Úniknuté údaje môžu viesť k finančným stratám aj reputačným škodám v dôsledku zníženej dôvery zákazníkov.
V roku 2023 došlo v Spojených štátoch podľa správy organizácie US Identity Theft Resource Center (ITRC) k viac ako 3 200 incidentom súvisiacim s únikom údajov, pričom obeťou sa stalo 353 miliónov ľudí, vrátane tých, ktorí boli zasiahnutí viackrát. Každý z týchto jednotlivcov môže byť zákazníkom, ktorý sa rozhodne presunúť svoj biznis inde, alebo zamestnancom, ktorý prehodnotí svoje miesto vo vašej organizácii.
To by malo byť dostatočným dôvodom na to, aby sa bezpečnosť údajov stala pre firmy prioritou. Napriek tomu, že korporácie každoročne míňajú obrovské prostriedky na kybernetickú bezpečnosť, úniky údajov naďalej narastajú. Prečo je také náročné zmierniť tieto kybernetické riziká? Časť odpovede sa skrýva v rozsahu a pestrosti útokov, vynaliezavosti útočníkov a veľkého množstva možností, ktorými môžu útočníci zasiahnuť bežnú firmu.
Prečo sú údaje dôležité pre biznis?
Objem údajov vytvorených globálne v posledných rokoch explodoval vďaka digitálnej transformácii. Podľa jedného odhadu sa v roku 2024 denne vytvorilo, zachytilo, skopírovalo alebo spotrebovalo 147 zettabajtov údajov. Tieto údaje sú kľúčom k získaniu zásadných poznatkov o zákazníkoch, zlepšeniu prevádzkovej efektivity a k prijímaniu lepších obchodných rozhodnutí.
Obsahujú však aj obchodné tajomstvá, citlivé duševné vlastníctvo a osobné či finančné informácie o zákazníkoch a zamestnancoch, ktoré sú v kybernetickom podsvetí vysoko cenené. To ich vystavuje riziku zo strany finančne motivovaných kybernetických zločincov aj aktérov podporovaných štátom. Úniky údajov môžu spôsobiť značné finančné a reputačné škody, vrátane:
- nákladných hromadných žalôb,
- poškodenia značky,
- straty zákazníkov,
- poklesu hodnoty akcií,
- nákladov na IT forenzné vyšetrovanie a obnovu,
- regulačných pokút,
- nákladov na oznámenie o úniku údajov,
- straty produktivity,
- či prevádzkových výpadkov.
Aké sú najvážnejšie hrozby pre údaje?
Nie všetky úniky sú úmyselné. Viac ako dve tretiny (68 %) analyzovaných incidentov v minulom roku podľa spoločnosti Verizon vznikli v dôsledku neúmyselného ľudského zlyhania. Príkladom môže byť zamestnanec, ktorý sa stal obeťou útoku typu sociálneho inžinierstva alebo omylom poslal citlivé informácie nesprávnemu príjemcovi. Ľudská chyba zahŕňa aj nesprávnu konfiguráciu kritických IT systémov, ako sú cloudové účty, alebo nedodržiavanie zásad silných a jedinečných hesiel.
Musíte si byť však vedomí aj hrozby, ktorú predstavujú samotní zamestnanci s nekalými úmyslami. Tých býva ťažšie odhaliť, najmä ak zámerne skrývajú dôkazy o svojom konaní a zároveň využívajú svoje interné znalosti o obchodných procesoch a nástrojoch. Tvrdí sa, že náklady na takéto incidenty prudko stúpajú.
Odvážni aktéri podporovaní štátmi predstavujú vytrvalých a sofistikovaných protivníkov. Aj keď podľa spoločnosti Verizon zodpovedajú len za približne 7 % narušení bezpečnosti, majú vysokú šancu na úspech, ak je vaša organizácia ich cieľom alebo sa nešťastne ocitne v ich záujme.
Medzi ďalšie hrozby patria:
- Phishing a ďalšie formy sociálneho inžinierstva zostávajú hlavnými spôsobmi narušenia bezpečnosti. Prečo? Pretože ľudia sú náchylní robiť chyby a často naletia na príbehy, ktoré im podvodníci rozprávajú. Ak sú tieto útoky cielené na konkrétne osoby prostredníctvom spear-phishingu, šanca na úspech je ešte vyššia. Kybernetickí zločinci môžu zbierať informácie na prispôsobenie týchto správ zo sociálnych sietí, najmä z LinkedIn.
- Dodávateľské reťazce môžu byť narušené rôznymi spôsobmi. Kybernetickí zločinci môžu využiť poskytovateľov cloudových služieb alebo riadených služieb (CSP/MSP) ako odrazový mostík do viacerých klientskych organizácií. Alebo môžu implantovať malvér do open-source komponentov a čakať, kým si ich niekto stiahne. Pri najsofistikovanejších útokoch môžu preniknúť do prostredia vývojára softvéru a nainštalovať malvér priamo do aktualizácií softvéru, ako to bolo v prípade kampane SolarWinds.
