S nariadeniami, ako je DORA, nadobúda problematika externých rizík, medzi ktoré patria aj cloudové počítače, nový rozmer.
Predpisy, v ktorých sú riadenie externých rizík a prevádzková odolnosť rozhodujúce pre zachovanie bezpečnosti (a vyhnutie sa pokutám), môžu byť pre bezpečnostné tímy poslednou kvapkou – najmä ak IT manažéri nie sú pripravení naplno sa zaviazať k dodržiavaniu potrebných opatrení.
Treba dodať, že pripravení pravdepodobne neboli ani predtým. Aj preto dnes legislatíva, ako napríklad akt EÚ o digitálnej prevádzkovej odolnosti (DORA), predstavuje pre mnohé organizácie značnú záťaž. Keďže nariadenie kladie veľký dôraz na prevádzkovú odolnosť vrátane riadenia externých rizík (napríklad v prípade poskytovateľov cloudových služieb), banky, poisťovne, investičné spoločnosti a ďalšie inštitúcie sa dnes ocitli v úzkych a prirodzene si kladú otázku: Sme na to pripravení?
Kľúčové body článku
- Dosahovanie nových úrovní produktivity vďaka cloudovým riešeniam neznamená, že s nimi nie sú spojené aj merateľné riziká.
- Riešenia postavené na verejnom cloude, napríklad virtuálne počítače, nie sú nezraniteľné. Rovnaké riziká predstavujú aj súvisiace vrstvy, ako sú cloudové služby správy identít.
- Regulačné orgány si tieto aj ďalšie externé riziká uvedomujú, preto proti nim tvrdo zasahujú a vydávajú nariadenia, ako je DORA, ktoré stanovujú základný štandard odolnosti a zodpovednosti pre finančné inštitúcie a niektorých ich poskytovateľov.
- Firmy sa tak ocitajú medzi dvoma mlynskými kameňmi: na jednej strane čelia čoraz rafinovanejším útočníkom, na druhej prísnym regulačným orgánom, ktoré trestajú každé zlyhanie pri reakcii na incident. Najmä stredne veľké firmy majú čo stratiť.
- Riešenie? Zjednodušiť, zefektívniť a sprístupniť ochranu cloudových prostriedkov a služieb rozšírením základného zabezpečenia so všetkými jeho výhodami (optimalizované zobrazenie, bezproblémová správa) aj do cloudového prostredia.
- ESET Cloud Workload Protection (ECWP) predstavuje prirodzené rozšírenie zabezpečenia koncových zariadení, pričom chráni virtuálne počítače vo verejných cloudových prostrediach a integruje ich údaje do konzoly ESET PROTECT.
Oblačno s možnosťou úniku údajov
Akt o digitálnej prevádzkovej odolnosti DORA je skutočne jedinečný legislatívny rámec, ktorý má nasmerovať finančné inštitúcie k lepšiemu základnému zabezpečeniu. Zároveň zdôrazňuje aj zodpovednosť – v prípade nedodržania predpisov totiž nemusí niesť následky len firma, ale aj jej vedenie.
Znie to celkom dobre, však? No nie je to také jednoduché, ako sa zdá. Požiadavky sú pomerne prísne, najmä pokiaľ ide o riadenie externých rizík. Nariadenie totiž stanovuje, že iniciátor zmluvného vzťahu nesie zodpovednosť za posúdenie a monitorovanie odolnosti svojich dodávateľov.
Inými slovami, ak prevádzkujete virtuálne počítače vo verejnom cloudovom prostredí a vaša služba je zneužitá, zodpovednosť za prípadné zverejnenie citlivých údajov, ktoré sa na týchto kompromitovaných virtuálnych počítačoch nachádzajú, nesiete vy.
Možno si myslíte, že takýto scenár je málo pravdepodobný. Žiaľ, v minulosti sa vyskytli prípady, keď ransomvéroví útočníci zneužili kritické zraniteľnosti vo virtualizačných technológiách. Napríklad veľký bezpečnostný incident z roku 2025, ktorý zasiahol systémy SSO a LDAP služby Oracle Cloud, viedol k úniku 6 miliónov záznamov z viac ako 140 000 nájomníkov. Hoci tento incident priamo nezasiahol virtuálne počítače, išlo o kompromitáciu vrstvy identity, ktorú používali ich nájomníci, čo vystavilo riziku aj ďalších zákazníkov v reťazci.
