ikona hodiny 23. 2. 2023 08:01

Budoucností je kyberbezpečnost formou služby

Na aktuální kyberhrozby a časté chyby při zabezpečení podnikových sítí jsme se zeptali Radka Šichtance, ředitele útvaru bezpečnosti v O2.

Foto: Shutterstock.com
Trendem je kybernetická bezpečnost jako služba Foto: Shutterstock.com

Jaký byl loňský rok z hlediska kyberbezpečnosti na českém internetu?

České firmy a instituce potrápily zejména tři typy kyberhrozeb. Především šlo o ransomware, tedy zašifrování dat útočníkem a vymáhání výkupného. Asi si vzpomenete na napadení ŘSD, ale celkem byly ransomwarem postiženy desítky českých firem a organizací. Na intenzitě nabraly DDoS útoky, kdy útočníci posílají na internetové služby nevyžádaný provoz, až způsobí jejich kolaps. V naší síti tento typ útoků meziročně roste více než dvojnásobně, každý týden jich zaznamenáme desítky. O2 se pod masivním a dlouhodobým DDoS útokem ocitlo v říjnu, ale obstáli jsme a služby našich zákazníků udrželi v provozu. A do třetice šlo o zneužití zranitelností v neošetřeném softwaru třetích stran. Konkrétně zranitelností v Java frameworku (Log4j a Spring4Shell) a balíčku Microsoft Office (Follina) umožňujících vzdáleně ovládnout napadené systémy.

Foto: O2

Radek Šichtanc

Ředitel pro kybernetickou bezpečnost ve společnosti O2 Czech Republic a expert na informační bezpečnost s více než 20letou praxí. Prošel v IT security řadou rolí včetně funkce CISO velkých technologických firem. Je držitelem uznávaných bezpečnostních certifikací jako ISACA a ISC2. V O2 se stará o to, aby se co nejméně českých firem stalo oběťmi podvodníků a hackerů.

Můžeme z toho usuzovat i vývoj v letošním roce?

Určitě ano. Letošek začal velmi zostra DDoS útoky proti státním institucím a průmyslovým podnikům včetně Českého statistického úřadu a datových schránek v průběhu voleb. A další zásadní výzva spojená s kyberbezpečností na firmy ještě čeká. Krátí se jim čas na splnění požadavků evropské regulace NIS2, která upravuje povinnosti při kybernetickém zabezpečení systémů a dat i hlášení incidentů. Dosud se týkala několika set firem a organizací klíčových pro chod státu. Od roku 2024 se okruh rozšíří asi na 6 000 povinných subjektů prakticky ze všech odvětví. Půjde i o menší nemocnice, elektrárny, ICT poskytovatele, dopravce, výrobce chemických látek a další. Hlavním problémem nebude pořízení nových technologií, ale kritický nedostatek lidí schopných je nasadit a spravovat.

Napadají vás další otázky týkající se zabezpečení?

Co mohou české podniky udělat pro lepší zabezpečení a splnění legislativních požadavků?

Především se vyvarovat chyb, které vídáme u našich zákazníků při posuzování jejich zabezpečení. Ty začínají u správného vymezení bezpečnostního perimetru. Jeho hranice už není jednoznačně stanovena podnikovou sítí, kterou stačí ochránit. Do firmy se nám připojují i špatně zabezpečená koncová zařízení, využíváme cloud a zranitelná jsou i výrobní zařízení připojená přes internet. Jakkoli výhody mobility, cloudu a automatizace jednoznačně převažují, musíme pamatovat na jejich zabezpečení, a to ideálně ve fázi návrhu architektonického řešení.

Co dále podniky podceňují?

Kromě pravidelného školení všech zaměstnanců v digitální hygieně jsou to paradoxně opatření, která mnoho nestojí. Třeba slabá hesla, nedostatečné řízení privilegovaných účtů, pomalé záplatování softwaru nebo chybějící kontrola mobilních zařízení a aktivit uživatelů v síti. To lze částečně řešit technicky, ale dlouhodobou mezeru vidím v nedostatečném personálním obsazení bezpečnostních týmů. Letos ale budou firmy spíše šetřit. Jak posílit kyberbezpečnost s omezeným rozpočtem? Pokud jde o specialisty na kyberbezpečnost, nezáleží na tom, kolik může firma zaplatit – prostě na trhu nejsou. Možnou cestou je kyberbezpečnost jako služba. Tedy outsourcing u poskytovatele například bezpečnostního operačního centra (SOC), který je technologicky i personálně vybavený pro nepřetržitý monitoring a reakce na kybernetické incidenty. Jako u kterékoli jiné služby ale platí, že je nutné pečlivě volit, komu kyberbezpečnost svého podniku svěříte.

Články autora Radek Kubeš

Nejnovější články

Cestovní ruch

Sektor služeb potvrzuje stabilizaci, růst však zůstává křehký

Výsledky sektoru služeb podporují relativně příznivý výhled pro...
Aktuality

Absolventi technických oborů mají na trhu práce velkou výhodu

Studenti maturitních ročníků právě v těchto dnech podávají...
Aktuality

Kam se letos posune vybavení v konferenčních místnostech?

Umělá inteligence vstupuje stále více do pracovních prostor...

Nejnovější Expertní pohled

Aktuality

Absolventi technických oborů mají na trhu práce velkou výhodu

Studenti maturitních ročníků právě v těchto dnech podávají...
Aktuality

Česku chybí strategie udržitelného stavebnictví

Aby výrazně větší přidaná hodnota z českých lesů vznikala...
Expertní pohled

Solární elektrárny v EU vyráběly poprvé více energie než uhelné

Podle zprávy European Electricity Review elektrárny v Evropské...