25.11.2015

Vývoj a cena bezpečnostních hrozeb - IoT

Útoky jsou čím dál tím inteligentnější a cena za narušení bezpečnsti vyšší. Pojďme se podívat na pár čísel a na to, co nás čeká.

Cyberthreat

V kybernetickém prostoru dochází stále k větší škodám. Zabezpečení se sice stále zlepšuje, ale stejně tak se zlepšují i útočníci a jejich techniky. Spousta z bezpečnostních hrozeb je vlastně stále dokola to samé (phishing, malware, DDoS, ransomware, trojské koně, krádeže identity...), ale techniky útočníků jsou den ode dne pokročilejší. Například phishing už dávno není o špatně přeložených e-mailech s nesmyslnou zprávou, která po vás chce všechny vaše údaje. Naopak se jedná o pokročilý sociální inženýring, vydávání se například za nadřízeného, nebo blízkého kamaráda a chytnout se na udičku šikovnému hackerovi už dnes téměř přestává být ostuda.

Už v předchozích článcích jsme mluvili o tom, jak je zabezpečení firemních dat zásadní, a co všechno se může stát, pokud jej podceníme. Pojďme se teď podívat na konkrétní čísla – konkrétně na to, kolik takové narušení firemní bezpečnosti může stát.

Podle studie 2015 Cost of Data Breach Study: Global Analysis, která byla vypracovaná společností Ponemon Institute LLC ve spolupráci s IBM, se v roce 2015 cena za narušení bezpečnosti zvýšila víc než kdy dřív. Mohou za to převážně tři faktory.

  • Nárůst kybernetických útoků, společně se zvýšením jejich účinnosti a nákladů na sanaci jejich následků.

  • Následkem narušení bezpečnosti firmy přichází o čím dál tím více zakázek a obchodních příležitostí. Lidé si dávají větší pozor na to, s kým spolupracují. Celková cena nákladů za ztracené obchody se v roce 2015 zvýšila z 1,33 milionů dolarů na 1,57 milionů dolarů. Tato cena mimo jiné zahrnuje ztracené zákazníky a ztrátu reputace.

  • Objevit  narušení bezpečnosti a vyřešit ho je dnes dražší než kdy dříve. Oproti minulému roku se cena za vyšetřování zvedla ze  0,76 milionu dolarů na 0,99 milionu dolarů.

Cena za narušení bezpečnosti je odlišná země od země i oboru od oboru. Nejdražší mají návštěvu hackerů společnosti v USA ( průměrně 6,5 milionů dolarů) a v Německu (4,9 milionů dolarů). Naopak nejlevněji z toho dokážou vybruslit Brazílie (1,8 milionu) s Indií (1,5 milionu) (což je samozřejmě dáno především odlišnou ekonomikou konkrétních zemí).

Stejně tak se cena liší podle oboru, kterého se ztráta dat týká. Průměrná cena ukradeného záznamu je 154 dolarů. Nejhorší je to ve zdravotnictví, kde se může cena jednoho ztraceného záznamu vyšplhat až na 363 dolarů. Ve vzdělání až 300 dolarů. Nejnižší cenový dopad má ztráta dat na přepravní společnosti (121 dolarů) a veřejný sektor (68 dolarů).

V maloobchodním sektoru se od minulého roku zvýšila cena nejprudčeji ze 105 dolarů na 165.

Cena takové ztráty se také liší podle toho, zda jde o zákeřný útok, lidskou chybu nebo selhání systému. Průměrná cena vyřešení problému s ukradeným záznamem je 170 dolarů. Oproti tomu chyba systému stojí 142 dolarů za záznam a lidská chyba 134 dolarů.

Jeden z faktorů, které tuto cenu ovlivňují nejvíce, je čas, který trvá ji odhalit. Odhalení zákeřného útoku může zabrat až 256 dní, oproti tomu lidskou nebo systémovou chybu se obvykle podaří odhalit do 185 dnů.

Hlavním problémem následujících let bude rozvoj IoT (Internet of Things) a dalších nových technologií ve stavu, kdy ještě nemáme přesně vymyšlené procesy pro zabezpečení předchozí vlny inovací (mobilní).

IoT se hodně spoléhá na cloudová úložiště a v často postrádá „security by design”. Naopak  tato zařízení ve zvýšené míře používají M2M (machine-to-machine) komunikaci, což na jednu stranu odstraňuje ohrožení ze strany chybovosti lidského faktoru, na zároveň s tím přicházíme o uživatele jako jakýsi "přirozený" Intrusion Detection System.

Vývoj bezpečnostních hrozeb bude v dalších rocích postupovat čím dál tím rychleji, přesto spousta firem jako by stále usínala na vavřínech a často bezpečnost. podceňují. Odborníci na IT security se často setkávají s nepochopením jejich profese a je na ně občas pohlíženo jako na cosi postradatelného, ač je tomu přesně naopak.

Napsáno ve spolupráci s Tomášem Flídrem.

Kam dál?