- Zneužívanie zraniteľností zostáva jednou z troch hlavných metód na spustenie ransomvérových útokov. Podľa spoločnosti Verizon objem zneužívania zraniteľností spojených s incidentmi narušenia údajov vzrástol v minulom roku o 180 % oproti roku 2023. Spravodajská skupina Five Eyes varovala, že počet zraniteľností typu zero-day (t. j. zraniteľností bez dostupných záplat) tiež rastie, čo by malo byť ešte väčším dôvodom na obavy.
- Kompromitované prihlasovacie údaje sú zvyčajne výsledkom slabej správy hesiel, úspešných phishingových útokov, rozsiahlych narušení údajov alebo útokov hrubou silou na heslá. Poskytujú jeden z najefektívnejších spôsobov, ako obísť vaše kybernetické obranné mechanizmy bez spustenia akýchkoľvek poplachov. Podľa spoločnosti Verizon použitie odcudzených poverení figurovalo v takmer tretine (31 %) všetkých narušení za posledné desaťročie.
- BYOD (Bring Your Own Device) naďalej poskytuje príležitosti pre útočníkov, pretože firemní zamestnanci často zabúdajú nainštalovať antivírusový softvér na svoje osobné zariadenia. Ak sú tieto zariadenia kompromitované, hackeri môžu získať prístupy do firemných cloudových účtov, prístup k pracovným e-mailom a oveľa viac.
- Metóda Living off the land je bežne používaná sada techník využívaná po úspešnom prieniku, ktorá umožňuje útočníkom nepozorované zotrvanie v sieti. Využitím legitímnych nástrojov, ako sú Cobalt Strike, PsExec a Mimikatz, dokážu vykonávať množstvo funkcií spôsobom, ktorý je ťažko odhaliteľný.
Mali by sme tiež spomenúť potenciál nástrojov poháňaných umelou inteligenciou, ktoré môžu pomôcť útočníkom. Národné centrum kybernetickej bezpečnosti Spojeného kráľovstva (NCSC) vyhlásilo v januári 2024, že táto technológia „takmer určite zvýši objem a zintenzívni dopad kybernetických útokov v nasledujúcich dvoch rokoch.“ To platí najmä pre oblasť podvodov a sociálneho inžinierstva.
Opatrenia pre zabezpečenie údajov
Riešenie výziev, ktoré predstavujú úniky údajov, znamená podniknúť kroky na všetkých frontoch s cieľom znížiť riziko naprieč útočnou plochou. Tá sa naďalej rozširuje každou investíciou do digitálnej transformácie, nezabezpečenými koncovými bodmi na diaľku aj odcudzenými prihlasovacími údajmi. Tu je niekoľko tipov na začiatok.
- Pochopte rozsah svojej útočnej plochy (miest, cez ktoré vás môžu útočníci zasiahnuť) tým, že budete nepretržite mapovať všetky svoje IT aktíva.
- Implementujte programy pre opravy a riadenie zraniteľností na základe hodnotenia rizík, vrátane pravidelného penetračného testovania.
- Zabezpečte, aby všetky firemné zariadenia boli chránené viacvrstvovým bezpečnostným softvérom.
- Nainštalujte nástroje na prevenciu úniku údajov (Data Loss Prevention, DLP).
- Používajte správu mobilných zariadení (Mobile Device Management, MDM) na monitorovanie všetkých zariadení a zabezpečte, aby mali nainštalovaný antivírusový softvér od renomovaného dodávateľa.
- Presadzujte silné zásady týkajúce sa hesiel a multifaktorovú autentifikáciu (MFA) všade.
- Vzdelávajte zamestnancov ohľadom základných pravidiel kybernetickej bezpečnosti a naučte ich, ako rozpoznať phishingové správy.
- Vytvorte plán reakcie na incidenty a pravidelne ho testujte.
- Šifrujte údaje počas prenosu aj mimo neho.
- Preverujte dodávateľov a obchodných partnerov.
- Vykonávajte monitorovanie siete a koncových bodov, aby ste včas zachytili akékoľvek prieniky.
- Zabezpečte, že cloudové systémy sú správne nakonfigurované.
Je zrejmé, že udržiavanie našich najcitlivejších údajov si vyžaduje ostražitosť od jednotlivcov aj od spoločností, ktorým dôverujeme, že sa o tieto informácie postarajú. Regulačný dopad neplnenia týchto povinností môže byť vážny, rovnako ako strata dôvery zákazníkov. Platí však aj opak. Ak dokážete, že vaša spoločnosť je zodpovedným správcom týchto údajov, môže to byť silná konkurenčná výhoda.
