Ako vyzerá firma, ktorá si myslí, že je bezpečná

admin

Táto firma mala antivírus. Mala zálohy. Mala IT oddelenie a každý rok robila školenie o phishingu. Na recepcii visela laminovaná smernica informačnej bezpečnosti. A predsa — keď prišiel ransomvérový útok, za 48 hodín prišla o prístup k 4 rokom zákazníckych dát, zálohy boli zašifrované spolu s produkciou a obnova trvala 11 dní. Náklady: 230-tisíc eur. Reputačná škoda: nevyčísliteľná.

Toto nie je príbeh firmy, ktorá bezpečnosť ignorovala. Je to príbeh firmy, ktorá si myslela, že je bezpečná. A práve tento typ firmy je dnes najzraniteľnejší.

Falošný pocit bezpečia je nebezpečnejší ako vedomá ignorancia

Firma, ktorá vie, že bezpečnosť rieši nedostatočne, aspoň vie, kde je riziko. Môže sa rozhodnúť investovať, zmeniť priority, najať experta. Firma, ktorá si myslí, že je bezpečná — a nie je — toto rozhodnutie nikdy neurobí. Prečo by mala? Veď “to máme vyriešené”.

Tento typ organizácie rozpoznáme podľa konkrétnych znakov. Nie technických — manažérskych a kultúrnych. Pozrite sa, či niektoré z nasledujúcich viet ste v poslednom roku počuli vo vlastnej firme.

Kybernetická bezpečnosť a falošný pocit ochrany
Laminovaná smernica na stene nie je bezpečnosť. Je to dekorácia.

8 viet, ktoré odhaľujú firmu s falošným pocitom bezpečia

1. “Máme antivírus, sme chránení.”

Antivírus je dôležitý. Ale je to jeden nástroj v celom ekosystéme bezpečnostných kontrol — nie riešenie. Moderné útoky cielene obchádzajú antivírusové riešenia: zneužívajú legitímne nástroje (LOLBins), operujú v pamäti bez súborov, využívajú zero-day zraniteľnosti. Firma, ktorá stotožňuje antivírus s bezpečnosťou, má pokrytých odhadom 20 % útočnej plochy. Zvyšných 80 % je bez dohľadu.

Realita: Bezpečnosť je vrstvená — antivírus, EDR/XDR, správa prístupových práv, segmentácia siete, zálohovacie politiky, školenia, monitoring. Chýba jedna vrstva a útočník nájde cestu.

2. “Na nás by nikto neútočil — sme príliš malí.”

Toto bol mýtus, ktorý možno platil pred desiatimi rokmi. Dnes je to štatisticky nepravdivé tvrdenie. Viac ako 43 % kybernetických útokov globálne cieli na malé a stredné firmy — práve preto, že majú cenné dáta a slabšiu ochranu ako korporácie. Útočníci neskenujú internet hľadajúc konkrétnu firmu — automatizovane hľadajú zraniteľnosti, bez ohľadu na veľkosť obete.

Realita: Ransomvérové skupiny dnes cielene preferujú SME — výkupné je nižšie (zaplatí skôr), obrana slabšia a pravdepodobnosť výplaty vyššia. Veľkosť nie je ochrana.

3. “IT to má na starosti.”

IT oddelenie (alebo externý IT partner) má na starosti infraštruktúru. Ale bezpečnosť nie je len technický problém — je to organizačný, procesný a ľudský problém. Keď zamestnanec obchodného oddelenia klikne na phishingový odkaz, IT o tom nevie, kým nie je neskoro. Keď HR zdieľa citlivé dokumenty cez osobný Dropbox, IT to nevidí. Keď manažér použije rovnaké heslo na firemný systém a súkromný email, IT to nezastaví.

Realita: Bezpečnosť je záležitosťou každého zamestnanca — nie len IT. Organizácie, kde “IT to má na starosti” a zvyšok firmy si nič neuvedomuje, majú najvyšší počet úspešných sociálnych útokov.

Bezpečnosť firmy a ľudský faktor
Phishing neútočí na server. Útočí na človeka. A ten nie je v IT oddelení.

4. “Robili sme školenie — minulý rok.”

Jednorazové školenie je ako jednorazový výcvik v prvej pomoci pred maratónom. Informácie vyblednú. Hrozby sa menia. Technika phishingových útokov sa za rok výrazne posunula — AI-generované správy, deepfake hlasové nahrávky, kontextovo personalizované podvody. Zamestnanec vyškolený na “podozrivé prílohy” nerozozná dnešný sophisticated spear-phishing.

Realita: Bezpečnostné povedomie sa buduje pravidelnou, opakovanou expozíciou — mikrovzdelávanie, simulované phishingové testy, pravidelné aktualizácie o nových hrozbách. Raz za rok nestačí ani pre splnenie požiadaviek ISO 27001 alebo NIS2.

5. “Máme zálohy… myslím.”

