Dreamstime
StoryEditor

Riziká reťazovej reakcie

15.12.2023, 00:00

Aj pri kybernetickej bezpečnosti platí, že každá organizácia je len taká silná ako jej najslabší článok. A ten sa môže nachádzať kdekoľvek v rámci jej dodávateľského reťazca.

Predstavte si, že niektorý z vašich subdodávateľov má k otázke kybernetickej bezpečnosti pasívny postoj. Ak aj vaša firma berie kybernetické hrozby vážne, môže stačiť slabé zabezpečenie obchodného partnera, a jeho problém ohrozí aj vás.

Ako dôkazy môžu poslúžiť aj mediálne exponované prípady Kaseya či Solarwinds, kde útočníci cez ich kompromitáciu dokázali ohroziť aj celú bázu ich klientov.

Podobné útoky sa dejú vo všetkých oblastiach biznisu, a výsledkom môže byť únik dát, ale aj pozastavenie výroby.  Začiatkom minulého roka takýto scenár zažila Toyota, ktorá musela pozastaviť výrobu v štrnástich výrobných závodoch v Japonsku po tom, čo jej dodávateľa zasiahol kybernetický útok.

Nie je dôvod, aby to na Slovensku bolo inak. Aj u nás prakticky každá firma spolupracuje so subdodávateľmi. Podľa Slovak Business Agency tvoria malé a stredné podniky na Slovensku až 99,9 percentný podiel z celkového počtu podnikateľských subjektov.

Zaujímali ste sa ale niekedy o bezpečnostné opatrenia zavedené u vašich, aj menších, dodávateľov? Myslíte, že pristupujú k problematike kybernetickej bezpečnosti zodpovedne?

Až polovica firiem kybernetickú bezpečnosť nerieši

Národný bezpečnostný úrad spolu s Kompetenčným a certifikačným centrom kybernetickej bezpečnosti vykonali počas jari tohto roka prieskum zameraný na zistenie stavu kybernetickej bezpečnosti v malých a stredných podnikoch na Slovensku. Viac ako polovica respondentov v ňom uviedla, že ohrozenie kybernetickým útokom nepociťuje, a ani sa riadením kybernetických rizík nezaoberá.

Nie je preto prekvapujúce, že 60 percent týchto podnikov neposkytuje zamestnancom školenia v oblasti digitálnej bezpečnosti, ale zarazí, že takmer 75 percent (!) nevie pomenovať technickú alebo právnu normu, podľa ktorej opatrenia implementujú. Napríklad ISO27001 referencovalo 4,5 percenta a vyhlášku 362/2018 len 1 percento opýtaných.

Zdá sa, že ani legislatívne požiadavky nevytvárajú na podniky dostatočný tlak na to, aby zvyšovali svoju úroveň zabezpečenia. Prekvapivo to platí aj pri výrobných podnikoch, ktoré by sa už mohli zamýšľať nad dopadmi smernice NIS2.

Podniky kybernetické útoky nepriznávajú

V realite sú menšie podniky pre útočníkov ideálnym cieľom. Ako aj prieskum ukázal, o kybernetickej bezpečnosti nemajú dostatočné povedomie, nevenujú jej pozornosť, rozpočty či ľudské zdroje. A aj keď veľká väčšina firiem kybernetický útok verejne neprizná, neznamená to, že sa neudial.

V prieskume totiž až 40 percent stredných podnikov potvrdilo, že ich motiváciou k zvyšovaniu úrovne zabezpečenia je práve poučenie z predchádzajúceho incidentu. Korešponduje to s prieskumom Eurobarometer 2022, kde 39 percent respondentov spomedzi slovenských podnikov uviedlo, že v uplynulom roku mali skúsenosť s kybernetickým zločinom. No paradoxne až 59 percent z nich takýto incident nikdy neohlási.

Rozumiete svojmu dodávateľskému reťazcu?

Efektívne riadenie rizík v rámci dodávateľského reťazca môže byť veľmi komplexné a náročné, riadi sa však jednoduchými princípmi.

Svojmu dodávateľskému reťazcu musíte rozumieť. Mali by ste nielen vedieť, kto vaši dodávatelia a partneri sú, ale mať aj prehľad o tom, ako pristupujú k bezpečnosti a svojim subdodávateľom. To vám pomôže správne identifikovať riziká, ktoré pre vašu spoločnosť predstavujú, a následne zvoliť efektívne opatrenia pre ich mitigáciu.

Kľúčová je komunikácia - dodávatelia by mali poznať vaše požiadavky a očakávania. Zvážte zavedenie sady nevyhnutných opatrení, ktoré budete v konkrétnych prípadoch vyžadovať, napr. ak má mať dodávateľ prístup k vašim systémom alebo dátam.

Dodržiavanie týchto požiadaviek priebežne monitorujte a počítajte aj s ich zlyhaním – aby ste bezpečnostné incidenty, ktoré skôr či neskôr nastanú, dokázali identifikovať a reagovať na ne skôr, ako spôsobia katastrofu.

Netreba ale zabudnúť, že správa rizík v dodávateľskom reťazci nie je jednorazový projekt, ale nikdy nekončiaci proces, ktorý si vyžaduje ostražitosť, prispôsobivosť a neustále zlepšovanie. V dnešnom rýchlo sa meniacom podnikateľskom prostredí je však rovnako dôležitý pre prežitie a úspech vašej spoločnosti ako efektívna spolupráca samotná.

Silvia Strežová, void SOC, centrum kybernetickej bezpečnosti SOITRON

menuLevel = 1, menuRoute = hn-special, menuAlias = hn-special, menuRouteLevel0 = hn-special, homepage = false
20. december 2024 11:25