Sobota 24. února 2024
ikona hodiny14. 1. 2024 06:18

Nejčastější pochybení při řízení kybernetické bezpečnosti

V posledních měsících jsme realizovali několik rozdílových analýz, ve kterých proběhlo ověření, jaký je stav řešení kybernetické bezpečnosti u subjektů, které budou podléhat novému zákonu kybernetické bezpečnosti reflektujícímu směrnici NIS2.

Libor Šrám autor

odborník na kyberbezpečnost, BDO

Foto: Shutterstock.com Nejčastější pochybení při řízení kybernetické bezpečnosti Foto: Shutterstock.com

Z provedených analýz a na základě zkušeností z provedených auditů kybernetické bezpečnosti, které proběhly u subjektů podléhajících regulaci podle stávajícího zákona, vyplývá několik zajímavých, ale nepřekvapujících zjištění. Přestože je stále více firem obeznámeno s hrozbami spojenými s kybernetickým prostředím, existuje řada běžných pochybení, která zvyšují riziko kybernetických útoků a snižují odolnost celého systému řízení kybernetické bezpečnosti. V tomto článku se proto zaměřím na nejčastější a nejvýznamnější pochybení, se kterými se u zákazníků setkávám. A přidám i doporučení.

NIS2 (Network and Information Security 2)

Celoevropská směrnice o kybernetické bezpečnosti, tedy bezpečnosti informačních systémů, počítačových sítí, aplikací, softwaru a informací. Jejím cílem je zvýšení odolnosti organizací proti kybernetickým útokům. Stanovuje povinná opatření ke zvýšení celkové úrovně kybernetické bezpečnosti v organizacích působících v zemích EU. Tyto organizace (subjekty) budou mít za povinnost dodržovat řadu povinností o bezpečnosti svých procesů, vzdělávání pracovníků, bezpečnosti svých systémů, sítí, IT infrastruktury a informací.

Nesprávná identifikace aktiv

Identifikace a správa aktiv je nejzásadnějším prvkem pro řešení kybernetické bezpečnosti. Chybná identifikace aktiv vede k nedostatečnému zabezpečení některých klíčových prvků celého systému řízení kybernetické bezpečnosti. Nepřesné nebo nedostatečné procesy identifikace vedou k chybám v zabezpečení aktiv. Na nesprávnou nebo neúplnou identifikaci aktiv navazuje nesprávné vyhodnocení rizik, nesprávné přiřazení opatření k jejich snižování a přijetí nápravných opatření. Chyby se řetězí a ochrana proti kybernetickým hrozbám toho nejcennějšího pro organizaci je tak neúčinná.

Doporučená opatření: Je důležité, aby organizace důsledně identifikovaly, systematicky vyhodnocovaly a aktualizovaly své postupy a procesy v oblasti správy aktiv a následně prováděly pravidelné revize a aktualizace analýzy rizik, s důrazem na aktuální hrozby a zranitelnosti.

Nedostatečná ochrana přístupových údajů a oprávnění

Jedním z nejčastějších pochybení, se kterými se setkáváme, je nedostatečná ochrana přístupových údajů. Mnoho firem stále využívá slabá hesla nebo nedostatečné metody autentizace. Důsledkem může být neoprávněný přístup k citlivým informacím. Stejně častým problémem bývá neefektivní správa přístupových práv a oprávnění, které často neodpovídají aktuálním rolím a odpovědnostem.

Doporučená opatření: Zavedení silných hesel a dvoufaktorové autentizace a pravidelná školení zaměstnanců o kybernetických hrozbách. Pravidelná revize a aktualizace oprávnění, včetně okamžité deaktivace účtů zaměstnanců po odchodu z organizace.

Nedostatečné monitorování a detekce incidentů

Mnoho organizací nedisponuje dostatečným systémem monitorování a detekce kybernetických incidentů. Často jsou útoky detekovány až ve fázi, kdy je příliš pozdě.

Doporučená opatření: Investovat do pokročilých nástrojů monitorování a ve spolupráci s bezpečnostními experty provádět pravidelné simulace kybernetických útoků.

Nedostatečná osvěta a školení zaměstnanců

Zaměstnanci jsou stále častěji v první linii kybernetických útoků. Nedostatečná znalost bezpečnostních postupů a nedbalost mohou zvýšit riziko úspěšného phishingového útoku nebo jiné formy sociálního inženýrství.

Doporučená opatření: Pravidelná školení zaměstnanců v oblasti kybernetické bezpečnosti včetně osvěty a testování odolnosti vůči sociálnímu inženýrství jsou tou nejlepší a zároveň nejlevnější obranou.

Nejnovější články

Expertní pohled
Důvěra v ekonomiku není nijak valná

Dolů ho táhla zejména zhoršující se nálada mezi...

Pro nastartování domácí poptávky je pozitivním signálem růst...

Expertní pohled
Potřebujeme zdravé, nikoli nemocné zaměstnance

Jak je možné, že jen pár týdnů po...

Jakou roli v tom vidíte pro MSD? Můžeme se...

Vedle prevence a očkování je MSD aktivní i v oblasti onkologie...

Trendy
Moderní řešení jménem Cafédock

Kde se zrodil nápad na Cafédock? Před pár lety...

Jak vypadaly první prototypy? Jeden byl menší, se...

Kolik modelů v současnosti existuje? Nyní jsou ještě v oběhu...

Nejnovější Expertní pohled

Expertní pohled
Důvěra v ekonomiku není nijak valná

Dolů ho táhla zejména zhoršující se nálada mezi...

Pro nastartování domácí poptávky je pozitivním signálem růst...

Expertní pohled
Potřebujeme zdravé, nikoli nemocné zaměstnance

Jak je možné, že jen pár týdnů po...

Jakou roli v tom vidíte pro MSD? Můžeme se...

Vedle prevence a očkování je MSD aktivní i v oblasti onkologie...

Expertní pohled
Stavební řízení? Proč jsme vlastně nejpomalejší?

Připomeňme, že podobně jako Česko si vedou v...

Podle nedávné studie představuje stavebnictví v ekonomikách OECD...