Evropská komise oznámila nové iniciativy na podporu kybernetické odolnosti a představila legislativu zaměřenou na posílení kyberbezpečnosti napříč Evropskou unií. Přesto však podle nejnovějších údajů Business Digital Index zůstává zajištění bezpečnosti systémů proti kybernetickým útokům velkou výzvou.
Analýza BDI společnosti Cybernews ukazuje, že 67% hodnocených organizací získalo známku D nebo F – tedy nejnižší bezpečnostní hodnocení, které index uděluje. Všechny EU instituce zažily úniky dat a 85% zaměstnanců v institucích s nejnižším hodnocením opakovaně používalo hesla, která už byla kompromitována.
Navzdory tomu, že tyto instituce spravují některá z nejcitlivějších politických, ekonomických a občanských dat v Evropě, téměř všechny čelí zásadním kybernetickým hrozbám.
Výzkumný tým Business Digital Index analyzoval webové stránky 75 vládních institucí EU a hodnotil jejich kyberbezpečnostní úroveň. Podle reportu indexu, který hodnotí organizace po celém světě na základě jejich online bezpečnostních opatření, získalo 33% z 75 institucí známku C, což představuje podprůměrnou úroveň bezpečnosti. Na 32% institucí bylo zařazeno do kategorie vysokého rizika s hodnocením D a 35% obdrželo F, což znamená kritické riziko. Žádná z institucí nedosáhla na hodnocení A nebo B.
Průměrné skóre mezi institucemi činilo 71 ze 100. Podle metodiky indexu znamená skóre v rozmezí 70–79 vysoké riziko, což ukazuje, že i přes některá základní bezpečnostní opatření zůstávají organizace výrazně zranitelné vůči kybernetickým útokům.
Současná úroveň kyberbezpečnosti institucí EU je znepokojivá. Špatné výsledky by měly být varováním a podnětem k okamžitému zlepšení systémů. Čím déle zranitelnosti přetrvávají, tím větší je riziko, že budou citlivá data institucí a jednotlivců ukradena, zveřejněna nebo zneužita.
Skoro polovina všech subjektů s hodnocením F nedávno zažila únik dat
Instituce s nejnižším hodnocením kyberbezpečnosti jsou postiženy nejvíce. Celkem 96% institucí s hodnocením F a 92% s D zažilo alespoň jeden únik dat, zatímco u institucí s hodnocením C to bylo jen 36%. Téměř polovina (46%) všech subjektů s hodnocením F v souboru dat byla nedávno zasažena únikem dat. U organizací s hodnocením D to bylo 17%. U institucí s hodnocením C nebyl zaznamenán žádný aktuální únik – což jasně ukazuje, že slabá bezpečnostní hygiena má reálné důsledky.
Výrazným problémem je opakované používání kompromitovaných hesel. U institucí s hodnocením F bylo zjištěno, že 85% zaměstnanců používá opakovaně přihlašovací údaje, které už byly zveřejněny při předchozích únicích. U D-institucí je to 71%, zatímco u C-institucí pouze 8%. To naznačuje, že opakované úniky u institucí s nízkým hodnocením nejsou jen možné, ale přímo předvídatelné důsledky dlouhodobého zanedbávání.
Chcete dostávat do mailu týdenní přehled článků z Computertrends? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Tato zjištění odpovídají i známým incidentům z praxe. V roce 2024 Evropský parlament oznámil únik dat z náborové platformy PEOPLE, který odhalil osobní údaje více než 8 000 současných i bývalých zaměstnanců. Únik zůstal několik měsíců bez povšimnutí a kompromitoval dokumenty jako občanské průkazy, povolení k pobytu nebo oddací listy – tedy údaje, které mohou vést ke krádeži identity nebo vydírání.
Opakované používání hesel po úniku dat zvyšuje riziko pro osobní i organizační bezpečnost. Výzkum ukazuje, že tento problém je přetrvávající, ale zároveň preventabilní. Je nutné zaměstnance vzdělávat v oblasti heslové hygieny a důsledků opakovaného používání stejných údajů.
Instituce s nízkým skóre čelí rozšířeným technickým zranitelnostem
Data ukazují přímou souvislost mezi skóre kyberbezpečnosti a kritickými slabinami na úrovni systémů. Problémy s konfigurací SSL/TLS byly zjištěny u 100% institucí s hodnocením F, 92% s D a 100% s C. Tyto zranitelnosti vystavují systémy útokům typu man-in-the-middle a oslabují bezpečnost komunikace.
Zranitelnosti v hostingu byly stejně rozšířené. 92% institucí s hodnocením D a F mělo nezabezpečené hostingové prostředí, přičemž problém přetrvával i u všech institucí s hodnocením C. Domény umožňující e-mailový spoofing byly nalezeny u všech C-institucí a u 96% D a F institucí, což umožňuje potenciálně nebezpečné pokusy o vydávání se za oficiální autority.
Exponované firemní přihlašovací údaje byly objeveny v 96% institucí s hodnocením F a 83% s D. Naopak jen 12% C-institucí mělo tento problém, což ukazuje rozdíl v základní bezpečnostní hygieně mezi institucemi s nižším a středním hodnocením. Polovina institucí s hodnocením F navíc vykazovala známky vysoce rizikových webových zranitelností.
Securitytrends si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
PŘEDPLATNÉ
ČLÁNKY DO MAILU