Kybernetické útoky hrozia aj firmám zo Slovenska a Českej republiky. V niektorých krajinách EÚ už prekonali klasickú kriminalitu.
Pokiaľ vaša spoločnosť ponúka akékoľvek služby alebo produkty na internete, je potenciálnym cieľom zlých hackerov. Počítačová kriminalita, inak známa aj ako kyberkriminalita, zahŕňa všetky trestné činy zamerané na počítačové systémy alebo páchané pomocou počítačov. A tento druh útokov je reálnou hrozbou aj pre firmy zo Slovenska a Českej republiky.
Podnikanie na internete so sebou prináša nové typy hrozieb. Cieľom kybernetických hackerov sa nemusia stať len citlivé dáta z vašej databázy, ktorých predajom na internete by zarobili, ale aj funkčnosť vášho systému, či povesť vašej spoločnosti. V zásade platí, že zlí hackeri využijú útok na váš online systém vo váš neprospech. O IT bezpečnosť by ste sa tak mali zaujímať naozaj aktívne.
V roku 2015 bolo na Slovensku nahlásených 1,5 milióna hlásení o možnom výskyte škodlivej aktivity. (CSIRT)
Častým terčom kybernetických zločinov sú aj spoločnosti pôsobiace na Slovensku a v Českej republike. Našich západných susedov dokonca zlí hackeri donedávna využívali na testovanie malvéru a kybernetických útokov, čo sa podpísalo aj na umiestnení Českej republiky v rebríčku TOP 10 napadnutých štátov v roku 2013.
[Najčastejšie typy útokov na slovenské spoločnosti v roku 2015 – graf, zdroj – CSIRT]
Myslíte si, že vás sa to netýka?
Ktorýkoľvek web je terčom útoku v priemere každých 120 dní. Už dávno totiž nie je pravdou, že hackeri sa zameriavajú len na veľké a bohaté firmy. Bezpečnostné zraniteľnosti vyhľadávajú automatické skripty a roboty, ktoré každý deň skenujú aj váš web a niekedy predstavujú viac než polovicu všetkej webovej prevádzky. Hackeri tak majú priamy dosah na každý web od najmenšieho e-shopu až po veľké korporácie.
Každá piata malá alebo stredne veľká firma sa stane terčom kybernetického útoku. V kombinácii so skutočnosťou, že 86 % webov obsahuje najmenej jednu kritickú bezpečnostnú zraniteľnosť je teda len otázkou času, kedy bude napadnutý aj váš web. Preto sa oplatí byť pripravený a svoje zraniteľnosti odstrániť skôr, než ich niekto zneužije. Odstránenie následkov útoku môže totiž stáť viac než 80 000 EUR.
Podľa nášho prieskumu má až 16 % slovenských a českých firiem priamu skúsenosť s hacknutím a až 28 % skúsenosť nepriamu. Vo všeobecnosti platí, že mnohí konatelia v spoločnostiach si neuvedomujú možné riziká, a preto nevenujú IT bezpečnosti potrebnú pozornosť. Na Slovensku má iba 41% podnikov definovanú politiku IT bezpečnosti, zatiaľ čo v Českej republike je toto číslo ešte menšie, len 33 percent. Priemerné škody spôsobené kybernetickými útokmi pritom v Európskej únii predstavovali v roku 2014 až 0,41 % HDP, čo je v prepočte približne 17,6 bilióna EUR!
Europol vo výročnej správe z roku 2016 zdôrazňuje, že počet kybernetických útokov v niektorých členských krajinách EÚ prekonal aj počet klasických trestných činov. Hackeri minulý rok vyvinuli nové typy útokov súvisiace s bankovými službami, no rozvojom prešiel aj malvér určený pre mobilné zariadenia. Za väčšinu kybernetických útokov však podľa slov Europolu môžu slabé štandardy digitálnej bezpečnosti a praktiky, ktoré spoločnosti využívajú.
8 trendov v kyberkriminalite za rok 2016 v Európe podľa Internet Organised Crime Threat Assessment (IOCTA):
1. Kybernetický útok ako služba – čierni hackeri využívajú na napadnutie spoločností distribuované skupinové útoky, ktoré častokrát využívajú špeciálne nástroje a online služby.
2. Ransomware – najčastejším typom vírusu, ktorý využívali zlí hackeri, bol ransomware – škodlivý kód, ktorý zabráni majiteľovi prístup do jeho zariadenia. Okrem toho boli často využívajú aj trójske kone, najmä v spojení s útokmi na bankové kontá a systémy.
3. Predaj ukradnutých dát – najčastejšie zneužitým produktom hackerského útoku v roku 2016 sa stali citlivé dáta. Tie útočníci využívali na získanie financií priamym predajom, prípadne na komplexnejšie podvody a ich zneužitie, ktoré viedlo k väčšiemu finančnému zisku – napríklad šifrovanie dát a žiadanie výkupného, či priame vydieranie.
4. Platobné podvody – Organizované zločinecké skupiny v roku 2016 začali objavovať spôsoby ako manipulovať alebo kompromitovať platby využívajúce bezkontaktné platobné karty využívajúce NFC technológiu.
5. Detská pornografia – šifrované pripojenia typu bod-bod v roku 2016 pomohli k rozvoju šírenia detskej pornografie, často v živom prenose.
6. Zneužívanie darknet-u – Darknet (sieť dostupná s pomocou špecifického softvéru, konfigurácie alebo autorizácie) ponúka zločincom výber a popis kyberkriminálnych nástrojov, ktoré sa dajú zneužiť v prospech akejkoľvek spoločnosti.
7. Sociálne inžinierstvo – minulý rok bol zaznamenaný výrazný nárast využívania phishingu. Podvody zamerané na autority v privátnom sektore sa stali kľúčovými hrozbami posledného obdobia.
8. Virtuálne meny – na platbu za kyberzločiny sa využívala najčastejšie virtuálna mena bitcoin. Zločinci v nej žiadali aj vyplatenie výkupného za ukradnuté alebo zašifrované dáta.
Firmy budú za nedostatočnú bezpečnosť platiť viac
Aktuálne hrozí prevádzkovateľom online systémov v prípade nesplnenia alebo porušenia povinností týkajúcich sa ochrany citlivých dát podľa Zákona č. 122/2013 Z. z. o ochrane osobných údajov a vyhlášky Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 Z. z. pokuta až do výšky 200 000 €. Slovensko a Česká republika však budú musieť, ako členské štáty Európskej únie, od mája 2018 dodržiavať nové pravidlá a zákony týkajúce sa IT bezpečnosti.
Finančná zodpovednosť za zabezpečenie systému a ochranu osobných dát, s ktorými spoločnosť pracuje, bude po novom zastrešovať európsky zákon, ktorý definuje aj pokuty za únik citlivých informácií. Tie siahajú až do výšky 20 miliónov EUR, prípadne do 4 % z celkového svetového obratu spoločnosti, podľa toho, ktorá suma bude vyššia.
Najdôležitejšia je prevencia
Čo by ste mali robiť, aby ste sa vyhli finančným postihom? Najlepšou ochranou pred kybernetickým útokom je prevencia. Tá sa dá realizovať viacerými spôsobmi – použitím silného firewallu, pravidelnou aktualizáciou softvéru, nastavením správnej bezpečnostnej politiky, ale aj penetračnými testami a bug bounty programami, ktoré odhalia bezpečnostné nedostatky vášho systému.
Dôverujte etickým hackerom a zapojte sa do bug bounty programu aj vy. Prečítajte si viac o bug bounty programoch a dôvodoch, prečo by ste sa do nich mali zapojiť.
