čtvrtek 16. ledna 2025
ikona hodiny 14. 1. 2024 06:18

Nejčastější pochybení při řízení kybernetické bezpečnosti

V posledních měsících jsme realizovali několik rozdílových analýz, ve kterých proběhlo ověření, jaký je stav řešení kybernetické bezpečnosti u subjektů, které budou podléhat novému zákonu kybernetické bezpečnosti reflektujícímu směrnici NIS2.

Libor Šrám autor

odborník na kyberbezpečnost, BDO

Foto: Shutterstock.com
Nejčastější pochybení při řízení kybernetické bezpečnosti Foto: Shutterstock.com

Z provedených analýz a na základě zkušeností z provedených auditů kybernetické bezpečnosti, které proběhly u subjektů podléhajících regulaci podle stávajícího zákona, vyplývá několik zajímavých, ale nepřekvapujících zjištění. Přestože je stále více firem obeznámeno s hrozbami spojenými s kybernetickým prostředím, existuje řada běžných pochybení, která zvyšují riziko kybernetických útoků a snižují odolnost celého systému řízení kybernetické bezpečnosti. V tomto článku se proto zaměřím na nejčastější a nejvýznamnější pochybení, se kterými se u zákazníků setkávám. A přidám i doporučení.

NIS2 (Network and Information Security 2)

Celoevropská směrnice o kybernetické bezpečnosti, tedy bezpečnosti informačních systémů, počítačových sítí, aplikací, softwaru a informací. Jejím cílem je zvýšení odolnosti organizací proti kybernetickým útokům. Stanovuje povinná opatření ke zvýšení celkové úrovně kybernetické bezpečnosti v organizacích působících v zemích EU. Tyto organizace (subjekty) budou mít za povinnost dodržovat řadu povinností o bezpečnosti svých procesů, vzdělávání pracovníků, bezpečnosti svých systémů, sítí, IT infrastruktury a informací.

Nesprávná identifikace aktiv

Identifikace a správa aktiv je nejzásadnějším prvkem pro řešení kybernetické bezpečnosti. Chybná identifikace aktiv vede k nedostatečnému zabezpečení některých klíčových prvků celého systému řízení kybernetické bezpečnosti. Nepřesné nebo nedostatečné procesy identifikace vedou k chybám v zabezpečení aktiv. Na nesprávnou nebo neúplnou identifikaci aktiv navazuje nesprávné vyhodnocení rizik, nesprávné přiřazení opatření k jejich snižování a přijetí nápravných opatření. Chyby se řetězí a ochrana proti kybernetickým hrozbám toho nejcennějšího pro organizaci je tak neúčinná.

Doporučená opatření: Je důležité, aby organizace důsledně identifikovaly, systematicky vyhodnocovaly a aktualizovaly své postupy a procesy v oblasti správy aktiv a následně prováděly pravidelné revize a aktualizace analýzy rizik, s důrazem na aktuální hrozby a zranitelnosti.

Nedostatečná ochrana přístupových údajů a oprávnění

Jedním z nejčastějších pochybení, se kterými se setkáváme, je nedostatečná ochrana přístupových údajů. Mnoho firem stále využívá slabá hesla nebo nedostatečné metody autentizace. Důsledkem může být neoprávněný přístup k citlivým informacím. Stejně častým problémem bývá neefektivní správa přístupových práv a oprávnění, které často neodpovídají aktuálním rolím a odpovědnostem.

Doporučená opatření: Zavedení silných hesel a dvoufaktorové autentizace a pravidelná školení zaměstnanců o kybernetických hrozbách. Pravidelná revize a aktualizace oprávnění, včetně okamžité deaktivace účtů zaměstnanců po odchodu z organizace.

Nedostatečné monitorování a detekce incidentů

Mnoho organizací nedisponuje dostatečným systémem monitorování a detekce kybernetických incidentů. Často jsou útoky detekovány až ve fázi, kdy je příliš pozdě.

Doporučená opatření: Investovat do pokročilých nástrojů monitorování a ve spolupráci s bezpečnostními experty provádět pravidelné simulace kybernetických útoků.

Nedostatečná osvěta a školení zaměstnanců

Zaměstnanci jsou stále častěji v první linii kybernetických útoků. Nedostatečná znalost bezpečnostních postupů a nedbalost mohou zvýšit riziko úspěšného phishingového útoku nebo jiné formy sociálního inženýrství.

Doporučená opatření: Pravidelná školení zaměstnanců v oblasti kybernetické bezpečnosti včetně osvěty a testování odolnosti vůči sociálnímu inženýrství jsou tou nejlepší a zároveň nejlevnější obranou.

Nejnovější články

Názory

Německo jako vlak na slepé koleji

Trápení německé ekonomiky nebere konce, což dnes potvrdil...
Aktuality

Jak se bude vyvíjet automobilový průmysl v roce 2025?

Automobilový průmysl představuje klíčovou součást české i světové...
Cestovní ruch

Nepropásněte možnost být nejlepší!

Tradiční soutěž o nejlepší projekty cestovního ruchu se...

Nejnovější Expertní pohled

Expertní pohled

Androxgh0st s Mozi útočí i na IoT a kritickou infrastrukturu

Výzkumný tým společnosti Check Point® Software Technologies Ltd....
Expertní pohled

3 nejlepší obranné taktiky proti kyberútokům

Kybernetické hrozby se vyvíjejí již téměř čtyři desítky...
Expertní pohled

Devastující kyberútoky budou pokračovat

Slovenský Úrad geodézie, kartografie a katastra (ÚGKK) se...