- REPORTY BEZPEČNOSTI
- AI aplikácia DeepSeek zhodila kráľovnú z trónu, pozametala na finančných trhoch a vyvolala bezpečnostnú paniku
- Rok 2025 v 5 bodoch. Tu sú kľúčové nástrahy kyberbezpečnosti
- Sme frustrovaní z hesiel. Pozdávajú sa vám passkeys?
- 75 centov sú náklady na kybernetický útok!
- Ľudská prevádzka na internete klesá. „Zlé“ boty tam majú čoraz viacej práce
- Pohovorme si o tom, ako softvér sleduje zamestnancov. Téma je to delikátna
- Únia zvyšuje požiadavky v kybernetickej bezpečnosti. Už teraz ukázala záťažové testy a simuláciu incidentu na európskej úrovni
- Úniky údajov v zdravotníctve? Kybernetické útoky, ale aj neporiadok
- Je tu škandál s mega únikom údajov. Vynára sa hrozivé podozrenie
- Kybernetický zločin mení usporiadanie sveta. Tieto trendy si pamätajte
- Bezpečnostné agentúry bijú na poplach. AI boostuje kyberzločin nečakaným spôsobom
- Postkvantové šifrovanie už teraz? A v našom smartfóne? Zajtra už bude neskoro
- Čo znamená v kyberbezpečnosti, že „obuvníkove deti chodia bosé“? Microsoft vie
- Pätica globálnych rizík to potvrdzuje: Z technológií sa stávajú – zbrane
- Prvú vládu prechádza trpezlivosť: Zákaz SIM fariem!
- Plánujete si budúcnosť? V kyberbezpečnosti sa točia veľké peniaze – ak niečo viete
- Umelá inteligencia hazarduje s vaším súkromím: Bard ide na prevýchovu
- Hackni si satelit! A ak by si na to nemal rozpočet, tak aspoň železnice
- Viete, ako si kyberzločinci vykrmujú prasiatko?
- Európski vyšetrovatelia hackli nedotknuteľnú šifrovanú sieť. Úlovok je mega
- Že je niečo šifrované, ešte to neznamená, že je to tajné
- Že online fraudy rastú, nie je prekvapivé. Pozoruhodné je, ako sa to deje.
- Médiá sa nadchýnajú útokmi, profesionáli zraniteľnosťami. Lebo o tom je kyberzločin
- Umelá inteligencia sa stále zlepšuje, lebo ju kŕmime všetci. A kyberbezpečnosť sa otriasa v základoch
- Internetové blackouty. Ďalší nový normál?
- Čo nás čaká v kyberbezpečnosti: viac útokov, umelá inteligencia a zrýchlenie
- EXKLUZÍVNE INFORMÁCIE
- Výskumníci vyčítajú Applu, že informácie o nás zbiera nezákonne, a ďalšie kauzy ochrany údajov
- Ako funguje fabrika na kybernetický zločin
- Hrozby pre siete, vydieranie a kľúčové kyberzločinecké skupiny. Toto sú trendy
- Je to nepreložiteľné, médiá to milujú a bezpečáci bez toho nevedia žiť. Threat Intelligence
- Koľko to stojí a ako to bolí, keď sa šafári s osobnými údajmi
- Zdravotníctvo? Tieto fakty o bezpečnosti by ste radšej nevedeli
- Botnet je tradičný, brutálny a funkčný útok. Prečo sa mu bude dariť?
- Tak aby bolo jasno: Čo je sledovanie a čo špehovanie používateľov?
- Exkurzia do sveta bezpečnostných technológií, kam nepozývajú návštevníkov často
- Svet sa pripravuje na smršť ransomvéru. Posledný diel skladačky zapadol
- 28.2.2022 Ponúkame obciam a mestám bezodplatné konzultácie v kybernetickej bezpečnosti
- Nedostatok čipov dostihol už aj bezpečákov. Lebo bezpečnostné čipy.
