, o ktoré inštalovaný softvér žiada, ak na to nemáme jasný dôvod.
Roman Čupka
hlavný konzultant Flowmon pre strednú a východnú Európu
Z pohľadu bežného používateľa IT treba byť obozretný najmä pri otváraní príloh a klikaní na webové odkazy. Väčšina kybernetických incidentov je spôsobená zneužitím dôvernosti a pozornosti ľudí, na čo cielia emailové phishingové kampane, a tie sú čoraz sofistikovanejšie. Preto je dôležité neustále šírenie osvety a plošné vzdelávanie. Z pohľadu firiem a verejnej správy sa treba vyvarovať falošného pocitu bezpečia, ktorý by mohla navodzovať ochrana koncových zariadení. Okrem nich je dnes nevyhnutné mať aj viditeľnosť do siete a vedieť detegovať hrozby a reagovať na ne v čo najkratšom čase.
Andrej Aleksiev
riaditeľ pobočky Check Point Software Technologies na Slovensku
Vyvarujme sa ľudí, ktorí zľahčujú dnešnú situáciu z pohľadu kyber-bezpečnosti. Situácia je vážna, a preto neopakujme chyby, ktorých sme sa dopustili my sami alebo iné entity. Kto by bol povedal, že hackeri sa budú snažiť získať kontrolu nad vodárňou s úmyslom zvýšenia hladiny chlóru vo vode, a tak otráviť obyvateľstvo?
Igor Urban
regionálny manažér Forcepoint pre východnú Európu
Odpoveď na túto otázku je jednoduchá a v princípe univerzálna. Ľudskej hlúposti. A to tak pri strategickom rozhodovaní o smerovaní kybernetickej bezpečnosti na rôznych úrovniach, ako pri denno-dennom používaní IKT nástrojov vrátane sociálnych sietí. Niekedy nie je na škodu spomenúť si na obyčajný sedliacky rozum, pridať k tomu trochu rozvahy so štipkou zdravej drzosti, nebáť sa byť inovatívny a zároveň si povedať veci tak, ako sú. Hrať sa na schovávačku a zatvárať si oči pred realitou sa v kybernetickom priestore väčšinou nevypláca. A následky môžu byť šokujúce.
Marek Král
generálny riaditeľ SecTec
Nerád by som sa opakoval, pretože v tomto seriáli bolo poukázané na viac dôležitých tém, ktoré si vyžadujú pozornosť. Určite neodporúčam spoliehať sa na „dúfam“. Dúfam, že som dobre ochránený a dúfam, že mne sa nič nestane. Toto môže byť drahá stratégia. Taktiež sa stáva, že zákazníci riešia bezpečnosť na open source riešeniach. Bezpečnosť je taká komplexná téma, že určite odporúčam implementáciu komerčných riešení, za ktorými sú veľké investície do vývoja, teamy špecialistov a garantovaná podpora. Nájsť si tú správnu cestu, ako budovať a neustále dopĺňať bezpečnosť, nie je vôbec jednoduché. Preto by som upozornil na Príručku kybernetickej bezpečnosti, ktorá vychádza v prílohe HN na pokračovanie a ponúka zjednodušený návod, ako na to.
Jana Puškáčová
manažérka útvaru Informačná bezpečnosť MOL IT & Digital Slovensko
Na jednej strane je potrebné si uvedomiť, že kybernetická bezpečnosť existuje v každej firme len vďaka biznisu a nie naopak. Presadzovanie rigidných bezpečnostných požiadaviek bez ohľadu na charakter biznisu a analýzu rizík má zvyčajne za následok silnú rezistenciu. Ak chce kybernetická bezpečnosť vo firme uspieť, mala by implementovať také riešenia, ktoré transparentne ošetrujú biznis rizika. Na druhej strane sa treba vyvarovať presvedčenia, že kybernetická bezpečnosť je čisto IT záležitosť. Presadzovanie a dodržiavanie princípov kybernetickej bezpečnosti by sa malo stať nedeliteľnou súčasťou fungovania každého zamestnanca firmy či tretej strany, vrcholové vedenie firmy nevynímajúc.
