Jak dopadne obchodní boj „hegemonů“ Trendyol a Temu?
6. 8. 2024
09:00
Obchodní a marketingové strategie aktuálně dvou zřejmě největších e-commerce platforem Temu a Trendyol, které dobývají Evropu nabízí velmi zajímavý pohled,...
Z provedených analýz a na základě zkušeností z provedených auditů kybernetické bezpečnosti, které proběhly u subjektů podléhajících regulaci podle stávajícího zákona, vyplývá několik zajímavých, ale nepřekvapujících zjištění. Přestože je stále více firem obeznámeno s hrozbami spojenými s kybernetickým prostředím, existuje řada běžných pochybení, která zvyšují riziko kybernetických útoků a snižují odolnost celého systému řízení kybernetické bezpečnosti. V tomto článku se proto zaměřím na nejčastější a nejvýznamnější pochybení, se kterými se u zákazníků setkávám. A přidám i doporučení.
NIS2 (Network and Information Security 2)
Celoevropská směrnice o kybernetické bezpečnosti, tedy bezpečnosti informačních systémů, počítačových sítí, aplikací, softwaru a informací. Jejím cílem je zvýšení odolnosti organizací proti kybernetickým útokům. Stanovuje povinná opatření ke zvýšení celkové úrovně kybernetické bezpečnosti v organizacích působících v zemích EU. Tyto organizace (subjekty) budou mít za povinnost dodržovat řadu povinností o bezpečnosti svých procesů, vzdělávání pracovníků, bezpečnosti svých systémů, sítí, IT infrastruktury a informací.
Nesprávná identifikace aktiv
Identifikace a správa aktiv je nejzásadnějším prvkem pro řešení kybernetické bezpečnosti. Chybná identifikace aktiv vede k nedostatečnému zabezpečení některých klíčových prvků celého systému řízení kybernetické bezpečnosti. Nepřesné nebo nedostatečné procesy identifikace vedou k chybám v zabezpečení aktiv. Na nesprávnou nebo neúplnou identifikaci aktiv navazuje nesprávné vyhodnocení rizik, nesprávné přiřazení opatření k jejich snižování a přijetí nápravných opatření. Chyby se řetězí a ochrana proti kybernetickým hrozbám toho nejcennějšího pro organizaci je tak neúčinná.
Doporučená opatření: Je důležité, aby organizace důsledně identifikovaly, systematicky vyhodnocovaly a aktualizovaly své postupy a procesy v oblasti správy aktiv a následně prováděly pravidelné revize a aktualizace analýzy rizik, s důrazem na aktuální hrozby a zranitelnosti.
Nedostatečná ochrana přístupových údajů a oprávnění
Jedním z nejčastějších pochybení, se kterými se setkáváme, je nedostatečná ochrana přístupových údajů. Mnoho firem stále využívá slabá hesla nebo nedostatečné metody autentizace. Důsledkem může být neoprávněný přístup k citlivým informacím. Stejně častým problémem bývá neefektivní správa přístupových práv a oprávnění, které často neodpovídají aktuálním rolím a odpovědnostem.
Doporučená opatření: Zavedení silných hesel a dvoufaktorové autentizace a pravidelná školení zaměstnanců o kybernetických hrozbách. Pravidelná revize a aktualizace oprávnění, včetně okamžité deaktivace účtů zaměstnanců po odchodu z organizace.
Nedostatečné monitorování a detekce incidentů
Mnoho organizací nedisponuje dostatečným systémem monitorování a detekce kybernetických incidentů. Často jsou útoky detekovány až ve fázi, kdy je příliš pozdě.
Doporučená opatření: Investovat do pokročilých nástrojů monitorování a ve spolupráci s bezpečnostními experty provádět pravidelné simulace kybernetických útoků.
Nedostatečná osvěta a školení zaměstnanců
Zaměstnanci jsou stále častěji v první linii kybernetických útoků. Nedostatečná znalost bezpečnostních postupů a nedbalost mohou zvýšit riziko úspěšného phishingového útoku nebo jiné formy sociálního inženýrství.
Doporučená opatření: Pravidelná školení zaměstnanců v oblasti kybernetické bezpečnosti včetně osvěty a testování odolnosti vůči sociálnímu inženýrství jsou tou nejlepší a zároveň nejlevnější obranou.
