Kybernetická bezpečnosť je len pre bohatých.

🛑 Kybernetická bezpečnosť je len pre bohatých.

V kybernetickej bezpečnosti sa často stretávam s názorom, že bezpečnosť je zbytočný luxus.
Akoby si ju mohli dovoliť len veľké korporácie s obrovskými rozpočtami.

💡Realita?

Útočníkom je úplne jedno, či máte 10 alebo 10 000 zamestnancov. Ak máte dáta, systémy, ste cieľ.

❌Často počúvam:
„Nemáme na to rozpočet.“, „Kto by už len na mňa útočil.", „Veď fungujeme rovnako 15 rokov a nič sa nám nestalo."

A potom príde incident a firma zrazu rieši, či vôbec prežije.

❌ Vidíme to v praxi často:
🔹Firma fungovala roky bez akéhokoľvek zabezpečenia. Jeden phishingový e-mail a 50 000€ bolo preč – podvodník poslal falošnú faktúru.
🔹IT prostredie bolo nainštalované pred 10 rokmi spôsobom áno ďalej ďalej.

Od vtedy sa len kúri a svieti, veď to ide. Prišiel ransomware, prišli o všetko, už nekúria ani nesvietia.
Podobných príkladov je kopec.

✅ Stačilo pritom málo: možno MFA, EDR systém, aplikácia záplat, školenie zamestnancov a aplikovaných pár procesov bezpečnosti.

🔑 Kde začať? Od základnej hygieny.

Ak firma nemá základnú bezpečnostnú hygienu, nemá šancu.

Najprv treba identifikovať riziká a až potom riešiť technológie.
🔹 Zmapujte, čo je najviac ohrozené – Kde máte citlivé dáta? Kto k nim má prístup? Sú správne chránené?
🔹 Urobte si prehľad o externých službách – Sú vaše cloudové systémy správne nastavené? Nepoužívate rovnaké heslá naprieč účtami?
🔹 Zabezpečte kritické systémy – E-maily, účtovníctvo, ERP.
🔹 Overte, čo je viditeľné zvonku – Nechajte si skontrolovať, aké služby sú prístupné cez internet. Často sú to VPN bez MFA, nezabezpečené servery, staré webové aplikácie.
🔹 Porovnajte nastavenie svojich kritických systémov s bezpečnostnými štandardami, zistite čo sa dá zlepšiť.

🔧 Praktické kroky bez obrovského rozpočtu:
🔹Viacfaktorová autentifikácia (MFA).
🔹Pravidelné aktualizácie.
🔹Segmentácia siete.
🔹Okrem toho že mám firewall, tak ho mám aj aktualizovaný a mám udržiavané ACL.
🔹Zálohovanie.
🔹Segmentácia prístupov – Prečo by mal mať účtovník rovnaké prístupy ako ITečkár?
🔹EDR systém na každom exponovanom operačnom systéme.
🔹Bez školení sú ľudia najväčšia zraniteľnosť.

💡 Bezpečnosť nie je drahá. Drahý je až incident.

Ako do tohto sa má „zavádzať kybernetická bezpečnosť“?

⚠️ Pravda je jednoduchá:

• Kybernetická bezpečnosť nevzniká bez stabilného, dobre riadeného IT.
• Nemôžeme chrániť niečo, čo ani nevieme, že máme.
• Nemôžeme zabezpečiť systémy, ktoré padajú samé od seba.
• Nemôžeme riadiť riziká, ak chýba kapacita aj na základnú prevádzku IT.

A hlavne:

Žiadny CISO ani bezpečnostný konzultant neurobí zázrak, ak neexistuje zdravé, zodpovedne riadené IT.

Čo s tým? Ako postaviť bezpečnosť na nohy s nefunkčným IT zaspatým v roku 2003?

Aké máte skúsenosti u Vás?