13.10.2015

Hlavní bezpečnostní hrozby v roce 2015

Na internetu se dá najít spousta článků o posledních děsivých hrozbách, které už jsou opravdu TOU hrozbou, která změní všechno. Chytlavé titulky jsou zkrátka lákavou pastičkou na čtenáře, která se novinářům jen tak neomrzí.

My se místo strašení a výhrůžek ale podíváme na to, jak se to s kybernetickou bezpečností v roce 2015 má doopravdy. Ponaučily se firmy ze svých minulých chyb? Jaké rozpočty na svou bezpečnost vynakládají? A je to všechno vůbec k něčemu?

Smartphone 881223

Čerpat budeme z druhé zprávy s názvem Cyberthread Defence Report od skupiny CyberEdge, která se zaměřuje na bezpečnost IT v severní Americe a v Evropě.

Jak se v současnosti staví firmy k bezpečnosti?

Firmy si samozřejmě uvědomují kybernetické hrozby. V dnešní době jsou právě data a informace uschovávané v elektronické podobě tím nejdůležitějším majetkem každé společnosti, a jejich ohrožení může společnost snadno dovést ke krachu i k soudu. Spousta společností uchovává údaje nejen o sobě a svém podnikání, ale i o uživatelích – bydliště, osobní údaje, čísla kreditních karet... Zkrátka a dobře nechat tato data v nebezpečí odcizení je naprosto nepřístupné.

Naprostá většina společností si to uvědomuje, a jejich rozpočet je tomu přizpůsoben. Pouze 9 % společností v průzkumu odpovědělo, že do zabezpečení investuje méně než 2 % rozpočtu na IT. Naopak přes 70 % respondentů odpovědělo, že do bezpečnosti investují minimálně 5 % rozpočtu. Přes 21 % firem do IT překvapivě investuje dokonce více než 15 % celkového rozpočtu na IT.

Pro lidi, kteří se v oboru pohybovali před nějakými deseti až patnácti lety, se mohou na první pohled zdát tato čísla neuvěřitelná – téměř nikdo v té době do bezpečnosti neinvestoval více  než 2 % IT rozpočtu.

S investicemi do bezpečnosti jsme na tom výrazně lépe v Evropě, kde do bezpečnosti investuje více než 10 % rozpočtu 52 % firem. V Severní Americe je to pouze 35 % společností.

A není to všechno úplně zbytečné?

Není. Během posledních 12 měsíců bylo terčem úspěšného kyberútoku 71 % dotazovaných organizací, což je oproti minulému roku nárůst o 9 %. Z toho 7 % organizací přiznává, že byla úspěšně napadená i více než desetkrát.

Zde je rozdíl mezi Amerikou a Evropou také významný – 35 % amerických společností v dotazníku uvedlo, že v posledních letech nezažily žádný úspěšný kybernetický útok, v Evropě toto řeklo pouhých 20 % společností.

Co se budoucnosti týká, dotazované organizace jsou velmi optimistické. Pouze 52 % dotazovaných společností si myslí, že je pravděpodobné, že by v následujícím roce mohly být cílem úspěšného útoku.

V tom, že dovedou zabezpečit své servery, ať už fyzické nebo virtuální, jsou společnosti celkem sebevědomé. Za největší hrozbu považují mobilní zařízení.

Trochu zarážející je, že téměř třetina respondentů nemá dostatečné nástroje na zjištění hrozeb v provozu zabezpečeném SSL certifikátem a nechávají tak útočníkům otevřené dveře.

Čeho se firmy nejvíc bojí?

Zákeřné útoky hackerů nejsou jediným problémem, kterému firmy čelí. Bezpečnost informací může snadno ohrozit i trochu nemotorný zaměstnanec, nebo špatně nastavené procesy. Dnes v době kdy je SaaS využívaný na plno, toto hrozí víc než kdy dřív.

Co se vnějších útoků týče, nejděsivější je pro dotazované organizace phishing a spear phising, který je vlastně takovým moderním sociálním inženýrstvím. Hacker si vyhlédne svou oběť, něco málo si o ní zjistí a pošle jí e-mail, často například z pozice nadřízeného, kterým se z oběti snaží vylákat například přístupové údaje nebo peníze. S phishingem se v jeho nejpodřadnější formě setkal snad každý, kdo používá e-mail – a často o něm čteme v novinách. Avšak ne vždy se jedná o zkomolené nesmyslné e-maily, na něž se nachytají jen lidé, kteří o bezpečnosti nic neví. Phising, a obzvlášť spear phising, který se zaměřuje na jednu konkrétní osobu, může být velmi propracovaný.

Studie se organizací dotazovala na to, zda si myslí, že investuje dostatek financí do vzdělávání zaměstnanců, aby se phisingu dokázali vyhnout – a 24 % respondentů odpovědělo záporně. O dostatečnosti vzdělání v této oblasti bylo přesvědčeno pouze 17 % dotázaných.

Dále se organizace ve větší míře bojí malwaru a zero-day útoků. DDoS útoky je naopak nechávají chladnými.

Mobilní zařízení a SaaS

Šest z deseti dotazovaných organizací odpovědělo, že za posledních 12 měsíců pozorovali výrazný nárůst hrozeb ohrožujících společnost skrz mobilní zařízení. Tento trend společně s vlažným přístupem k mobilní bezpečnosti podává celkem slušný obrázek toho, proč jsou mobilní zařízení považovány za nejslabší článek bezpečnosti ve většině firem.

Nárůst mobilních hrozeb pozorovaly o něco více Evropské společnosti (64 % v Americe to bylo 57 %). Pouze 6 % dotazovaných organizací odpovědělo, že nárůst hrozby přes mobilní zařízení v posledních letech nepozoruje.

Největší hrůzou organizací ve spojitosti s cloudem a sdílením informací je neschopnost jejich zaměstnanců. Náhodné odtajnění informací tím, že zaměstnanec nasdílí co nemá s kým nemá, je pro bezpečnostní experty pravá noční můra. Ovšem ve výzkumu zase nebyl až takový rozdíl mezi prvním místem (náhodné odhalení informací) a posledním (externí narušení bezpečnosti dat kyberútokem) – jednalo se o pouhých 0,17 bodů.

Závěrem

Ze zprávy vyplývá, že organizace mají co se bezpečnosti týká stále co dohánět. Profesionálové na IT bezpečnost však zůstávají relativně optimističtí a nemyslí si, že se jejich společnost stane obětí úspěšného kyberútoku.

Většina společností plánuje další investice do bezpečnosti a pomalu si začínají osvojovat i klíčové nástroje nápomocné v boji proti kybernetickým hrozbám a výzkumníci stále pracují na nových a nových způsobech zabezpečení.

Více na www.netiq.com

Kam dál?