9. Nedostatok bezpečnostných špecialistov – pootvorené dvere pre útočníkov

BVF 9 hrozba nahladovy obrazok

Odhaduje sa, že na svete chýba takmer 3,5 milióna špecialistov na kybernetickú bezpečnosť. Kritický nedostatok týchto expertov nahráva do kariet útočníkom, ktorí prichádzajú s čoraz pokročilejšími hrozbami. Bez odborníkov je mimoriadne náročné monitorovať najnovšie trendy, spravovať sofistikované bezpečnostné riešenia a adekvátne trénovať zamestnancov. Deviate miesto v rebríčku 10 najväčších hrozieb preto patrí nedostatku bezpečnostných špecialistov.

V tomto článku sa dočítate:

  • Prečo predstavuje nedostatok bezpečnostných špecialistov pálčivý problém,
  • prečo firme nestačí na ochranu antivírus,
  • aké firmy potrebujú služby špecialistov,
  • aké chyby robia firmy pri nahrádzaní bezpečnostných špecialistov,
  • a kedy je vhodným riešením zveriť správu IT bezpečnosti tretej strane.

Celosvetovo chýbajú milióny bezpečnostných špecialistov

Podľa údajov organizácie (ISC)² pracuje aktuálne na pozíciách v oblasti kybernetickej bezpečnosti celosvetovo približne 4,7 miliónov ľudí. Ide o historicky najvyššie číslo, no aj napriek tomu sa v odborných kruhoch hovorí o kritickom nedostatku. Na adekvátnu ochranu pred dynamicky sa vyvíjajúcimi hrozbami by organizácie potrebovali podľa (ISC)² posilniť stavy o 3,4 milióna expertov z oblasti IT bezpečnosti.

V regióne Európy, Blízkeho východu a Afriky (EMEA) chýba podľa týchto dát 317-tisíc pracovníkov. Tieto údaje však budú pravdepodobne podhodnotené, lebo pre USA uvádzajú nedostatok „iba“ 436-tisíc ľudí. Podľa portálu Cyberseek pritom aktuálne hľadajú organizácie v USA 770-tisíc ľudí pracujúcich v oblasti kybernetickej bezpečnosti.

Presné údaje o nedostatku bezpečnostných pracovníkov sa vyčísľujú náročne. Všeobecne však podľa Eurostatu malo v roku 2020 problém obsadiť pozície v odvetví informačných a komunikačných technológií 55 % európskych firiem, pričom na Slovensku to bolo až 59 %. Platí pritom, že kým nájsť IT špecialistu je náročné, v prípade bezpečnostných špecialistov je to ešte ťažšie.

Realita mnohých menších slovenských firiem je taká, že o bezpečnosť sa stará „známy alebo známa, čo tomu rozumie.”

Problémom tiež je, že pozícia bezpečnostného špecialistu si vyžaduje roky skúseností. Ak by chceli firmy vlastných bezpečákov vychovať od úplného základu, narazia na obrovské náklady a časovú náročnosť. Kvalitní bezpečnostní pracovníci tak väčšinou vzídu z dlhoročných administrátorov, správcov sietí, prípadne pracovníkov, ktorí dlhodobo pôsobia na technických pozíciách v IT.  

Antivírus nestačí

Laikom by sa mohlo zdať, že všetky bezpečnostné hrozby odvrátia nainštalovaním bezpečnostného softvéru alebo iných foriem automatizácie bezpečnosti na firemné zariadenia. Kvalitné bezpečnostné riešenie síce dokáže mnohé riziká pokryť, no bez vstupu ľudského faktora nepredstavuje komplexnú a nepriestrelnú ochranu.

„Problémom môže byť, že sa firma nestará o ostatný softvér na svojich zariadeniach, používa neaktualizované a teda zraniteľné služby, prípadne nesprávne nakonfigurované systémy. Príkladom chyby, na ktorú má dosah konanie človeka, je tiež „vystavenie“ vzdialeného prístupu do verejného internetu,“ vysvetľuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET.  

