Většinu času jsme v defenzívě, přiznávají bezpečnostní experti

Vyšel další průzkum mezi pracovníky v bezpečnosti IT. Jako obvykle nedopadl optimisticky. Týmy security operations jen reagují na hrozby, místo aby jim předcházely.

Většina expertů na obranu před počítačovými hrozbami má problémy přizpůsobit se neustále zrychlujícímu tempu a stoupajícímu objemu kybernetických útoků. Ukázal to nejnovější průzkum v oblasti kybernetické bezpečnosti, který vydala firma Forrester Consulting. Oslovila při něm 314 respondentů z velkých společností po celém světě.

Průměrný tým security operations řešil podle průzkumu každý den 11 tisíc bezpečnostních varování. Obtížně uvěřitelných 79 procent organizací zažilo minulý rok únik dat. Polovina mu čelila během posledních šesti měsíců. Střední hodnota škody způsobené únikem dat vycházela na sedm milionů dolarů.

Dvaaosmdesát procent bezpečnostních odborníků souhlasilo, že jejich přístup k počítačovým hrozbám je čistě reaktivní. Zhruba polovina z nich přiznala, že jejich organizace nemá dostatek lidských zdrojů, aby to změnila. Najímání a udržování dostatečně kvalifikované pracovní síly je obtížné. V časech pandemie nemoci COVID-19 se potíže prohlubují, což asi není velké překvapení.

Velký zdroj potíží je nedostatečná automatizace. Důležitost jednotlivých hrozeb většinou posuzují lidští analytici. Ve firmách se také používá velké množství odlišných bezpečnostních nástrojů. Průměr je deset různých kategorií obranných prostředků na jednu firmu. Jsou mezi nimi například klasické firewally nebo software na vyhledání hrozeb v emailové korespondenci. Jen asi třináct procent dotázaných uplatňuje metody machine learning.

Řešením je využít existujících „best practice“, nastavit a důsledně dodržovat procesy a zásady, které pomůžou chránit informace před ztrátou, zneužitím a narušením důvěry. Je to náročný proces, který si vyžaduje zapojení celé organizace, ale výsledky za to stojí.

Určitě lze doporučit konzultaci kybernetické obrany firmy s někým, kdo s tím má již prokazatelné zkušenosti. Takový poskytovatel by měl disponovat certifikátem v oblasti počítačové bezpečnosti od Mezinárodní organizace pro normalizaci (anglicky International Organization for Standardization, zkratka ISO). Konkrétně to je ISO 27001. Samozřejmě by měl mít i praktické zkušenosti - nejlépe s implementací ISO normy sám u sebe. Tato norma totiž zahrnuje přímo zavedení konkrétních bezpečnostních opatření a metod, jako je třeba analýza rizik, nebo školení zaměstnanců o kyberbezpečnosti. Prvním krokem by měla být právě analýza rizik. Na základě jejích výsledků je pak potřeba přijmout bezpečnostní opatření. Některá lze automatizovat, jiná lze řešit pouze procesně. Dále je při výběru partnerů a dodavatelů zásadní obracet se na firmy, které mají praktické zkušenosti v oblasti ISMS a dodržují zásady ISO 27001.

Ve světě plném bezpečnostních hrozeb má smysl jen systematická pravidelně aktualizovaná obrana.