Richard Kiškováč
Security Consultant Digital Systems, a. s.
Z praxe konzultanta jednoznačne konštatujem, že z pohľadu bežného používateľa je potrebné vyvarovať sa unáhlených rozhodnutí v kybernetickej bezpečnosti, prílišnej chuti na senzácie alebo odmeny bez platenia. Z pohľadu organizácií je potrebné vyvarovať sa hlavne nekvalifikovaného a laxného riadenia kybernetickej bezpečnosti, ktorú väčšinou zosobňuje pozícia jej manažéra. Organizácie všetkých typov a na všetkých úrovniach by sa mali vystríhať nerovnováhy medzi troma základnými piliermi bezpečnosti, ktorými sú ľudia, procesy a technológie.
Tomáš Zaťko
CEO Citadelo, etický hacker
Vyvarovať sa treba univerzálnych riešení. Magických krabičiek. Prehnane sebavedomých manipulátorov, ktorí sú majstri sveta. Zaručeným obranám. Bezpečnostným procesom bez bezpečnostných technológií. Taktiež bezpečnostným technológiám bez bezpečnostných procesov. Taktiež sa treba vyvarovať prílišnému optimizmu a spánku na vavrínoch. Bezpečnosť je veľmi náročná disciplína. Jej dynamika vie meniť situáciu a vašu odolnosť extrémne rýchlo.
Pavol Adamec
výkonný riaditeľ oddelenia Riadenie rizík KPMG Slovensko
Najväčšou chybou je myslieť si, že kybernetická bezpečnosť nie je váš problém. Že vás sa to netýka. Že vám sa to nemôže stať. Že nie ste pre nikoho zaujímaví. Že vám sa nič nemôže stať, pretože máte firewall či IDS, antivír, penetračný test, šifrovanie, ... – nahraďte magické slovo v kontexte svojej organizácie. Nové technológie, novoodhalené zraniteľnosti, nové skutočne kreatívne nápady útočníkov, ako oklamať svoje potenciálne obete, pribúdajú závratne rýchlo. Pocit, že vy ste mimo tejto reality, vás môže priniesť na titulné stránky novín nechceným spôsobom.
Marián Trizuliak
architekt kybernetickej bezpečnosti, Západoslovenská distribučná, a. s.
„Čo môžeš urobiť dnes, odlož na zajtra a získaš deň voľna.“ Kybernetická bezpečnosť je o neustálej bdelosti, pozornosti, pohotovosti a zdravej dávke paranoje. Je nevyhnutné sa vyvarovať lenivosti, ľahostajnosti a nepodliehať falošnému pocitu bezpečia. Konečný stav bezpečnosti neexistuje a zároveň dúfam, že ani nebude existovať (nemal by som čo robiť). Každý z nás si musí osvojiť predpoklad, že digitálny svet nie je anonymný a je zraniteľný – my sme zraniteľní. Musíme sa podľa toho správať – najlepšie už dnes.
Ján Adamovský
Chief Security Officer Slovenská sporiteľňa
Rozhodne sa treba vyvarovať pocitu falošnej bezpečnosti, vyplývajúceho z chybného predpokladu, že „ja alebo moja firma sme pre digitálnych zlodejov nezaujímaví, a preto mi nič nehrozí“. V novinách sa dočítame iba o veľkých, mediálne atraktívnych spoločnostiach, ktoré sa stali terčom kybernetického útoku. Paradoxne však platí, že čím je firma väčšia, tým viac je schopná investovať do bezpečnosti a je lepšie chránená. Väčšina útokov sa preto deje práve voči bežným ľuďom a malým firmám. Preto téma kybernetickej bezpečnosti je rozhodne témou každého z nás.
(Natívna informácia)