Války otevírají dveře hackerům. Útoky jdou přes slabé články

Kybernetické útoky se stávají součástí moderních hybridních konfliktů a jejich dopady mohou zasáhnout státní instituce, firmy i kritickou infrastrukturu. Vedle státem podporovaných hackerských skupin se aktivizují také hacktivistické kolektivy, které útočí například na vládní weby, média nebo technologické firmy.

„Moderní konflikty mají stále výraznější digitální rozměr. Organizace dnes čelí situaci, kdy kybernetické útoky nejsou pouze otázkou kriminality, ale mohou být součástí širších geopolitických konfliktů,“ říká Martin Hořický, partner společnosti BDO odpovědný za oblast kybernetické bezpečnosti.

„Útočníci dnes často nehledají nejlépe zabezpečenou organizaci, ale naopak nejslabší článek v jejím ekosystému. Dodavatelský řetězec se proto stává jedním z hlavních vektorů moderních kybernetických útoků,“ dodává Martin Hořický.

Hackeři stále častěji útočí přes dodavatele

Jedním z nejnebezpečnějších typů kybernetických útoků jsou tzv. supply chain útoky, tedy útoky prostřednictvím dodavatelského řetězce. Útočníci v takovém případě neútočí přímo na cílovou organizaci, ale kompromitují některého z jejích dodavatelů.

Typickým scénářem je napadení menší technologické firmy, která poskytuje software nebo IT služby větší společnosti. Pokud má takový dodavatel přístup do interních systémů zákazníka nebo poskytuje software, který zákazník používá, může se útok šířit dál.

Útočníci například upraví software nebo aktualizační balíčky, které dodavatel distribuuje svým zákazníkům. Škodlivý kód se tak do infrastruktury cílové organizace dostane prostřednictvím legitimní aktualizace. Takový útok může zůstat dlouhou dobu skrytý a zároveň zasáhnout velké množství organizací, které využívají stejný software nebo služby.

Regulace zvyšují důraz na řízení dodavatelů

Rostoucí význam dodavatelských řetězců reflektují také nové regulatorní požadavky. Evropská legislativa, například směrnice NIS2 nebo finanční regulace DORA, klade stále větší důraz na řízení kybernetických rizik u externích dodavatelů. Firmy tak musí být schopny prokázat, že bezpečnost svých dodavatelů skutečně ověřují a průběžně monitorují.

Jedním z nástrojů, který se v praxi stále častěji využívá, je nezávislý audit podle standardu SOC 2, který komplexně ověřuje nastavení bezpečnostních kontrol u poskytovatelů služeb.

„Organizace stále častěji zjišťují, že jejich bezpečnost je jen tak silná, jak silní jsou jejich dodavatelé. Nezávislé audity, jako je SOC 2, pomáhají transparentně ověřit úroveň bezpečnostních kontrol a posilují důvěru mezi obchodními partnery,“ uvádí Dominika Adamcová, specialistka na audit a compliance.

Firmy musí bezpečnost aktivně testovat

Vedle řízení dodavatelů je podle odborníků klíčové také pravidelné testování bezpečnosti systémů. Organizace totiž často zjistí své slabiny až ve chvíli, kdy dojde k reálnému incidentu.

„Bezpečnost nelze ověřit pouze na papíře. Organizace musí být schopny realisticky otestovat svou obranu a zjistit, jak by jejich systémy obstály při skutečném útoku,“ říká Marek Kovalčík, který se dlouhodobě věnuje ofenzivní bezpečnosti a bezpečnostnímu testování.

Podle odborníků z BDO by firmy měly věnovat pozornost zejména řízení kybernetických rizik v dodavatelském řetězci, nezávislým auditům bezpečnostních kontrol (například SOC 2), pravidelnému penetračnímu testování a simulaci kybernetických útoků a připravenosti organizace na zvládání bezpečnostních incidentů.

V prostředí rostoucí geopolitické nestability a digitalizace infrastruktury se tak kybernetická bezpečnost stává nejen technickou disciplínou, ale také důležitou součástí strategického řízení organizací.

Témata:  hackeři,  firmy