Jakub Novák o analýzach rizík

Ako si firmy vedia testovať odolnosť voči hrozbám?

Prvým a najlepším krokom je zrealizovať takzvanú analýzu rizík. Táto analýza pomáha spoločnosti odhaliť všetky bezpečnostné riziká, na ktoré sa potom môže zamerať. Spoločnosť tak získa prehľad o tom, ako tieto riziká riešiť. Spôsoby, ako postupovať, sú rôzne. Napríklad, prvým spôsobom je penetračné testovanie technológií, ktoré môžu zahŕňať vaše služby, produkty alebo infraštruktúru. Cieľom je odhaliť zraniteľnosti a opraviť ich, aby sa predišlo zneužitiu týmito zraniteľnosťami nepovolenými osobami so zlými úmyslami.

Ďalším spôsobom je sociálne inžinierstvo, ktoré sa často skloňuje v súvislosti s phishingom. Cieľom je otestovať reakcie zamestnancov na rôzne hrozby na internete. Typickými scenármi sú zadávanie citlivých údajov, ako sú prihlasovacie údaje do firemných systémov alebo klientské údaje. Prípadne ide o spustenie ransomvéru, kde zamestnanec reaguje na podozrivý e-mail, stiahne škodlivý súbor, čím môže byť firma zasiahnutá ransomvérom, ktorý zašifruje dáta celej spoločnosti. Následne útočníci žiadajú výkupné, často v bitcoinoch.

Tretím spôsobom je tzv. red teaming, čo je simulácia komplexného útoku na celú spoločnosť. Cieľom je otestovať spoločnosť na viacerých úrovniach – od reakcií zamestnancov až po procesy. Na rozdiel od penetračného testovania, ktoré sa zameriava na odhalenie všetkých zraniteľností, red teaming sa zameriava na niekoľko scenárov, ktoré môžu viesť k kompromitácii celej spoločnosti.

Prečo by MSP mali venovať pozornosť testovaniu, aké pozitíva im to prinesie?

Poznáte hackera, ktorý prestane alebo nezačne hackovať spoločnosť, keď sa dozvie, že daná spoločnosť nasadila opatrenia, napríklad v rámci ISO 27001? Hackeri, či už etickí alebo neetickí, testujú funkčnosť opatrení, nie ich prítomnosť. Preto je penetračné testovanie jedným z najspoľahlivejších spôsobov, ako otestovať schopnosť firmy odolať útoku. Okrem toho penetračné testovanie zvyšuje konkurencieschopnosť firmy, pretože zákazníci si čoraz viac uvedomujú dôležitosť kybernetickej bezpečnosti. Ďalej zaisťuje súlad s legislatívou, keďže firmy musia spĺňať zákony a normy, aby sa vyhli sankciám a pokutám. V neposlednom rade prispieva k „pokojnému spánku“, pretože ak dodržiavate kybernetickú hygienu a pravidelne testujete svoje systémy, zvyšujete pravdepodobnosť, že citlivé údaje neopustia firmu a nevznikne žiadny bezpečnostný incident. Kombinácia týchto faktorov zároveň prispieva k budovaniu a zvyšovaniu reputácie vašej spoločnosti.

Ako takéto testovanie voči kybernetickým hrozbám prebieha?

Pri vykonávaní penetračných testov je dôležité najskôr nájsť spoľahlivého partnera. Následne sa určia rozsahy, ciele a obmedzenia, ktoré sa majú testovaním pokryť. Potom sa vykoná samotný test, pričom po jeho dokončení sa dodajú reporty a diskutuje sa o nálezoch a zraniteľnostiach, ktoré boli objavené. Následne môže prebehnúť retest, aby sa overilo, či boli zraniteľnosti správne odstránené.

Pri výbere partnera je dôležité pozerať sa na jeho historickú reputáciu, skúsenosti tímu a referenčné projekty. Je vhodné byť opatrný pri veľmi nízkych cenách, pretože kvalita sa platí, a šetrenie na kybernetickej bezpečnosti môže neskôr vyjsť firmu veľmi draho. Mnohé firmy sa o tom presvedčili, keď už bolo neskoro.

Aké sú najčastejšie formy šifrovanej komunikácie? Čo si pod tým môžeme predstaviť?

Čo sa týka komunikácie, používam tri hlavné formy. Jednou z najčastejších je e-mail. Pri e-mailoch odporúčam používať technológie ako S/MIME alebo PGP, ktoré šifrujú obsah správ. Ďalšou formou sú aplikácie ako Signal alebo Threema. Tieto aplikácie šifrujú nielen obsah správ, ale aj metadáta, teda kto komu posiela správy, kto komu telefonuje a podobne. Tento typ šifrovania sa nazýva end-to-end šifrovanie, čím sa zamedzí, aby sa k informáciám dostal akýkoľvek útočník.

Prečo by si firmy mali prečítať sprievodcu digitálnou bezpečnosťou?

Žijeme v dobe kybernetických hrozieb a incidentov. Preto považujem sprievodcu kybernetickou bezpečnosťou za vynikajúci nástroj na zabezpečenie bezpečného podnikania, spokojnosti klientov a splnenie legislatívnych požiadaviek štátu, EÚ a ďalších regulačných orgánov, pričom zároveň pomáha predchádzať kybernetickým incidentom.