Zálohy existujú. Ale kedy boli naposledy otestované? Záloha, ktorá nebola overená obnovou, nie je záloha — je to nádej. Ransomvérové skupiny to vedia a čoraz bežnejšie najprv kompromitujú zálohovacie systémy a až potom spustia šifrovanie produkcie. Záloha na rovnakej sieti ako produkcia alebo záloha bez air-gap ochrany je takmer bezcenná.

Realita: Skutočná zálohovacia stratégia nasleduje pravidlo 3-2-1: 3 kópie dát, na 2 rôznych médiách, 1 mimo lokality (offline alebo v izolovanom cloude). A každá záloha je pravidelne testovaná obnovou.

6. “Nikdy sa nám nič nestalo.”

Toto je možno najnebezpečnejšia veta zo všetkých. “Nikdy sa nám nič nestalo” neznamená “sme bezpeční”. Môže znamenať “nikdy sme nezistili, že sa niečo dialo”. Priemerná doba od kompromitácie systému po odhalenie útoku je globálne 197 dní. Útočník môže byť vo vašej sieti pol roka — číta emaily, mapuje systémy, kradne dáta — a vy o tom neviete.

Realita: Absencia detekovaného incidentu nie je dôkaz bezpečnosti. Dôkaz bezpečnosti je aktívny monitoring, threat hunting a pravidelné penetračné testy, ktoré hľadajú to, čo ste doteraz nevideli.

7. “Prešli sme auditom — máme papiere.”

Certifikát alebo úspešný audit je dôkaz o stave systému v deň auditu. Nie rok po ňom. Organizácie, ktoré vnímajú certifikáciu ako cieľ (namiesto ako nástroj kontinuálneho zlepšovania), mávajú po audite relaxovaný postoj: “Hotovo, ďalší audit je o rok.” Medzitým sa zmenia hrozby, zmení sa infraštruktúra, prídu noví zamestnanci — a papier starne, kým realita sa posúva.

Realita: Certifikát ISO 27001 alebo úspešný NIS2 audit nie je cieľ — je to snapshot. Bezpečnosť je stav, nie projekt.

8. “Máme to vyriešené — máme GDPR dokumentáciu.”

GDPR je právny rámec ochrany osobných údajov. Nie bezpečnostný štandard. Dokumentácia GDPR (registre spracovateľských činností, súhlasy, politiky) bez technických bezpečnostných opatrení je právna fikcia. Regulátor oceňuje dokumentáciu. Útočník nie.

Realita: GDPR a kybernetická bezpečnosť sa prelínajú, ale nie sú totožné. Organizácia môže mať dokonalú GDPR dokumentáciu a nulovú technickú bezpečnosť — a naopak.

Kybernetický útok a bezpečnostné incidenty
197 dní. Toľko času má útočník vo vašej sieti, kým ho priemerná firma odhalí.

Ako teda vyzerá firma, ktorá je skutočne bezpečná?

Paradoxne — skutočne bezpečná firma si nikdy nie je istá, že je dostatočne bezpečná. Má nastavené procesy na kontinuálne overovanie. Vie, čo nevie. A systematicky pracuje na zmenšovaní toho priestoru neistoty.

Konkrétne znaky organizácie s reálnou bezpečnostnou kultúrou:

  • Register rizík, ktorý žije — aktualizuje sa pri každej významnej zmene v prostredí, nie raz za rok pred auditom
  • Zodpovednosť za bezpečnosť je pomenovaná — existuje konkrétna osoba (CISO, Security Officer, alebo manažér s touto rolou), nie “IT to rieši”
  • Zamestnanci hlásia podozrenia — kultúra, kde nahlásenie phishingového emailu je ocenené, nie ignorované
  • Zálohy sú testované — posledný test obnovy nie je starší ako 90 dní
  • Prístupy sú riadené — zamestnanec, ktorý odíde z firmy, stratí prístupy v ten istý deň, nie “keď na to príde IT”
  • Incidenty sa vyhodnocujú — každý bezpečnostný incident (aj ten “malý”) vedie k root cause analýze a úprave procesu
  • KPI bezpečnosti sa sledujú — nie ako checkbox, ale ako manažérsky indikátor, o ktorom sa pravidelne diskutuje na úrovni vedenia

Sebareflexia ako prvý krok k skutočnej bezpečnosti

Prvý krok k zlepšeniu nie je nákup nového bezpečnostného nástroja. Je to úprimná odpoveď na otázku: “Čo z toho, čo sme si práve prečítali, platí aj pre nás?” Ak odpoveď zahŕňa aspoň dve-tri body — nie ste výnimka. Ste štatistická väčšina.

Dobrá správa: každý z opísaných problémov má riešenie. Zlá správa: žiadne z nich sa nevyrieši samo od seba a žiadne nevyrieši jedna príloha e-mailu od IT.

Systematická kybernetická bezpečnosť nie je projekt pre veľké korporácie. Je to sada procesov, zodpovedností a nástrojov, ktoré dnes vedia implementovať aj stredne veľké organizácie — s primeranými nákladmi a bez armády bezpečnostných špecialistov. Ak chcete vedieť, kde konkrétne stojíte a čo by bolo prvým logickým krokom, sme tu.

Share this post