Pondělí 24. června 2024
ikona hodiny23. 2. 2023 08:01

Budoucností je kyberbezpečnost formou služby

Na aktuální kyberhrozby a časté chyby při zabezpečení podnikových sítí jsme se zeptali Radka Šichtance, ředitele útvaru bezpečnosti v O2.

Radek Kubeš autor

Foto: Shutterstock.com Trendem je kybernetická bezpečnost jako služba Foto: Shutterstock.com

Jaký byl loňský rok z hlediska kyberbezpečnosti na českém internetu?

České firmy a instituce potrápily zejména tři typy kyberhrozeb. Především šlo o ransomware, tedy zašifrování dat útočníkem a vymáhání výkupného. Asi si vzpomenete na napadení ŘSD, ale celkem byly ransomwarem postiženy desítky českých firem a organizací. Na intenzitě nabraly DDoS útoky, kdy útočníci posílají na internetové služby nevyžádaný provoz, až způsobí jejich kolaps. V naší síti tento typ útoků meziročně roste více než dvojnásobně, každý týden jich zaznamenáme desítky. O2 se pod masivním a dlouhodobým DDoS útokem ocitlo v říjnu, ale obstáli jsme a služby našich zákazníků udrželi v provozu. A do třetice šlo o zneužití zranitelností v neošetřeném softwaru třetích stran. Konkrétně zranitelností v Java frameworku (Log4j a Spring4Shell) a balíčku Microsoft Office (Follina) umožňujících vzdáleně ovládnout napadené systémy.

Foto: O2

Radek Šichtanc

Ředitel pro kybernetickou bezpečnost ve společnosti O2 Czech Republic a expert na informační bezpečnost s více než 20letou praxí. Prošel v IT security řadou rolí včetně funkce CISO velkých technologických firem. Je držitelem uznávaných bezpečnostních certifikací jako ISACA a ISC2. V O2 se stará o to, aby se co nejméně českých firem stalo oběťmi podvodníků a hackerů.

Můžeme z toho usuzovat i vývoj v letošním roce?

Určitě ano. Letošek začal velmi zostra DDoS útoky proti státním institucím a průmyslovým podnikům včetně Českého statistického úřadu a datových schránek v průběhu voleb. A další zásadní výzva spojená s kyberbezpečností na firmy ještě čeká. Krátí se jim čas na splnění požadavků evropské regulace NIS2, která upravuje povinnosti při kybernetickém zabezpečení systémů a dat i hlášení incidentů. Dosud se týkala několika set firem a organizací klíčových pro chod státu. Od roku 2024 se okruh rozšíří asi na 6 000 povinných subjektů prakticky ze všech odvětví. Půjde i o menší nemocnice, elektrárny, ICT poskytovatele, dopravce, výrobce chemických látek a další. Hlavním problémem nebude pořízení nových technologií, ale kritický nedostatek lidí schopných je nasadit a spravovat.

Napadají vás další otázky týkající se zabezpečení?

Co mohou české podniky udělat pro lepší zabezpečení a splnění legislativních požadavků?

Především se vyvarovat chyb, které vídáme u našich zákazníků při posuzování jejich zabezpečení. Ty začínají u správného vymezení bezpečnostního perimetru. Jeho hranice už není jednoznačně stanovena podnikovou sítí, kterou stačí ochránit. Do firmy se nám připojují i špatně zabezpečená koncová zařízení, využíváme cloud a zranitelná jsou i výrobní zařízení připojená přes internet. Jakkoli výhody mobility, cloudu a automatizace jednoznačně převažují, musíme pamatovat na jejich zabezpečení, a to ideálně ve fázi návrhu architektonického řešení.

Co dále podniky podceňují?

Kromě pravidelného školení všech zaměstnanců v digitální hygieně jsou to paradoxně opatření, která mnoho nestojí. Třeba slabá hesla, nedostatečné řízení privilegovaných účtů, pomalé záplatování softwaru nebo chybějící kontrola mobilních zařízení a aktivit uživatelů v síti. To lze částečně řešit technicky, ale dlouhodobou mezeru vidím v nedostatečném personálním obsazení bezpečnostních týmů. Letos ale budou firmy spíše šetřit. Jak posílit kyberbezpečnost s omezeným rozpočtem? Pokud jde o specialisty na kyberbezpečnost, nezáleží na tom, kolik může firma zaplatit – prostě na trhu nejsou. Možnou cestou je kyberbezpečnost jako služba. Tedy outsourcing u poskytovatele například bezpečnostního operačního centra (SOC), který je technologicky i personálně vybavený pro nepřetržitý monitoring a reakce na kybernetické incidenty. Jako u kterékoli jiné služby ale platí, že je nutné pečlivě volit, komu kyberbezpečnost svého podniku svěříte.

Nejnovější články

Pohled z praxe
Závod ve vývoji umělé inteligence: Čína versus USA

Čínský gigant Sense Time nedávno ohromil svět představením...

Čínské úspěchy se neomezují jen na software, ale...

Společnost 01 navíc vyvinula i efektivní modely s...

Výsledky tohoto epického souboje titánů formují podobu naší...

Názory
Důvěra spotřebitelů v ekonomiku opět poklesla

Souhrnný indikátor důvěry vyjádřený bazickým indexem se sice...

Do důvěry spotřebitelů se pak propisuje i růst...

Trendy
Aplikace pro správu nemovitostí s analytikou v reálném čase

„Vzhledem k tomu, že procesy správy nemovitostí jsou...

Aplikace SWORP Rent umožňuje organizaci nemovitostí do více...

Nejnovější Expertní pohled

Expertní pohled
Jak prakticky využít potenciál AI ve výrobní firmě

Je potřeba si ale narovinu říct, kolik z...

Představme si, že máme výrobní firmu a rádi...

Pro zdárné fungování AI je nutné si uvědomit,...

Druhým praktickým příkladem využití AI je situace, ve...

Chcete-li automatizaci a umělou inteligenci ve výrobní firmě...

Pohled z praxe
Plasty se stávají strategickou komoditou

Je to celkem pochopitelné. Plasty jsou v různé podobě...

Nejen evropský plastový odpad se z části vyvážel do...

Plasty se vyrábějí z ropy, která se kvůli omezeným...

Jak úplné cirkularity dosáhnout? Samozřejmě by bylo nejlepším...

Pohled z praxe
Digitalizace HR: Trend, který mění svět podnikání

Firmy se primárně zaměřují na digitalizaci výroby a...

„Pokud personální oddělení stále využívá převážně papírové dokumenty,...

Nové technologie se v HR aktuálně využívají v rámci...