Každá piata organizácia sa po kybernetickom útoku ocitla na pokraji platobnej neschopnosti. Dokáže si vaša firma udržať hackerov od tela?
Všetci vieme, že kybernetická bezpečnosť je kritickým prvkom podnikateľského rizika. Ako veľmi je však dôležitá? Zdá sa, že správne rady v niektorých firmách venujú bezpečnosti len malú pozornosť, no stále sa im darí vyhýbať sa vážnym následkom. Práve preto je nová správa globálnej poisťovacej spoločnosti Hiscox zaujímavým čítaním. V správe sa tvrdí, že mnohé európske a americké organizácie sa po narušení bezpečnosti ocitli na pokraji platobnej neschopnosti. A aj napriek rastúcim výdavkom možno čoraz menej globálnych firiem označiť za „odborníkov“, pokiaľ ide o kybernetickú pripravenosť.
Viac ako kedykoľvek predtým je dôležité vedieť, kam presne sústrediť investície do kybernetickej bezpečnosti. Čo teda robia odborníci, aby sa vyhli bankrotu? Podľa správy ide vo veľkej miere o kombináciu osvedčených postupov a ochoty poučiť sa z predchádzajúcich incidentov.
Existenčná hrozba
Správa vychádza z rozhovorov s 5 000 podnikmi v USA, Spojenom kráľovstve, Belgicku, vo Francúzsku, v Nemecku, Španielsku, Holandsku a Írsku. Niektoré zistenia pre nás neboli žiadnou novinkou. Všimli sme si však zaujímavé nuansy. Napríklad:
- sedem z ôsmich krajín považuje kybernetické útoky za najväčšiu hrozbu pre podniky,
- polovica (48 %) respondentov zaznamenala za posledných 12 mesiacov kybernetický útok, pričom vlani to bolo 43 %,
- pätina (19 %) respondentov zaznamenala útok ransomvérom, čo je nárast oproti 16 %, pričom dve tretiny obetí útočníkom aj zaplatili.
Zatiaľ nič nezvyčajné. Obete útoku však vnímajú kybernetickú bezpečnosť úplne inak než tí, ktorí sa v takejto situácii neocitli. Viac ako polovica (55 %) obetí kybernetických útokov považuje kybernetickú bezpečnosť za mimoriadne rizikovú oblasť, no v prípade tých, ktorí kompromitáciu nezažili, tento podiel klesá len na 36 %. Podobne 41 % obetí tvrdí, že sú viac vystavení riziku, ale v prípade druhej skupiny je to menej ako štvrtina (23 %).
Ďalšia zaujímavosť: kybernetickí zločinci sa zrejme čoraz viac zameriavajú na menšie spoločnosti. Firmy, ktorých príjmy dosahujú 100 000 – 500 000 USD, môžu teraz očakávať rovnaký počet útokov ako firmy s ročným zárobkom 1 – 9 miliónov USD.
Firmy to vyjde draho
Táto informácia je dôležitá, pretože pätina firiem, ktoré sa stali obeťou útoku, uviedla, že ich platobná schopnosť bola ohrozená, čo je o 24 % viac ako v minulom roku. Hoci to v správe nie je podrobne uvedené, náklady súvisiace s narušením bezpečnosti môžu zahŕňať:
- výpadky v prevádzke,
- náklady spojené s právnymi službami,
- náklady spojené s nadčasmi IT pracovníkov a náklady na forenznú expertízu tretích strán,
- pokuty vychádzajúce z platných nariadení,
- odliv zákazníkov,
- straty v oblasti produkcie a predaja,
- dlhodobé poškodenie dobrého mena.
To môže čiastočne vysvetľovať zvýšené výdavky. Podľa správy sa priemerné výdavky respondentov na kybernetickú bezpečnosť v minulom roku zvýšili o 60 % na 5,3 milióna USD a od roku 2019 vzrástli o 250 %.
Ako útočníci ohrozujú organizácie?
Aby sme lepšie pochopili, ako sa vaša organizácia môže vyhnúť bankrotu, musíme najprv vedieť, ako útočníci spôsobujú toľko škôd. Podľa správy sú hlavnými vektormi útoku:
- cloudové servery (41 %),
- pracovný e‑mail (40 %),
- firemné servery (37 %),
- servery pre vzdialený prístup (31 %),
- mobilné zariadenia vo vlastníctve zamestnancov (29 %),
- DDoS (26 %).
To sa zhoduje so zisteniami v iných správach a s tvrdením, že práca na diaľku, investície do cloudovej infraštruktúry súvisiace s pandémiou a bezpečnostné výzvy pri práci z domu patria medzi najväčšie riziká, ktorým dnes organizácie čelia. V kombinácii s možnosťou zlyhania ľudského faktora tak vznikol veľký priestor na útoky, na ktorý sa môžu aktéri hrozieb zamerať.
Čo ďalej?
Určité znepokojenie vyvoláva skutočnosť, že skóre kybernetickej pripravenosti podľa odhadu spoločnosti Hiscox medziročne kleslo o 2,6 %, čo viedlo k prudkému poklesu počtu firiem, ktoré boli považované za „odborníkov“ – z 20 % na 4,5 %. Výrazne sa znížil aj podiel nováčikov, pričom väčšina z nich sa zaradila medzi „stredne pokročilých“. Podľa správy je kybernetická pripravenosť dôležitá, pretože medián nákladov súvisiacich s útokmi vyjadrený ako percento z príjmov je v prípade firiem, ktoré sú „nováčikmi v oblasti kybernetickej bezpečnosti“, 2,5-krát vyšší.
Ako teda vyzerá vyspelá kyberneticky pripravená organizácia? Našťastie to všetko nezávisí len od toho, koľko peňazí má k dispozícii. Dôraz sa kladie na niekoľko osvedčených postupov vrátane:
- formálneho schválenia postupov kybernetickej bezpečnosti s jasne definovanými úlohami a so súhlasom správnej rady alebo vrcholového manažmentu,
- zaistenia, aby mali vrcholoví riadiaci pracovníci jasný prehľad o kybernetickej bezpečnosti a podieľali sa na nej,
- dodržiavania noriem pre osvedčené postupy, ako je napr. rámec Národného inštitútu pre štandardy a technológie (NIST) v USA,
- rozloženia investícií do piatich kľúčových funkcií NIST – identifikácia, ochrana, detekcia, reakcia a obnova,
- zamerania sa na plánovanie reakcií na incidenty a simulácie útokov v súvislosti so súčasnou geopolitickou neistotou,
- pravidelného posudzovania firemných údajov a technologickej infraštruktúry,
- poskytovania efektívneho školenia o kybernetickej bezpečnosti,
- zabezpečenia dodržiavania bezpečnostných požiadaviek zo strany obchodných dodávateľov a partnerov,
- zamerania sa na ľahko realizovateľné procesy, ako sú bezpečnostné záplaty, penetračné testovanie a pravidelné zálohovanie.
Tieto kroky spoločne pomôžu minimalizovať pravdepodobnosť, že organizácia v dôsledku útoku nakoniec zbankrotuje.
