Středa 17. července 2024
ikona hodiny14. 1. 2024 06:18

Nejčastější pochybení při řízení kybernetické bezpečnosti

V posledních měsících jsme realizovali několik rozdílových analýz, ve kterých proběhlo ověření, jaký je stav řešení kybernetické bezpečnosti u subjektů, které budou podléhat novému zákonu kybernetické bezpečnosti reflektujícímu směrnici NIS2.

Libor Šrám autor

odborník na kyberbezpečnost, BDO

Foto: Shutterstock.com Nejčastější pochybení při řízení kybernetické bezpečnosti Foto: Shutterstock.com

Z provedených analýz a na základě zkušeností z provedených auditů kybernetické bezpečnosti, které proběhly u subjektů podléhajících regulaci podle stávajícího zákona, vyplývá několik zajímavých, ale nepřekvapujících zjištění. Přestože je stále více firem obeznámeno s hrozbami spojenými s kybernetickým prostředím, existuje řada běžných pochybení, která zvyšují riziko kybernetických útoků a snižují odolnost celého systému řízení kybernetické bezpečnosti. V tomto článku se proto zaměřím na nejčastější a nejvýznamnější pochybení, se kterými se u zákazníků setkávám. A přidám i doporučení.

NIS2 (Network and Information Security 2)

Celoevropská směrnice o kybernetické bezpečnosti, tedy bezpečnosti informačních systémů, počítačových sítí, aplikací, softwaru a informací. Jejím cílem je zvýšení odolnosti organizací proti kybernetickým útokům. Stanovuje povinná opatření ke zvýšení celkové úrovně kybernetické bezpečnosti v organizacích působících v zemích EU. Tyto organizace (subjekty) budou mít za povinnost dodržovat řadu povinností o bezpečnosti svých procesů, vzdělávání pracovníků, bezpečnosti svých systémů, sítí, IT infrastruktury a informací.

Nesprávná identifikace aktiv

Identifikace a správa aktiv je nejzásadnějším prvkem pro řešení kybernetické bezpečnosti. Chybná identifikace aktiv vede k nedostatečnému zabezpečení některých klíčových prvků celého systému řízení kybernetické bezpečnosti. Nepřesné nebo nedostatečné procesy identifikace vedou k chybám v zabezpečení aktiv. Na nesprávnou nebo neúplnou identifikaci aktiv navazuje nesprávné vyhodnocení rizik, nesprávné přiřazení opatření k jejich snižování a přijetí nápravných opatření. Chyby se řetězí a ochrana proti kybernetickým hrozbám toho nejcennějšího pro organizaci je tak neúčinná.

Doporučená opatření: Je důležité, aby organizace důsledně identifikovaly, systematicky vyhodnocovaly a aktualizovaly své postupy a procesy v oblasti správy aktiv a následně prováděly pravidelné revize a aktualizace analýzy rizik, s důrazem na aktuální hrozby a zranitelnosti.

Nedostatečná ochrana přístupových údajů a oprávnění

Jedním z nejčastějších pochybení, se kterými se setkáváme, je nedostatečná ochrana přístupových údajů. Mnoho firem stále využívá slabá hesla nebo nedostatečné metody autentizace. Důsledkem může být neoprávněný přístup k citlivým informacím. Stejně častým problémem bývá neefektivní správa přístupových práv a oprávnění, které často neodpovídají aktuálním rolím a odpovědnostem.

Doporučená opatření: Zavedení silných hesel a dvoufaktorové autentizace a pravidelná školení zaměstnanců o kybernetických hrozbách. Pravidelná revize a aktualizace oprávnění, včetně okamžité deaktivace účtů zaměstnanců po odchodu z organizace.

Nedostatečné monitorování a detekce incidentů

Mnoho organizací nedisponuje dostatečným systémem monitorování a detekce kybernetických incidentů. Často jsou útoky detekovány až ve fázi, kdy je příliš pozdě.

Doporučená opatření: Investovat do pokročilých nástrojů monitorování a ve spolupráci s bezpečnostními experty provádět pravidelné simulace kybernetických útoků.

Nedostatečná osvěta a školení zaměstnanců

Zaměstnanci jsou stále častěji v první linii kybernetických útoků. Nedostatečná znalost bezpečnostních postupů a nedbalost mohou zvýšit riziko úspěšného phishingového útoku nebo jiné formy sociálního inženýrství.

Doporučená opatření: Pravidelná školení zaměstnanců v oblasti kybernetické bezpečnosti včetně osvěty a testování odolnosti vůči sociálnímu inženýrství jsou tou nejlepší a zároveň nejlevnější obranou.

Nejnovější články

Aktuality
Strojírák letos ocení průmyslový design

„Cenou za průmyslový design chceme zvýšit povědomí o...

„Chceme také zmapovat úroveň průmyslového designu a motivovat...

Aktuality
Komora nesouhlasí s návrhem zákona o kybernetické bezpečnosti

Českým podnikatelům vadí zejména dopady zavedení prověřování bezpečnosti...

Hospodářská komora upozornila také na to, že vláda...

Expertní pohled
Letní výprodej koruny: Úrokový diferenciál opět ve hře

V podobném duchu zapůsobila na kurz koruny také...

V kombinaci s horší růstovou dynamikou jsme proto...

To samo o sobě není povzbudivá zpráva pro...

V souhrnu jsme lehce revidovali letošní výhled na...

Oproti současným úrovním vidíme prostor pro solidnější zisky...

Z pohledu ČNB zatím není slabší koruna důvodem...

Nejnovější Expertní pohled

Expertní pohled
Letní výprodej koruny: Úrokový diferenciál opět ve hře

V podobném duchu zapůsobila na kurz koruny také...

V kombinaci s horší růstovou dynamikou jsme proto...

To samo o sobě není povzbudivá zpráva pro...

V souhrnu jsme lehce revidovali letošní výhled na...

Oproti současným úrovním vidíme prostor pro solidnější zisky...

Z pohledu ČNB zatím není slabší koruna důvodem...

Expertní pohled
Změny v DPP a DPČ mohou mít negativní dopad na zaměstnávání

Oznamovací povinnost se týká všech DPP, včetně těch...

Původně možná dobře zamýšlené změny tak budou zřejmě...

Ačkoliv si Česká republika v porovnání s ostatními...

Další možnosti, jak pomoci zvýšit flexibilitu českého pracovního...

Analýzy
Firmy se na nový zákon o kyberbezpečnosti příliš nechystají

Průzkumu se od letošního února do dubna zúčastnilo...

Průzkum také ukázal, že IT experti odpovědní za...

Průzkum se dále zaměřil na rozpočet společností pro...

Pouze 41 % dotázaných firem plánuje využít možnost...