Keď v máji 2017 nainfikoval škodlivý vírus WannaCry vyše 200 tisíc počítačov v 150 krajinách sveta, vrátane Slovenska, spozornel celý svet. Vírus sa vtedy nesnažil odcudziť citlivé údaje. Naopak, zaistil ich tak, aby sa k nim nedostali ani ich praví majitelia. Obsah v počítačoch následne zašifroval a zamedzil prístup k súborom. Hekeri si potom od obetí pýtali za dáta výkupné.

Kyberzločincom sa podarilo preniknúť napríklad do informačného systému britských nemocníc, nemeckých železníc či španielskeho mobilného operátora. Paralyzované vtedy zostali aj počítače v nitrianskej fakultnej nemocnici.

„Takýto typ útoku nie je ojedinelý ani dnes. Dokazuje to incident z polovice marca, keď hekeri zaútočili na jedného z najväčších výrobcov primárneho hliníka na svete v Nórsku,“ poukazuje Pavol Adamec, výkonný riaditeľ KPMG Slovensko pre riadenie rizík. Spoločnosť musela po kybernetickom útoku odstaviť časť výroby. Kyberzločinci sa tiež dostali k citlivým dátam, a preto existuje riziko, že vírusom nainfikujú aj jej obchodných partnerov. Nemalé boli aj finančné škody – hlinikáreň vyčíslila straty vo výške 35 miliónov eur.

Kybernetická bezpečnosť je teda stále jednou z rezonujúcich tém a to nie len z pohľadu riadiacich pracovníkov veľkých firiem, ale túto problematiku vníma ako dôležitú aj laická verejnosť. „Ide o prirodzený vývoj, ktorý je spôsobený veľkým nasadením informačných sietí vo svete. Firmy preto postupne prijímajú opatrenia, vďaka ktorým dokážu eliminovať dôsledky kyberútokov,“ konštatuje Adamec.

Tím KPMG odborníkov na kybernetickú bezpečnosť  identifikoval šesť oblastí, ktoré sú pre firmy kľúčové, aby sa dokázali účinne brániť proti útokom. 

KPMG prieskum medzi IT manažérmi ukázal, že firmy pri hľadaní bezpečnostných analytikov narazia na vákuum. Až 65 % uviedlo, že nedostatok IT špecialistov brzdí ich firemné stratégie, čo je najvyššia úroveň od roku 2008. Nedostatok kvalifikovanej pracovnej sily je zásadný problém aj slovenského trhu. Ak si ich spoločnosti nezačnú už dnes systematicky vychovávať, tak o pár rokov môžu mať vážny problém. V súčasnej dobe väčšina zamestnancov prakticky vo všetkých odvetviach nemá primerané zručnosti na to, aby ochránili dôležité interné procesy firmy, jej duševné vlastníctvo a citlivé údaje. Aj preto sa v tejto súvislosti nahliada na výchovu novej generácie bezpečnostných expertov ako na kľúč k úspechu.

Umelá inteligencia je silná zbraň v arzenáli útočníkov, ale aj bezpečnostných tímov vo firmách. Žiaľ, náskok v jej využívaní majú útočníci. Kým obrancovia musia ovládať celé portfólio manévrov na odvrátenie útoku, útočníkom stačí byť dobrí len na mieste, kde útočia. Práve preto by bezpečnostné tímy mali používať a súčasne rozširovať AI riešenia, ktoré im pomôžu identifikovať incidenty v oblasti bezpečnosti a rovnako dokážu posúdiť zraniteľnosť systému.

Pre firmy by nemala byť konečná méta len dodržiavanie ochrany osobných údajov svojich klientov. Žijeme totiž v dobe, kedy sa na citlivé klientske údaje nahliada ako na cenné bohatstvo. Prieskum KPMG Consumer Loss Barometer v tejto súvislosti poukázal na znepokojivý trend – zákazníci sa viac boja zneužitia osobných údajov samotnou firmou než hekermi. Toto zistenie podčiarkuje spoločenskú nedôveru voči firmám. Kompetentní by si preto mali určiť odvážnejší cieľ, ako je len samotné dodržiavanie ochrany osobných údajov. Procesy súvisiace s ochranou osobných údajov by sa mali stať súčasť firemnej kultúry či obchodného modelu. Odborníci sa totiž zhodujú na tom, že spoločnosti, ktoré zákazníkovi preukážu vysokú mieru nasadenia pri ochrane citlivých údajov, získajú na konci dňa konkurenčnú výhodu.

Kybernetická bezpečnosť a prevencia podvodov majú k sebe bližšie ako kedykoľvek predtým. V dnešnej dobe už totiž neplatí, že firmám stačí používať len jeden bezpečnostný model. Poskytovať klientom zážitky, ktoré si želajú a zároveň ich chrániť pred podvodnými činnosťami, si vyžaduje oveľa väčšiu mieru nasadenia. Aj preto by firmy mali venovať rovnakú pozornosť podvodom a kybernetickej bezpečnosti. Prieskum KPMG (Consumer Loss Barometer) upozorňuje, že takmer polovica opýtaných zákazníkov je presvedčená o tom, že finančné inštitúcie majú mať plnú alebo čiastočnú zodpovednosť za bezpečnostné riziká spojené s používaním mobilných telefónov pri využívaní elektronického bankovníctva. A to bez ohľadu na to, či to finančné inštitúcie považujú za svoju zodpovednosť. Podľa zákazníka totiž musia preukázať, že berú bezpečnosť osobných údajov svojich klientov naozaj vážne.

Používanie hesiel pri overovaní totožnosti je zastaraná metóda, ktorá často naráža na nedôslednosť samotných klientov, ktorí si z pohodlnosti zvolia slabé heslo. Podniky by si preto mali čím skôr osvojiť sofistikovanejšie metódy overovania totožnosti, akými sú napríklad tvárová biometria, rozpoznávanie hlasu či skenovanie otlačkov prstov. Z kedysi bezpečnostného nástroja sa tak postupne stal podnikový nástroj, vďaka ktorému môže firma získať povesť priekopníka vo svojej oblasti. Inovatívne metódy overovania totožnosti sa prudko rozvíjajú predovšetkým vo finančnom sektore. Najmä banky si takýmto spôsobom vylepšujú imidž v očiach klientov.

Phisher sa pomocou návnady zväčša v emailovej komunikácii snaží vylákať od používateľa osobné údaje, ako sú prístupové heslá, čísla kreditnej karty alebo používateľský login. Najmä slovenské banky majú s phishingom bohaté skúsenosti. Aj preto pravidelne na svojich weboch upozorňujú klientov na útoky a zároveň ich vzdelávajú, aby sa z nich nestali obete. Je dôležité si uvedomiť, že aj napriek rastúcej sofistikovanosti dnešných útočných metód, strach z phishingu pretrváva. A to aj napriek tomu, že sa phishing považuje za archaickejšiu metódu infiltrácie. Tým hlavným dôvodom je, že voči tejto útočnej metóde stále nie je jednoduché sa brániť. Útočníci navyše vedia, že mnohí bezpečnostní odborníci sa zameriavajú na novšie metódy útokov, napríklad na malvér. Aj preto sa vracajú k phishingu. Firmy by mali rátať s tým, že žiadna spoločnosť nedokáže systematicky odraziť všetky útoky. Pokiaľ ide o phishing, neexistuje dokonalý nástroj alebo monitorovacia platforma, ktorá by nepretržite chránila informačný systém firmy. Práve preto musia spoločnosti k identifikácii útočných metód pristupovať analyticky a zároveň agilne.