Představte si, že vaše zdravotní údaje skončí na dark webu a někdo vám s nimi začne vyhrožovat. Mezi největší výzvy kyberbezpečnosti pro rok 2022 patří práce na dálku, útoky na cloudové systémy, phishing i ransomvér. Jak se tomuto riziku efektivně postavit?
Aj o tom se s námi podělil Roman Varga, Chief Security Officer zdravotní pojišťovny Dôvera a host akce SECURITY NIGHT, která se uskuteční 20. října 2022 v Košicích.
Jak je to u vás?
Hackeři stále častěji směřují své zákeřné útoky přímo na konkrétní organizace. K nejnebezpečnějším metodám patří hybridní phishingové útoky, které kombinují e-mailovou a hlasovou komunikaci. Cílem těchto útoků je narušit integritu podnikových sítí prostřednictvím ransomwaru a vydírání.
Představte si, že by vaše zdravotní údaje skončily na tzv. dark webu a někdo by vás jimi vydíral. Nebo že by pro vás byla nedostupná akutní zdravotní péče či rezervační systém. A co účelově pozměněné CT snímky mozku před operací? Zejména ve zdravotnictví jde často o ty nejcitlivější data, jejichž únik může znamenat nenapravitelné škody.
Jak účinně předcházet ztrátě důležitých dat?
Ztrátě dat po úspěšném ransomwarovém útoku dnes dokážeme účinně předcházet pomocí technologií, které garantují nepřepsatelnost záloh. Tyto technologie mohou být softwarové nebo hardwarové – jde o tzv. WORM technologii (Write Once, Read Many). Ta nás ale sama o sobě nechráni před únikem dat, zastavením provozu, vydíráním, reputačním rizikem a mnoha dalšími nepříjemnostmi, které prostě nechcete zažít.
Které další bezpečnostní technologie a opatření jsou dnes klíčové?
- Ochrana koncových stanic pomocí EDR (Endpoint Detection and Response)
- Kontrola šifrovaných příloh v příchozích e-mailech ještě před jejich otevřením
- Kontinuální vzdělávání v oblasti kybernetické bezpečnosti napříč všemi pozicemi ve firmě i u dodavatelů klíčových systémů
- Cvičné tréninky – plánované phishingové kampaně a cílené penetrační testy dávají aktuální obraz o stavu kybernetické bezpečnosti organizace. Díky výsledkům se dá soustředit na zvládnutí konkrétních slabin.
Firmy často pracují s více technologickými partnery a kritické aplikace provozují v hybridních cloudech. Představuje to riziko?
Ano. Je to téma, které bezpečnostním specialistům nedává spát. Jedním z řešení je budování bezpečného vývojového prostředí se zárukou udržitelnosti a bezpečného provozu. Součástí rizikové analýzy před nasazením změn musí být také pohled na vendor lock-in a exit plán pro cloudové služby. Konsolidace dodavatelů a cloudové infrastruktury je cesta, ale přináší i nová rizika, která je třeba znát a ošetřit. A úplně samostatnou kapitolou jsou legislativní požadavky a standardy.
Nejzranitelnějším místem ve firmě zůstávají zaměstnanci
Ti způsobují až 88 % úniků dat (výzkum Stanford University). Proč jsou interní hrozby úspěšnější než ty externí?
Zaměstnanci obvykle umožní spuštění škodlivého kódu na své pracovní stanici. Tím otevřou dveře útočníkům, kteří pak mohou nainstalovat další malware. To vede k průniku do IT infrastruktury, úniku dat, jejich zašifrování a následnému vydírání.
K tomu dochází nejčastěji v prostředích, kde chybí nástroje na ochranu, detekci a reakci, nebo kde nejsou dodržována základní pravidla bezpečného vývoje, správy zranitelností a patch managementu.
Které země či společnosti jsou inspirací v kyberbezpečnosti?
Zůstanu doma. Každodenní inspirací jsou pro mě moji kolegové z Dôvery v IT oddělení – mají nadhled, vysoké odborné znalosti a zkušenosti v oblasti kybernetické bezpečnosti. Inspirují mě také slovenští etičtí hackeři a jejich práce s vysokou přidanou hodnotou: Nethemba, Citadelo, ESET a IstorSec. Patří sem i Národní centrum kybernetické bezpečnosti SK-CERT, které tvoří funkční systém pro řešení kybernetických incidentů a prevenci.
Chcete se vyznat v technologiích a trendech kybernetické bezpečnosti?
Máte v kompetenci bezpečnost dat a datových center? Jste manažer nebo IT expert? Pokud ano, neváhejte a přidejte se k nám na SECURITY NIGHT, 20. října 2022 v Košicích.
Publikováno: 5. září 2022
Přečtěte si také
Získejte technologické novinky z první ruky
Trendy, inspirace z praxe a doporučení přímo do vaší schránky