Pri nedbanlivej správe IT, a celkovo kybernetickej bezpečnosti, dokáže šikovný útočník obísť softvérové zabezpečenie. V horšom prípade ho môže dokonca vypnúť alebo odstrániť. Ak je však „antivírus“ skombinovaný so skúseným IT tímom, ktorý má aj bezpečnostnú zložku, dokáže väčšine podobných rizík zabrániť správnym nastavením a monitorovaním aktuálnej situácie v sieti.

„Ajťák“ pre všetko nie je bezpečnostný špecialista

Realita mnohých menších slovenských firiem je taká, že o bezpečnosť sa stará „známy alebo známa, čo tomu rozumie.“ Nejde o šťastné riešenie, pretože skúsenosti a schopnosti takéhoto pracovníka v oblasti IT môžu byť nadhodnocované a často ide o slepú, ničím nepodloženú dôveru.

Veľa menších až stredných firiem si zas myslí, že im stačí jeden „ajťák“, ktorý má na starosti všetko, od nefungujúcej tlačiarne až po bezpečnosť. Ide však o chybný predpoklad. Takto preťažení IT pracovníci totiž okrem každodennej administrácie systémov riešia aj problémy používateľov.

9 hrozba Ondrej Kubovic

„Prirovnal by som to k predstave, že o chod kancelárskej budovy s 10 poschodiami sa má starať jeden človek. Aj keby bol veľmi šikovný, je nereálne, aby bol expertom na všetko v budove vrátane elektriny, vody, klimatizácie či kľúčových systémov a zároveň dokázal reagovať na operatívne požiadavky všetkých nájomníkov.

Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET

„Pre nedostatok času často volia v otázke bezpečnosti skratkovité postupy – nastavia firewall, nainštalujú antivírus, a tým je pre nich otázka bezpečnosti systému uzavretá,“ vysvetľuje Ondrej Kubovič.

Častou chybou správcov v menších a stredných firmách je, že v rámci CIA triády (Confidentiality, Integrity, Availability) sa prioritne zameriavajú na posledný prvok, teda dostupnosť systémov, žiaľ, na úkor ich bezpečnosti. Takýmto prístupom však môžu firmu vystaviť riziku napadnutia a finančných aj reputačných škôd.

Kedy potrebuje firma bezpečnostného špecialistu?

Nedá sa univerzálne povedať, od koľkých zamestnancov potrebuje firma bezpečnostného pracovníka. Existujú napríklad stredne veľké firmy s desiatkami zamestnancov, ktoré môžu ešte stále pri úzkom zameraní používať relatívne malý počet systémov a zariadení.

Na druhej strane aj malá firma s niekoľkými zamestnancami môže poskytovať široké portfólio služieb. V praxi to znamená veľa databáz, serverov, respektíve softvérových nástrojov, ktoré treba spravovať. Pri aktuálnej legislatíve upravujúcej reguláciu a ochranu dát by mali po profesionálnej správe siahnuť aj takéto firmy.  

Ak má firma iba pár zamestnancov a nepracuje s citlivými údajmi, za určitých podmienok dokáže spravovať sieť a jej bezpečnosť jednotlivec. Akonáhle však počet zamestnancov, zariadení a s nimi aj komplexnosť infraštruktúry rastie, schopnosť starať sa o systém prekročí kapacity jedného pracovníka.

„Prirovnal by som to k predstave, že o chod kancelárskej budovy s 10 poschodiami sa má starať jeden človek. Aj keby bol veľmi šikovný, je nereálne, aby bol expertom na všetko v budove vrátane elektriny, vody, klimatizácie či kľúčových systémov a zároveň dokázal reagovať na operatívne požiadavky všetkých nájomníkov. IT je vo firme jednoducho príliš komplexná oblasť, ktorá zahŕňa príliš veľa technológií,“ hovorí Ondrej Kubovič.