- Ako to funguje, keď sa obchoduje so zraniteľnosťami
- Útočilo sa rýchlo a zbesilo. A ako ďalej v kyberbezpečnosti?
- Máte Apple? Toto by ste mali vedieť. Alebo máte Android? Aj pre vás je to dôležité.
- Vystresovaný a bohatý. Taký je život špičkového hackera
- Ste v IT a máte dušu hráča? Hľadáme hviezdy kybernetickej bezpečnosti!
- Rast kybernetického zločinu v prvom polroku ohromil. Pozrite si čísla a typy útokov
- Keď nájdete výhražný mail: Platiť či neplatiť?
- Kto roznáša infekciu v kybernetickej pandémii a ako sa na tom zarába
- Protidohľadový mejkap a LiDAR kamery. Skôr či neskôr to zažijete
- Vážení občania, viete, kde sa potulujú vaše dáta?
- Vo svete sme pod dohľadom miliardy kamier. Čo s tým?
- O šifrovanie sa zaujímajú firmy, vlády, bezpečnostné služby aj právnici. Mali by ste sa aj vy
- Ako si plánujú rok hackeri sponzorovaní štátmi? Zdá sa, že bude veľa práce
- Vydieranie, výkupné a údaje o pacientoch na predaj. Fakt zlý rok pre zdravotníctvo
- Aj ten najlepšie zabezpečený mobil vedia hacknúť muži zákona. Takto.
- Evolúcia malvéru: od oštepu k dynamitu
- Europol a Agentúra EÚ pre kybernetickú bezpečnosť hlásia červené čísla
- Viete, na čo a komu je dobrá vaša selfie s rúškom?
- Náš svet nie je bezpečným miestom
- Zero-day útoky? Stále pribúdajú a stále dôležitejší je rozpočet
- Berte koronakrízu ako príležitosť! Heckeri to pochopili najrýchlejšie
- Ste citliví na ochranu údajov? Tento prehľad je niečo ako povinné čítanie pre občanov a odborníkov
- Zabudnite na maklérov a influencerov. Táto dekáda bude patriť hekerom, šifrovaniu a steganografii
- Všetci chodia na hrušky a teraz nachytali Avast. Ako ďalej, stalkeri?
- Trojica kybernetických hrozieb 2020 a bonus ku každej z nich
- 1,2 miliardy osobných údajov online na jednom serveri
- Už žiadne pečiatky do pasu? Odvážna ambícia pre schengenský priestor
- Francúzsko plánuje využiť technológie rozoznávania tvárí pre vytváranie digitálnej totožnosti občanov. Pokrok alebo hrozba?
- Za šesť mesiacov roka 2019 došlo k väčšiemu počtu kybernetických útokov v automobilovom segmente než za celý minulý rok.
- Európski úradníci nemali zľutovanie. Najvyššia pokuta podľa GDPR dosiahla takmer 200 miliónov eur.
- Hrozba štátom financovaných hekerov sa zvyšuje, majú na svedomí 23
- V nasledujúcich piatich rokoch si musí automobilový priemysel rezervovať na obranu proti kybernetickým útokom aspoň 24 miliárd dolárov
- Máj naozaj nebol v kybernetickej bezpečnosti romantický
- V tejto štatistike by ste naozaj byť nechceli! Najmä preto, že ide o veľa peňazí.
- Bug Bounty. Alebo dohodnime sa radšej po dobrom
- Collection #1 Zapamätajte si to. Budete o tom ešte počuť.
- Kybernetický zločin ako osobná ujma, prísnejšia regulácia v EÚ a vznik nových pracovných miest
- Diplomatické depeše a deravé sociálne siete v decembri a oblasti, kde asi „žijú tisíce bezpečnostných expertov“
- Až tretina členských štátov EÚ zažila v roku 2017 ohrozenie kritickej infraštruktúry v dôsledku kybernetického útoku.
