Úroveň internetovej kriminality každým rokom stúpa. S možnosťami, ktoré sa v online svete otvárajú spoločnostiam, sa zvyšuje aj riziko ich napadnutia a úniku dôležitých dát.
Zlí hackeri majú prístup k stále modernejším nástrojom a väčšej výpočtovej sile než pred niekoľkými rokmi. Ich útoky sú tak komplexnejšie, častejšie, automatizované a väčšinou aj sofistikovanejšie. Toto riziko sa pritom netýka len zahraničia, ale k reálnym škodám v dôsledku kyberútokov dochádza každodenne aj v česko-slovenskom online priestore. Každá zodpovedná firma by sa tak mala začať vážne venovať svojej bezpečnosti v online svete.
Okrem štandardných, ale zároveň aj drahších spôsobov ako sú penetračné testy, je ideálnym riešením problému kyber-bezpečnosti využitie komunity etických hackerov, cez tzv. bug bounty programy. Jedným z nich je aj Hacktrophy – prvý bug bounty program na Slovensku a v Českej republike.
Na čo sa zamerať?
Podľa informácií, ktoré priniesol Fortune, budú banky, predajcovia, vládne agentúry a nemocnice na celom svete v roku 2019 investovať do IT bezpečnosti v priemere až 108 miliárd dolárov ročne. Aká je situácia v Čechách a na Slovensku? Podľa nášho minuloročného prieskumu až zarážajúcich 48 % lokálnych spoločností si myslí, že nemá zmysel testovať bezpečnosť ich online aplikácií či služieb. Tieto firmy pritom asi nezaregistrovali, že už v r. 2014 len v Českej republike škody spôsobené online zločinom dosiahli sumu 1,2 miliardy CZK (44 miliónov €).
Dokument CISO Investment Blueprint for 2017 opisuje názory a fakty zozbierané od 100 popredných IT špecialistov na bezpečnosť z firiem pôsobiacich v 17 rôznych priemyselných odvetviach. Okrem iného v ňom nájdeme aj produkty a funkcie, za ktorých bezpečnosť sú firmy ochotné zaplatiť najviac.
Na prvom mieste sú aplikácie umiestnené v cloude. Často ide napríklad o privátne riešenia spoločností, ktoré sú dostupné len zamestnancom spoločnosti, prípadne obchodným partnerom. Môže však ísť aj o decentralizované funkcie CRM systémov, kontaktné centrá, či iné aplikácie firiem. Podľa štúdie inštitútu SANS sa až 76 % spoločností zameriava na bezpečnosť svojich online aplikácií. Tento trend potvrdzuje aj to, že až 57 % firiem investuje v druhom kroku najviac financií do bezpečnosti aplikácií, ktoré sú dostupné verejne na internete ich zákazníkom alebo iným používateľom.
Služby, ktoré si firmy najčastejšie nechávajú testovať etickými hackermi
39 % spoločností investuje najčastejšie do bezpečnosti mobilných aplikácií. Dôvodom je najmä stále nedostatočné zabezpečenie zo strany poskytovateľov mobilných platforiem. Hoci napríklad operačný systém Android dnes využívajú viac ako 2 miliardy ľudí, ešte stále neponúka celistvú ochranu pred vírusmi či napadnutím kybernetickými zločincami.
Segmentom, do ktorého bezpečnosti investujú firmy v 32 % prípadov, sú API. Ide o slabý článok mnohých online aplikácií a systémov, ktorý nie je častokrát správne nasadený, prípadne nevhodne upravený samotnou spoločnosťou a jej potrebám.
Problémom sú peniaze
Až 71 % respondentov v prieskume CISO priznalo, že pri bezpečnosti ich aplikácií a funkcií je problémom nedostatočný rozpočet alebo financovanie testovania online bezpečnosti. Máloktorá spoločnosť si však uvedomuje, že kybernetické útoky im môžu spôsobiť oveľa väčšie škody, než ich prevencia.
Priemerné náklady spojené s nápravou škôd spôsobených kybernetickým útokom v malých a stredných podnikoch predstavujú v priemere 86 000 EUR. Od polovice roka 2018 však európske spoločnosti budú musieť zaplatiť nielen za škody spôsobené útokom zlých hackerov, ale aj pokutu štátu. Do platnosti totiž príde nová európska legislatíva (známa ako GDPR) zaväzujúca spoločnosti k ešte prísnejšej ochrane citlivých dát používateľov vrátane povinnosti testovať bezpečnosť firemných online produktov.
V prípade nedodržania ochrany súkromných dát a ich úniku hrozí spoločnostiam na Slovensku, v Českej republike a ďalších štátoch Európskej únie pokuta až do výšky 20 miliónov EUR alebo 4 % celkového svetového obratu spoločnosti za predchádzajúci účtovný rok. Článok o novej európskej legislatíve, ako aj ďalšie dôležité články a informácie týkajúce sa IT bezpečnosti firiem, nájdete v našej e-knižke Základy IT bezpečnosti pre firmy.
Ako ušetriť pri skvalitňovaní IT bezpečnosti?
Myslíte si, že za bezpečnosť vašej online aplikácie či systému musíte platiť tisíce eur mesačne? Mýlite sa! Vhodnou formou testovania vašej online bezpečnosti je bug bounty program Hacktrophy.
O vašu online bezpečnosť sa postarajú desiatky etických hackerov, ktorí váš systém otestujú rovnako, ako ich neetickí konkurenti. O chybe či nedostatku vo vašej bezpečnosti sa však dozviete ako prví a budete mať čas ju opraviť. Vyskúšajte Hacktrophy aj vo vašej firme.