Bezpečnosť sa dá objednať aj ako služba

Nedostatok IT špecialistov nepominie zo dňa na deň. Ak má vaša firma aktuálne problém zohnať vlastného špecialistu na IT bezpečnosť, alebo ho nedokáže zaplatiť, riešením je využiť služby externých poskytovateľov MSP (Managed Service Provider). Ide o spoločnosti, ktoré majú vlastné tímy špecialistov na jednotlivé oblasti. Tieto služby si môžete prenajať na správu celej IT infraštruktúry vašej organizácie. Postarajú sa o chod a aktualizáciu systémov, vybavia operatívne požiadavky zamestnancov a dohliadnu aj na bezpečnosť.

Výhodou MSP spoločností je, že im stačí menší tím, ktorý si svoj čas rozdelí medzi viacero firiem, ktoré monitorujú naraz. Dokážu tak lepšie pokryť riziká, akoby zvládol jeden interný IT zamestnanec. Vďaka špecializácii sú títo profesionáli navyše pripravení reagovať aj na bezpečnostné incidenty.

Model zabezpečenia pomocou MSP partnerov je často lacnejší ako využívanie interných kapacít. Kľúčový je však výber toho správneho poskytovateľa. Dobrého MSP partnera by ste si mali vybrať na základe jeho expertízy, ktorú musí nielen vedieť doložiť, ale aj garantovať pre prípad, že by mu odišla časť tímu.

Dôležité sú aj zmluvné podmienky, v ktorých musia byť jasne definované oblasti, ktoré partner musí pokryť a za akých podmienok. V zmluve by nemala chýbať klauzula o postupe v prípade incidentu, ktorému sa aj napriek zakúpeným službám nemusíte vyhnúť. Jednou z možností, ako si overiť schopnosti MSP partnera, je simulovaný incident, ktorý dokáže overiť nastavenú komunikáciu aj postupy dodávateľa.

Niektoré firmy, ktoré pracujú s veľmi citlivými údajmi, môžu mať problém s ich sprístupnením tretej strane. Úroveň práv externého poskytovateľa sa preto rieši zmluvne, no je pravda, že v prípade bezpečnostných služieb potrebuje MSP partner pomerne široký prístup. Odporúčame preto zvoliť dôveryhodného poskytovateľa s dobrou reputáciou. Ak však potrebujete obmedziť prístup tretej strany na minimum alebo pracujete s extrémne citlivými dátami, je na mieste zvážiť investíciu do vlastného bezpečnostného pracovníka či tímu.

Veľké firmy sa trápia so správou bezpečnostných riešení

V súčasnosti sú na trhu dostupné mimoriadne sofistikované obranné riešenia, ktoré dokážu zachytiť aj tie najmenšie anomálie a najnovšie hrozby v reálnom čase. Aby dokázali firmy z týchto riešení, ako napríklad XDR, vyťažiť maximum, potrebujú dostatočný počet špecializovaných pracovníkov na ich správu.

Čo to je XDR?

Rozšírená detekcia a reakcia XDR je pokročilé riešenie, ktoré poskytuje firmám plný prehľad o dianí v sieti a dokáže rýchlo reagovať na bezpečnostné incidenty. Ponúka odpovede na to ako, kedy a kde sa začal útok a ako mu zabrániť. V portfóliu spoločnosti ESET je XDR zahrnuté v rámci balíka ESET PROTECT Enterprise.

Riešením pre firmy, ktoré nemajú vlastných profesionálov, ale chcú využívať pokročilý nástroj XDR, sú služby riadenej detekcie a reakcie MDR, ktoré zákazníka kompletne odbremenia od všetkých starostí so správou digitálnej bezpečnosti. ESET tieto služby ponúka v balíku ESET PROTECT MDR.

Experti spoločnosti ESET dostupní na zavolanie sa postarajú o všetko – inštaláciu, konfiguráciu, proaktívne vyhľadávanie hrozieb aj správu špičkového bezpečnostného riešenia XDR optimalizovaného pre infraštruktúru zákazníka.