- WEBINÁRE
- RSS feed
08/2024
Report bezpečnosti
Únia zvyšuje požiadavky v kybernetickej bezpečnosti. Už teraz ukázala záťažové testy a simuláciu incidentu na európskej úrovni
Rastie počet kyberbezpečnostných incidentov v bankovom sektore aj nápor útokov na energetickú infraštruktúru. To počúvame stále. Ale čo robia banky a energetici pre našu ochranu?
A dosť!
Európska centrálna banka ohlásila koncom júla ukončenie polročného záťažového testu kybernetickej odolnosti v bankách, kde uskutočňuje dohľad. Za rozhodnutím sú prudké nárasty kybernetických incidentov, ktoré prináša rastúce geopolitické napätie aj masívna digitalizácia bankového sektora.
Vypočujte si Report bezpečnosti, 888 slov, číta pre vás AI.
Záťažový test 2024
Test trval od januára do júla, zúčastnilo sa na ňom 109 bánk, z toho 28 prešlo rozsiahlejšou skúškou a na výsledky si ešte posvietia orgány dohľadu. Banky boli vybrané tak, aby boli zastúpené rôzne obchodné modely a geografické oblasti v EÚ.
V teste sa posudzovala reakcia bánk na závažný, ale realistický incident kybernetickej bezpečnosti a schopnosť prekonať ho. Scenár simuloval situáciu, keď zlyhajú všetky preventívne opatrenia a kybernetický útok vážne naruší databázy základných systémov bánk.
Všetky banky museli vyplniť dotazník a predložiť dokumentáciu na analýzu. Spomínaných 28 bánk muselo navyše urobiť skutočný test obnovy prevádzky IT systémov a zdokladovať úspešnosť a na mieste boli prítomní aj pracovníci dohľadu.
Incident?
Testovala sa reakcia a banky museli dokázať, že vedia
• aktivovať plány reakcie na krízu vrátane interných postupov krízového riadenia a plánov na zabezpečenie nepretržitej prevádzky,
• komunikovať so všetkými externými stranami, čiže klientmi, poskytovateľmi služieb a zástupcami policajných orgánov,
• vykonať analýzu postihnutých služieb a rozsahu postihnutia,
• zaviesť protiopatrenia vrátane opatrení, ktoré by banke pomohli pokračovať v činnosti v čase potrebnom na úplnú obnovu IT systémov.
Pri testovaní schopnosti prekonať incident museli banky
• aktivovať plány obnovy vrátane obnovenia zálohovaných údajov a zosúladenia reakcie na incident s externými poskytovateľmi kritických služieb,
• zabezpečiť obnovu a fungovanie postihnutých oblastí,
• na základe získaných skúseností prijať opatrenia, napríklad prehodnotiť plány reakcie a obnovy.
Výsledky sa nehovoria, ale trend vieme
Pracovníci dohľadu už banky o výsledkoch testu informovali a nespustia ich z očí, čo sa týka následných opatrení.
Pochopiteľne, že hodnotenia sú najstráženejším tajomstvom v brandži. Oficiálne stanovisko diplomaticky uvádza, že „záťažový test celkovo ukázal, že hoci banky majú zavedené rámce reakcie a obnovy, zostáva priestor na zlepšenie“. Výsledky testov sa zohľadnia aj pri hodnotení rizikových profilov bánk.
Najčastejšie zistenia však odhalili silnú závislosť od služieb tretích strán, nedostatok end-to-end testovania a problémy s centralizovanými inventármi procesov a aktív. Tieto faktory by mohli potenciálne viesť k reálnym incidentom, ak ich banky správne neošetria.
Vitajte v klube
V klube ofenzívnej bezpečnosti už budú nielen banky, ale aj všetci účastníci finančného trhu, ako sú investičné spoločnosti, poisťovne, zaisťovne, sprostredkovatelia, poskytovatelia kryptoaktív aj cloudových služieb. Od budúceho roku ich čakajú špecifické a normatívne požiadavky, ohlásené pod skratkou DORA, čiže Digital Operational Resilience Act.
