Cisco vyvrací mýty o (ne)bezpečnosti malých a středních podniků

15. 6. 2020. (redaktor: František Doupal, zdroj: Cisco)
Společnost Cisco publikovala studii Big Security in a Small Business World, která se zabývá tím, jak malé a střední podniky při svém rozvoji aplikují kybernetickou bezpečnost. Přitom zkoumá a vyvrací deset mýtů okolo kybernetické bezpečnosti těchto firem. Ty si totiž oproti obecným předpokladům vedou velmi dobře.

Malé a střední podniky po celém světě se v současnosti potýkají s nebývalými provozními problémy. Na co by se měly vzhledem k okolnostem z hlediska zachování bezpečnosti zaměřit? Jak ochránit podnik před útočníky, kteří chtějí situace využít, když nemají zdroje srovnatelné s velkými korporacemi? Bezpečnostní průmysl někdy bývá na malé a střední podniky neprávem tvrdý a nespravedlivý, pokud jde o to, jaký důraz mezi svými prioritami kladou na kybernetickou bezpečnost. Studie založená na průzkumu mezi téměř 500 malými a středními podniky ukazuje, že berou bezpečnost velmi vážně, ale také, že jejich inovativní přístup k bezpečnosti přináší ovoce. 

Mýtus 1: Pouze velké organizace jsou pod drobnohledem

V loňském roce se menší organizace potýkaly se stejnou úrovní veřejné kontroly jako jejich větší protějšky. Minulý rok dobrovolně zveřejnilo 59 % malých a středních podniků své nejvýznamnější bezpečnostní incidenty. U větších podniků to bylo téměř stejně, konkrétně 62 %. Dotazy od zákazníků na to, jak nakládají s jejich údaji obdrželo 74 % malých a středních podniků – ve srovnání se 77 % větších organizací.

Mýtus 2: Větší podniky méně trpí prostoji a rychleji se z útoků zotavují

Data společnosti Cisco naznačují, že existuje jen malý rozdíl v množství prostojů, které zaznamenaly malé a střední podniky v porovnání s těmi většími. Více než osmi hodinám výpadků kvůli svému nejzávažnějšímu narušení bezpečnosti čelilo 24 % malých a středních podniků ve srovnání s 31 % velkých organizací.

Mýtus 3: Malé a střední podniky nemají lidi, kteří by se starali o bezpečnost

I když nedostatek personálu může být případ těch nejmenších, tak i v SMB pracují lidé dedikovaní na zajištění bezpečnosti. Méně než procento malých a středních podniků uvedlo, že nemá nikoho, kdo by se o tuto agendu staral.

Mýtus 4: Velké firmy mají aktualizovanější infrastrukturu

Toto je pravda jen částečně. Když byly malé a střední firmy požádány o popis své infrastruktury a jejich strategie pro rozvoj bezpečnostních technologií, téměř všechny (94 %) uvedly, že se snaží udržovat svoji infrastrukturu aktuální. Že jejich infrastruktura je velmi aktuální, uvádí dokonce 42 % ve srovnání se 54 % velkých podniků.

Mýtus 5: Malé a střední podniky čelí odlišným hrozbám než velké podniky

Opět jen částečná pravda. Ačkoliv taktika je srovnatelná, samotní aktéři útoků se liší. Studie porovnala typy útoků, které firmy zaznamenaly v uplynulém roce. Mnoho z nich, například vyděračský software, mezi cíli nerozlišuje a ohrožuje podniky bez ohledu na jejich velikost.

Mýtus 6: Threat hunting je doménou velkých firem.

Zaměstnance, který má v popisu práce provádět threat hunting, má 72 % malých a středních podniků ve srovnání se 76 % velkých organizací.

Mýtus 7: Menší podniky neprovádí bezpečnostní cvičení a testy plánů reakce na incidenty

Pravidelná cvičení udržují tým ve formě. A platí to i pro malé firmy. Pouze procento z nich nikdy neprovádělo testy plánů reakce na incidenty. Cvičení každých šest měsíců provádí 45 % malých a středních podniků, u velkých organizací je to 49 %.

