středa 15. ledna 2025
ikona hodiny 14. 1. 2024 06:18

Nejčastější pochybení při řízení kybernetické bezpečnosti

V posledních měsících jsme realizovali několik rozdílových analýz, ve kterých proběhlo ověření, jaký je stav řešení kybernetické bezpečnosti u subjektů, které budou podléhat novému zákonu kybernetické bezpečnosti reflektujícímu směrnici NIS2.

Libor Šrám autor

odborník na kyberbezpečnost, BDO

Foto: Shutterstock.com
Nejčastější pochybení při řízení kybernetické bezpečnosti Foto: Shutterstock.com

Z provedených analýz a na základě zkušeností z provedených auditů kybernetické bezpečnosti, které proběhly u subjektů podléhajících regulaci podle stávajícího zákona, vyplývá několik zajímavých, ale nepřekvapujících zjištění. Přestože je stále více firem obeznámeno s hrozbami spojenými s kybernetickým prostředím, existuje řada běžných pochybení, která zvyšují riziko kybernetických útoků a snižují odolnost celého systému řízení kybernetické bezpečnosti. V tomto článku se proto zaměřím na nejčastější a nejvýznamnější pochybení, se kterými se u zákazníků setkávám. A přidám i doporučení.

NIS2 (Network and Information Security 2)

Celoevropská směrnice o kybernetické bezpečnosti, tedy bezpečnosti informačních systémů, počítačových sítí, aplikací, softwaru a informací. Jejím cílem je zvýšení odolnosti organizací proti kybernetickým útokům. Stanovuje povinná opatření ke zvýšení celkové úrovně kybernetické bezpečnosti v organizacích působících v zemích EU. Tyto organizace (subjekty) budou mít za povinnost dodržovat řadu povinností o bezpečnosti svých procesů, vzdělávání pracovníků, bezpečnosti svých systémů, sítí, IT infrastruktury a informací.

Nesprávná identifikace aktiv

Identifikace a správa aktiv je nejzásadnějším prvkem pro řešení kybernetické bezpečnosti. Chybná identifikace aktiv vede k nedostatečnému zabezpečení některých klíčových prvků celého systému řízení kybernetické bezpečnosti. Nepřesné nebo nedostatečné procesy identifikace vedou k chybám v zabezpečení aktiv. Na nesprávnou nebo neúplnou identifikaci aktiv navazuje nesprávné vyhodnocení rizik, nesprávné přiřazení opatření k jejich snižování a přijetí nápravných opatření. Chyby se řetězí a ochrana proti kybernetickým hrozbám toho nejcennějšího pro organizaci je tak neúčinná.

Doporučená opatření: Je důležité, aby organizace důsledně identifikovaly, systematicky vyhodnocovaly a aktualizovaly své postupy a procesy v oblasti správy aktiv a následně prováděly pravidelné revize a aktualizace analýzy rizik, s důrazem na aktuální hrozby a zranitelnosti.

Nedostatečná ochrana přístupových údajů a oprávnění

Jedním z nejčastějších pochybení, se kterými se setkáváme, je nedostatečná ochrana přístupových údajů. Mnoho firem stále využívá slabá hesla nebo nedostatečné metody autentizace. Důsledkem může být neoprávněný přístup k citlivým informacím. Stejně častým problémem bývá neefektivní správa přístupových práv a oprávnění, které často neodpovídají aktuálním rolím a odpovědnostem.

Doporučená opatření: Zavedení silných hesel a dvoufaktorové autentizace a pravidelná školení zaměstnanců o kybernetických hrozbách. Pravidelná revize a aktualizace oprávnění, včetně okamžité deaktivace účtů zaměstnanců po odchodu z organizace.

Nedostatečné monitorování a detekce incidentů

Mnoho organizací nedisponuje dostatečným systémem monitorování a detekce kybernetických incidentů. Často jsou útoky detekovány až ve fázi, kdy je příliš pozdě.

Doporučená opatření: Investovat do pokročilých nástrojů monitorování a ve spolupráci s bezpečnostními experty provádět pravidelné simulace kybernetických útoků.

Nedostatečná osvěta a školení zaměstnanců

Zaměstnanci jsou stále častěji v první linii kybernetických útoků. Nedostatečná znalost bezpečnostních postupů a nedbalost mohou zvýšit riziko úspěšného phishingového útoku nebo jiné formy sociálního inženýrství.

Doporučená opatření: Pravidelná školení zaměstnanců v oblasti kybernetické bezpečnosti včetně osvěty a testování odolnosti vůči sociálnímu inženýrství jsou tou nejlepší a zároveň nejlevnější obranou.

Nejnovější články

Aktuality

Dokonalá bouře na trhu s americkými vládními dluhopisy

Rok 2025 začal pro americké vládní dluhopisy pěkně...
Cestovní ruch

30 let inovací a podpory cestovního ruchu

Asociace turistických informačních center České republiky (A.T.I.C. ČR)...
Cestovní ruch

Nejvyšší slevy First minute platí do konce ledna

Slevová pobídka First minute je pro klienty cestovních...

Nejnovější Expertní pohled

Expertní pohled

Androxgh0st s Mozi útočí i na IoT a kritickou infrastrukturu

Výzkumný tým společnosti Check Point® Software Technologies Ltd....
Expertní pohled

3 nejlepší obranné taktiky proti kyberútokům

Kybernetické hrozby se vyvíjejí již téměř čtyři desítky...
Expertní pohled

Devastující kyberútoky budou pokračovat

Slovenský Úrad geodézie, kartografie a katastra (ÚGKK) se...