SVET
Zmeny v tom, ako žijeme, pracujeme a vzdelávame sa, vytvorili deliacu čiaru, ktorá definitívne oddelí aj v kybernetickej bezpečnosti fungovanie vecí pred pandémiou a po nej.
Koncept práce z domu aj exponenciálny nárast rýchlosti prechodu do cloudu priniesol nižšiu transparentnosť ekosystému kybernetickej bezpečnosti, zníženie možnosti kontroly koncových zariadení a s tým spojené rôznorodejšie možnosti útokov pre potenciálnych útočníkov.
Počet úspešných útokov voči organizáciám v roku 2020 sa zvýšil o 5,5 percenta a prekonal svetový rekord za posledných šesť rokov.
Následok útoku so zneužitím SolarWinds vedie k väčším obavám spojeným s rizikom, ktoré predstavuje dodávateľský reťazec pre jednotlivé organizácie.
Táto situácia a výzvy sa, samozrejme, preniesli aj do roku 2021
- 78 percent spoločností očakáva ďalší útok na dodávateľský reťazec v rozsahu podobnom SolarWinds útoku.
- 88 percent organizácií zvyšuje rozpočet na bezpečnosť. Ako najčastejší dôvod uvádza zvýšenie využívania cloudových služieb.
- 84 percent organizácií sa stalo za posledné dva roky cieľom úspešného kybernetického útoku s kompromitáciou e-mailu ako najčastejším spôsobom útoku.
Daniel Suchý, špecialista pre kybernetickú bezpečnosť, Aliter Technologies, a. s.
Zdroj: prieskum spoločnosti Splunk, Cyberthreat Defence Report 2021 od CyberEDGE Group
SLOVENSKO
Či už ide o verejnú správu, zdravotníctvo alebo malé a stredné firmy a inštitúcie, reálna implementácia zákona o kybernetickej bezpečnosti je pre 90 percent povinných organizácií úlohou, ktorá dramaticky presahuje ich možnosti a kapacity.
Dosahovaný súlad s požiadavkami zákona o kybernetickej bezpečnosti vo väčšine týchto organizácií je päť percent.
Miera úšpešnosti phishingových kampaní, simulácia podvodného e-mailu je 85 percent. V dvadsiatich percentách prípadov je manažér kybernetickej bezpečnosti priamo podriadený manažmentu a nie IT oddeleniu.
Manažér kybernetickej bezpečnosti pri budovaní systému kybernetickej bezpečnosti spracováva a riadi desiatky rôznych dokumentov a úloh, akými sú stratégia, politiky, smernice, registre, pracovné postupy a implementácia opatrení. Každý dokument musí byť zároveň preskúmaný, vytvorený, pripomienkovaný, schválený, implementovaný a kontrolovaný.
Väčšina organizácií používa na riadenie projektov základné nástroje, akými sú Word, Excel a Outlook. Ak však chceme nimi v praxi riadiť kybernetickú bezpečnosť, spôsobujú nasledujúce problémy:
- Zložitá aktualizácia jednotlivých častí
- Chýba kontext a súvislosti, vzťahy
- Nízka úroveň kolaborácie
- Riadenie jednotlivých aktivít je nejasné
- Chýba dodržiavanie postupov
- Chýba integrácia procesného a technického sveta
- Kontrola efektívnosti je nízka
Riadenie dokumentov a úloh tak v praxi môže trvať viac ako 12 mesiacov.
S kvalitným nástrojom na riadenie kybernetickej bezpečnosti sa znižujú náklady na dosiahnutie súladu s legislatívou a eliminujú sa chyby a nejasné výstupy, čím sa vyvarujete predražených konzultácií.
A ako skontrolovať, či je takýto systém riadenia profesionálny? Je škálovateľný, priebežne vyhodnocuje stav bezpečnosti a používateľa sprevádza celým procesom.
Peter Tyko, riaditeľ divízie IT bezpečnosti ALISON Slovakia
Zdroj: prieskum spoločnosti, hĺbkové rozhovory január – jún 2021, počet účastníkov 127
(Natívna informácia)