A to môže byť len špička ľadovca.
Globálne využívanie cloudu prudko rastie
Ľudia už nepracujú len na koncových zariadeniach – a bezpečnosť musí tento trend nasledovať. Spoločnosti, najmä v segmente stredne veľkých firiem (predstavte si napríklad menšiu investičnú banku, ktorá poskytuje služby stredne veľkým firmám), ako aj poskytovatelia spravovaných služieb (MSP) čoraz viac využívajú cloudové služby, napríklad virtuálne počítače, aby zvýšili svoju produktivitu. Podľa dostupných údajov využívalo v roku 2025 približne 69 % podnikov nejaký druh verejnej cloudovej infraštruktúry ako svoje primárne prostredie, pričom približne 63 % celosvetového trhu verejného cloudu tvorili platformy AWS (30 %), Azure (20 %) a GCP (13 %).
Tieto čísla sú pôsobivé a možno predpokladať, že budú ešte rásť. Rovnako však budú pribúdať aj pokusy o zneužitie cloudových prostredí. Až 44 % organizácií už zažilo únik údajov z cloudu, pričom priemerné náklady na jeden incident dosahujú neuveriteľných 5,17 milióna dolárov – čo je najviac spomedzi všetkých typov IT prostredí. Rovnaký zdroj uvádza, že približne 32 % bezpečnostných incidentov viedlo k finančným pokutám.
Prečo sú tieto čísla také vysoké? Realita je taká, že cloudové prostriedky a služby (workloady) sú dynamické, distribuované a často neviditeľné pre tradičné bezpečnostné nástroje. Útočníci sa preto na ne čoraz viac zameriavajú a robia to s rastúcou rafinovanosťou. Stačí jedna nesprávne nakonfigurovaná cloudová služba, ktorá sprístupní citlivé údaje zákazníkov, a následky môžu byť rýchle a veľmi nákladné.
Ach, tá DORA!
Zastavme sa na chvíľu pri spomínaných nákladoch. Pamätáte si, ako sme písali, že riadenie externých rizík je jedným z kľúčových pilierov nariadenia DORA? Toto nariadenie sa vzťahuje na všetky finančné subjekty pôsobiace v EÚ. Nedodržanie predpisov môže viesť k pokute až do výšky 2 % celkového ročného globálneho obratu firmy alebo 10 miliónov eur – podľa toho, ktorá suma je vyššia. V prípade jednotlivca (napríklad člena vedenia podniku) môže sankcia dosiahnuť až 1 milión eur.
Na základe týchto pravidiel musí nariadenie dodržiavať aj banka zo Spojeného kráľovstva či z USA, ktorá má pobočku v niektorej krajine EÚ. Bez výnimiek.
Na predpisy však musia myslieť aj externí poskytovatelia IT služieb – tí, ktorých európske orgány dohľadu považujú za kritických dodávateľov, môžu čeliť pokutám až 5 miliónov eur (alebo do výšky 1 % ich ročného globálneho obratu) alebo 500 000 eur v prípade jednotlivca.
Ak teda cloudová služba vašej investičnej spoločnosti zlyhá, zodpovednosť nemusí niesť len samotná spoločnosť.
Virtuálne počítače a hrozby
Ako teda riešiť problémy s cloudom v kontexte nariadenia DORA? Keďže firmy často spravujú prostriedky a služby súčasne v lokálnom aj cloudovom prostredí (napríklad na platformách Amazon Web Services, Azure alebo Google Cloud Platform), ľahko pri tom vznikajú bezpečnostné medzery. Navyše len približne 23 % organizácií uvádza, že má úplný prehľad o svojich cloudových prostrediach, čo je prinajmenšom znepokojujúce, najmä keď predpisy vyžadujú transparentnosť.
Stačí jediný kompromitovaný virtuálny počítač – či už v dôsledku ukradnutých prihlasovacích údajov, nesprávnej konfigurácie alebo neaktualizovaných služieb – a incident sa môže rýchlo rozšíriť naprieč celým prostredím. Za zmienku stoja tzv. escape útoky na virtuálne počítače, pri ktorých útočníci prinútia programy „uniknúť“ z virtuálnych počítačov a komunikovať s hostiteľským operačným systémom. Svedkami takýchto situácií sme boli nedávno pri niektorých zero‑day zraniteľnostiach v službe VMware ESXi.