Mýtus 8: Vedení malých a středních podniků nebere bezpečnost a ochranu dat vážně

Tři otázky v průzkumu byly zaměřené na ochranu osobních údajů, informovanost o kybernetické bezpečnosti a na postoj vedení firmy k bezpečnosti. Odpovědi na ně dokazují, že tento mýtus je mylný. Vedení firem je informované a angažuje se. Více než dvě třetiny malých a středních podniků napříč všemi průmyslovými odvětvími uvedly, že jejich vedení považuje bezpečnost za vysokou prioritu. V 84 % malých podniků je školení zaměřené na povědomí o kybernetické bezpečnosti povinné. To je jen o čtyři procentní body méně než ve velkých firmách.

Mýtus 9: Menší podniky neopravují pravidelně mezery v bezpečnosti

Velké i malé firmy jsou na tom z pohledu pravidelnosti záplatování podobně. Denně nebo týdně je provádí 58 %, respektive 56 % z nich.

Mýtus 10: Menší podniky nemohou měřit účinnost svých bezpečnostních opatření

Úctyhodných 86 % malých a středních podniků uvádí, že mají jasné metriky pro hodnocení účinnosti svého bezpečnostního programu ve srovnání s 90 % v případě větších organizací.

Studie se také zabývala tím, jakým směrem by se měly malé a střední podniky vydat dále. Vychází z ní, že by se měly zaměřit na zjednodušování svého bezpečnostního ekosystému. Studie prokázala, že vyšší počet dodavatelů se u dotázaných malých a středních podniků jednoznačně projevil v delší uváděné době výpadků v důsledku závažného narušení bezpečnosti. Ta se pohybovala od čtyř hodin v průměru v případě jednoho dodavatele po více než 17 hodin v průměru v případě 50 a více dodavatelů. Tato data přesvědčivě podporují trend konsolidace dodavatelů.

Naléhavější problém pro mnohé firmy ale je, jak se přizpůsobit práci na dálku. S ohledem na novou realitu je zapotřebí strategie, jak zabezpečit zaměstnance pracující mimo firmu a jejich zařízení a zároveň zachovat flexibilitu a responzivitu typickou pro malé a střední podniky. V závěru nabízí studie doporučení, jak se s těmito otázkami vypořádat v kontextu toho, co víme o kybernetické bezpečnosti v malých a středních podnicích.

Štítky: 
Bezpečnost, SMB, Cisco systems
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Pět největších trendů v oblasti SASE pro rok 2024

19. 4. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Situace na poli kyberbezpečnosti je komplikovaná. Společnosti využívají tzv. hybridní pracovní sílu, desítky aplikací a třeba i řadu IoT zařízení. Jedním z řešení možných otázek může být přístup SASE (Secure Access Service Edge), na který se v následujícím komentáři zaměřila společnost Fortinet. Čtěte více

Novinky v MSP platformě Acronis: AI skriptování, integrace s AWS a monitoring EDR z partnerské úrovně

18. 4. 2024. (redaktor: František Doupal, zdroj: Acronis)
Acronis přidal do své MSP platformy Acronis Cyber Protect Cloud řadu nových funkcí, včetně AI skriptování, monitoringu EDR z partnerské úrovně, a integrace s AWS a MS Entra, které dále zvyšují její hodnotu pro MSP poskytovatele. Díky aktuálním inovacím mohou poskytovatelé řízených služeb efektivněji spravovat a chránit před kybernetickými hrozbami IT infrastruktury svých zákazníků. Čtěte více

Únik dat odhalil pozadí čínského kyberšpionážní programu

17. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
Únik dat z čínské bezpečnostní společnosti I-Soon částečně odhalil vnitřní fungování čínského národního hackerského programu. Společnost napojená na čínskou vládu aktivně útočila na vlády dalších zemí, ale i na domácí cíle. Ze získaných informací například vyplývá, že společnost byla financována především ze státních peněz. Čtěte více

U 90 % loňských útoků kyberzločinci zneužili protokol RDP

16. 4. 2024. (redaktor: František Doupal, zdroj: Sophos)
Studie společnosti It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024+ analyzující přes 150 případů reakce na incidenty řešených týmem Sophos X-Ops Incident Response v roce 2023 zjistila, že kyberzločinci zneužívají protokol vzdálené plochy (Remote Desktop Protocol – RDP), běžnou metodu pro navázání vzdáleného přístupu k systémům Windows, hned v 90 % útoků. Čtěte více