Nariadenie DORA bude v platnosti od 17. januára 2025 a testovanie sa stane pre finančné subjekty povinnosťou.
Budovanie kybernetickej odolnosti si bude vyžadovať ďalšie náklady a tie v prípade väčších inštitúcií nebudú najnižšie. Do sumy sa musí zmestiť kontinuálna mesačná služba na automatizované testovanie odolnosti organizácie, simulácie útokov a narušenia bezpečnosti, tréning a budovanie red teamu. Takže ročný náklad pre inštitúciu s tisíckou aktívnych používateľov sa môže vyšplhať na pár stovák tisíc eur.
Odolnosť bude taká silná ako jej najslabší článok
Polročný záťažový test je náročný na procesy aj personálne kapacity. Ale Únia hovorí – toto v kybernetickej bezpečnosti nestačí, musíte cvičiť aj viac, aj spolu. A ukazuje na ďalší zraniteľný a kritický prvok, kde počet a intenzita kyberútokov stúpajú od roku 2017.
V energetickom sektore bolo totiž v minulom roku globálne hlásených viac ako dvesto kybernetických incidentov, pričom viac ako polovica z nich sa zamerala na Európu.
Energetika čelí vydieraniu, špionáži, ohrozuje ju rozvetvený dodávateľský reťazec či kyberútoky na priemyselné kontrolné systémy a je zraniteľná aj cez zastarané a neaktualizované systémy. Ak budú deštruktívne útoky zamerané na destabilizáciu európskej ekonomiky pribúdať, spôsobí to domino efekt.
Správa o investíciách do sietí a informačnej bezpečnosti uvádza, že 32 % operátorov v energetickom sektore nemá kritické procesy prevádzkových technológií monitorované strediskom bezpečnostných operácií (Security Operations Center – SOC).
Pre 52 percent operátorov základných služieb v energetickom sektore pokrýva prevádzkové a informačné technológie jediný SOC. Správu vypracovala na základe údajov poskytovateľov základných služieb Európska agentúra pre kybernetickú bezpečnosť ENISA.
Mega odolnosť potrebuje mega cvičenie
Dvojdňové cvičenie Cyber Europe koncom júna simulovalo sériu rozsiahlych kybernetických incidentov. Spojili sa tu desiatky národných a európskych agentúr pre kybernetickú bezpečnosť, inštitúcie a viac ako tisícka odborníkov.
Scenár predpokladal zapojenie zahraničnej moci, politické napätie a útoky na energetický sektor vo všetkých členských štátoch Únie.
→ Skupiny pokročilých hrozieb APT (Advanced Persistent Threat) a iné kriminálne skupiny spolupracujú a útočia na kritickú infraštruktúru. Sekundárne ciele zahŕňajú aj digitálnu infraštruktúru a verejnú správu, aby sa zvýšil tlak a vyvolal chaos. Aktivity podporuje silná propaganda proti EÚ.
Nebolo to jednoduché
Pravdou vo fiktívnom scenári je však fakt, že Únia sa výrazne spolieha na svoju energetickú infraštruktúru a je kľúčom na udržanie hospodárskeho rastu a stability.
→ Aby sa po incidente zabránilo paralýze európskej ekonomiky a destabilizácii politickej scény, štáty aj zainteresované strany sa musia koordinovať. Výzvou je zvládnuť nielen technológie a procesy, ale aj psychickú záťaž, internú a externú komunikáciu a všetko to robiť extrémne rýchlo a s víziou ďalších krokov.
Výsledky cvičenia? Opäť dôverná informácia.
Ponaučenie je jasné
Verejný aj súkromný sektor čakajú povinné testy, tréningy a nástup ofenzívnej bezpečnosti na výslnie. Aktuálna európska legislatíva a novelizácia slovenského zákona posúvajú tieto praktiky v kybernetickej bezpečnosti na úroveň povinností.
©2025 ALISON Všetky práva vyhradené.