Je zrejmé, že je potrebné prehodnotiť prístup k riadeniu rizík. Organizácie potrebujú ochranu v reálnom čase, ktorá dokáže podobné exploity blokovať, automaticky izolovať problematické virtuálne počítače a zároveň zdieľať telemetriu na rýchle zabránenie šíreniu hrozby. A to všetko bez nutnosti rozsiahlych investícií do vlastných bezpečnostných riešení.
Preto je kľúčové škálovanie. Jedna politika naprieč celým prostredím, bez zvyšovania komplexnosti, ktorá zároveň prináša prehľad o často neviditeľných cloudových prostriedkoch a službách. Presne o tom to je.
Privítajte ESET Cloud Workload Protection
Spoločnosti s obmedzenými znalosťami v oblasti IT bezpečnosti, menšími bezpečnostnými tímami alebo tie, ktoré uprednostňujú riešenia, ktoré stačí len nastaviť a o viac sa nestarať, sa nemusia obávať, že nové nástroje narušia ich existujúcu bezpečnostnú architektúru. Komplexná odolnosť totiž nemusí byť komplikovaná.
Spoločnosť ESET je známa tým, že prináša nenáročné riešenia, ktoré vďaka kombinácii viacerých bezpečnostných vrstiev fungujú ako celok a dokážu flexibilne reagovať na rôzne bezpečnostné hrozby – od základných malvérových infekcií až po pokročilé ransomvérové útoky. Tento prístup stojí na kombinácii inteligentného programovania, automatizácie a rozsiahlej práce na pozadí, ktorej cieľom je zistiť, ako čo najlepšie chrániť zákazníkov pred najnovšími hrozbami.
Keď zohľadníme všetky uvedené výzvy – od nepríjemných cloudových hrozieb až po predpisy vyžadujúce dôsledné riadenie prevádzkovej odolnosti –, je jasné, že spoliehať sa len na existujúce prístupy už nestačí.
Preto ESET rozširuje ochranu za hranice koncových zariadení prostredníctvom nového modulu ESET Cloud Workload Protection (ECWP), ktorý chráni virtuálne počítače vo verejných cloudových prostrediach, integruje ich údaje do konzoly ESET PROTECT s možnosťami XDR, výrazne obohacuje telemetriu na účely detekcie a reakcie na incidenty a zároveň zjednocuje správu zabezpečenia naprieč koncovými a cloudovými prostrediami v jednom prehľadnom rozhraní.
Hlavnou výhodou je ochrana pred ďalším významným vektorom útokov a zároveň možnosť pravidelne overovať kontrolné mechanizmy či generovať dôkazy o audite v súlade s regulačnými rámcami, ako sú NIST, CIS, HIPAA alebo PCI DSS – teda nielen v súlade s nariadením DORA.
Nie je to len ďalšia položka na účtenke za zabezpečenie
Na rozdiel od konkurencie, ktorá zvyčajne ponúka ochranu cloudových prostriedkov a služieb ako samostatný produkt, ESET prináša ochranu virtuálnych počítačov v rámci bežných úrovní predplatného, počnúc úrovňou ESET PROTECT Advanced, aby bola dostupná aj pre tie najmenšie firmy. Lepšia ochrana za rovnakú cenu.
ECWP rozširuje portfólio cloudových bezpečnostných riešení ESET, ktoré v súčasnosti zahŕňa ochranu pracovných aplikácií (ESET Cloud Office Security), pričom plánujeme čoskoro priniesť aj ďalšie riešenia na ochranu cloudových prostredí.
Jasná obloha
Cloud sa nezvratne stal jedným z faktorov, ktoré zvyšujú mieru vystavenia hrozbám. Jeho riziká sa často podceňujú, no nedávne udalosti naznačujú, že sa to čoskoro zmení. Vedenie spoločnosti môže nadobudnúť pocit, že ich základná bezpečnosť je tak či tak ohrozená a že prevádzková odolnosť je len ilúziou, keď sa na obzore neustále objavujú nové hrozby.
Realita je však iná. Ak budete na nové hrozby reagovať dôsledným zavádzaním preventívnych opatrení a spojíte sily so skúsenými a osvedčenými poskytovateľmi bezpečnostných riešení, môže to byť presne to, čo rozhodne o vašej odolnosti.
