Solární elektrárny v EU vyráběly poprvé více energie než uhelné
Podle zprávy European Electricity Review elektrárny v Evropské unii v loňském roce poprvé vyrobily více energie než uhelné elektrárny, přičemž...
Na aktuální kyberhrozby a časté chyby při zabezpečení podnikových sítí jsme se zeptali Radka Šichtance, ředitele útvaru bezpečnosti v O2.
Jaký byl loňský rok z hlediska kyberbezpečnosti na českém internetu?
České firmy a instituce potrápily zejména tři typy kyberhrozeb. Především šlo o ransomware, tedy zašifrování dat útočníkem a vymáhání výkupného. Asi si vzpomenete na napadení ŘSD, ale celkem byly ransomwarem postiženy desítky českých firem a organizací. Na intenzitě nabraly DDoS útoky, kdy útočníci posílají na internetové služby nevyžádaný provoz, až způsobí jejich kolaps. V naší síti tento typ útoků meziročně roste více než dvojnásobně, každý týden jich zaznamenáme desítky. O2 se pod masivním a dlouhodobým DDoS útokem ocitlo v říjnu, ale obstáli jsme a služby našich zákazníků udrželi v provozu. A do třetice šlo o zneužití zranitelností v neošetřeném softwaru třetích stran. Konkrétně zranitelností v Java frameworku (Log4j a Spring4Shell) a balíčku Microsoft Office (Follina) umožňujících vzdáleně ovládnout napadené systémy.
Ředitel pro kybernetickou bezpečnost ve společnosti O2 Czech Republic a expert na informační bezpečnost s více než 20letou praxí. Prošel v IT security řadou rolí včetně funkce CISO velkých technologických firem. Je držitelem uznávaných bezpečnostních certifikací jako ISACA a ISC2. V O2 se stará o to, aby se co nejméně českých firem stalo oběťmi podvodníků a hackerů.
Můžeme z toho usuzovat i vývoj v letošním roce?
Určitě ano. Letošek začal velmi zostra DDoS útoky proti státním institucím a průmyslovým podnikům včetně Českého statistického úřadu a datových schránek v průběhu voleb. A další zásadní výzva spojená s kyberbezpečností na firmy ještě čeká. Krátí se jim čas na splnění požadavků evropské regulace NIS2, která upravuje povinnosti při kybernetickém zabezpečení systémů a dat i hlášení incidentů. Dosud se týkala několika set firem a organizací klíčových pro chod státu. Od roku 2024 se okruh rozšíří asi na 6 000 povinných subjektů prakticky ze všech odvětví. Půjde i o menší nemocnice, elektrárny, ICT poskytovatele, dopravce, výrobce chemických látek a další. Hlavním problémem nebude pořízení nových technologií, ale kritický nedostatek lidí schopných je nasadit a spravovat.
Co mohou české podniky udělat pro lepší zabezpečení a splnění legislativních požadavků?
Především se vyvarovat chyb, které vídáme u našich zákazníků při posuzování jejich zabezpečení. Ty začínají u správného vymezení bezpečnostního perimetru. Jeho hranice už není jednoznačně stanovena podnikovou sítí, kterou stačí ochránit. Do firmy se nám připojují i špatně zabezpečená koncová zařízení, využíváme cloud a zranitelná jsou i výrobní zařízení připojená přes internet. Jakkoli výhody mobility, cloudu a automatizace jednoznačně převažují, musíme pamatovat na jejich zabezpečení, a to ideálně ve fázi návrhu architektonického řešení.
Co dále podniky podceňují?
Kromě pravidelného školení všech zaměstnanců v digitální hygieně jsou to paradoxně opatření, která mnoho nestojí. Třeba slabá hesla, nedostatečné řízení privilegovaných účtů, pomalé záplatování softwaru nebo chybějící kontrola mobilních zařízení a aktivit uživatelů v síti. To lze částečně řešit technicky, ale dlouhodobou mezeru vidím v nedostatečném personálním obsazení bezpečnostních týmů. Letos ale budou firmy spíše šetřit. Jak posílit kyberbezpečnost s omezeným rozpočtem? Pokud jde o specialisty na kyberbezpečnost, nezáleží na tom, kolik může firma zaplatit – prostě na trhu nejsou. Možnou cestou je kyberbezpečnost jako služba. Tedy outsourcing u poskytovatele například bezpečnostního operačního centra (SOC), který je technologicky i personálně vybavený pro nepřetržitý monitoring a reakce na kybernetické incidenty. Jako u kterékoli jiné služby ale platí, že je nutné pečlivě volit, komu kyberbezpečnost svého podniku svěříte.