Keď ide o ochranu finančných informácií, šifrovanie vyniká ako jedno z najdôležitejších dostupných nástrojov. Finančné inštitúcie výrazne spoliehajú na štandardné šifrovacie protokoly, ako je AES-256, aby ochránili citlivé údaje pred neželaným prístupom počas ich prenosu. Aj štatistiky vypovedajú výstižný príbeh. Podľa najnovšej správy o únikoch údajov od spoločnosti Verizon by sa takmer 60 % všetkých únikov údajov dalo zastaviť, keby bolo správne implementované šifrovanie. Pre každého, kto pracuje s finančnými systémami, dáva zmysel naučiť sa, ako rôzne prístupy k šifrovaniu fungujú. Symetrické šifrovanie zvláda veľké objemy údajov rýchlo, čo je dôvod, prečo ho banky často používajú na každodenné operácie. Na druhej strane, asymetrické šifrovanie ponúka silnejšiu ochranu, ale za cenu. Transakcie trvajú dlhšie, keď sa používa táto metóda, čo vytvára klasické dilema medzi požiadavkou na maximálnu bezpečnosť a potrebou, aby veci prebiehali dostatočne rýchlo, aby zákazníci nezískali pocit frustrácie.
Zavedenie viacvrstvových kontrol prístupu má veľký význam pri zabezpečovaní pred neoprávneným vstupom a ochrane finančných údajov. Základnou myšlienkou je kombinácia rôznych overení a autorizácií, aby sme vedeli, kto daná osoba skutočne je, skôr než jej povolíme prístup k citlivým informáciám. Vezmime si napríklad kontrolu prístupu založenú na rolách. Pri RBAC majú osoby prístup iba k tomu, čo potrebujú na základe svojej pracovnej pozície v rámci spoločnosti. Tým sa zníži riziko neúmyselného alebo úmyselného zneužitia, keďže ľudia nemajú prístup, ktorý nepotrebujú. Spomenuli sme aj pravidelné kontroly toho, kto má aké oprávnenia. Tieto audity odhalia problémy, ako je napríklad neoprávnené zvýšenie oprávnení, kedy niekto získava výrazne viac prístupov, než by mal. Už sme toho videli veľa, keď juniorskí zamestnanci nakoniec majú oprávnenia na úrovni administrátora jednoducho preto, že nikto neposlúchol kontrolu oprávnení. Pravidelné audity nie sú len papierovou záležitosťou – sú to jeden z najlepších spôsobov, ako udržať systémy v bezpečí a zároveň zabezpečiť, aby každý videl iba to, čo je nevyhnutné na vykonávanie svojej práce.
Keďže v súčasnosti veľa ľudí nakupuje online, detekcia podvodov v reálnom čase sa stala nevyhnutnou podmienkou na ochranu peňazí počas transakcií. Ak sa podvod objaví hneď, banky a obchodníci môžu znehotaviť páchateľov, skôr ako spôsobia väčšie straty. Výskum ukazuje, že strojové učenie celkom dobre spoznáva podozrivé vzorce, ktoré môžu naznačovať podvod. To znamená, že menej legitímnych transakcií je omylom označených ako podozrivých, a zároveň sa zachytí väčšina skutočných prípadov podvodu. Problém však nastáva pri prepojení novej technológie na detekciu podvodov so staršími systémami platieb, ktoré boli vyvinuté pred desiatkami rokov. Mnohé spoločnosti zápasia práve s touto otázkou kompatibility. Našťastie však novšie prístupy, ako napríklad použitie API na prepojenie rôznych systémov a vývoj softvéru pomocou menších a vzájomne zameniteľných častí, pomáhajú tento problém riešiť. Tieto metódy umožňujú firmám aktualizovať svoje zabezpečenie bez nutnosti úplnej výmeny existujúcej infraštruktúry, čo v dlhodobom horizonte ušetrí čas aj peniaze.
Udržiavanie správneho nastavenia pracovných stanic a serverov je stále kľúčové pre ochranu finančných údajov pred neoprávneným prístupom. Finančné inštitúcie by mali deaktivovať nepoužívané služby bežiace na pozadí, pravidelne aktualizovať softvér pomocou záplat a implementovať bezpečnostné štandardy špecificky navrhnuté pre bankové prostredia. Reálne incidenty ukazujú, ako môžu slabé konfigurácie vytvoriť vážne bezpečnostné diery. Jeden známy incident sa týkal banky, ktorej nastavenie servera bolo ponechané otvorené, čo umožnilo hackerom ukradnúť dôverné zákaznícke záznamy v hodnote miliónov. Takéto chyby zdôrazňujú, prečo sú prísne bezpečnostné opatrenia nevyhnutné. Ak organizácie správne nastavia konfigurácie už od prvého dňa, chránia tým nie len jednotlivé stroje, ale posilnia celkovú kybernetickú bezpečnosť všetkých svojich operácií.
Rámec kybernetickej bezpečnosti NIST slúži ako nevyhnutná cestovná mapa pre spoločnosti, ktoré sa snažia identifikovať, zvládnuť a znížiť kybernetické hrozby. Ak je správne implementovaný v rámci organizácie, posilňuje celkovú odolnosť voči útokom, čo je pre CFO-ov, ktorí sa denne venujú riadeniu rizík, veľmi dôležité. Štrukturovaný prístup k bezpečnosti pomáha chrániť citlivé finančné informácie pred novými druhmi hrozieb, ktoré sa neustále objavujú. Samozrejme, implementácia tohto rámca nie je jednoduchá. Mnohé organizácie majú problémy s alokáciou dostatočných zdrojov a pochopením technických podrobností. Tieto prekážky je možné často prekonať prostredníctvom vhodných školení personálu a rozvážnych dlhodobých stratégií prispôsobených konkrétnym potrebám jednotlivých podnikov.
Získanie správneho ovládania GDPR a pravidiel CCPA je veľmi dôležité, pokiaľ ide o správne riadenie údajov a ich zabezpečenie. Tieto zákony vyžadujú, aby spoločnosti uplatňovali dosť prísne opatrenia na ochranu osobných údajov a ich nedodržanie môže viesť k vážnym peňažným sankciám. Rozsah týchto predpisov presahuje len miestne obchody, ale ovplyvňujú aj spôsob, akým podniky pôsobia cez hranice a spracúvajú prenosy údajov medzi krajinami, čo niekedy spôsobuje, že dodržiavanie predpisov je skutočným problémom. Pre hlavných finančných úradníkov by dodržiavanie týchto pravidiel malo byť na prvom mieste v ich zozname priorít, pretože byť potrestaný pokutami by vážne poškodilo konečné výsledky. Okrem toho, udržanie dobrej povesti na medzinárodných trhoch závisí vo veľkej miere od toho, či zákazníkom a partnerom ukážeme, že spoločnosť berie súkromie údajov vážne.
Komisia SEC má prísne pravidlá o tom, kedy musia spoločnosti informovať investorov o porušení kybernetickej bezpečnosti, čo ukazuje, ako dôležité je, aby podniky zostali otvorené a úprimné vo svojej finančnej situácii. Pre finančných riaditeľov (CFO) získanie znalostí týchto predpisov nie je len formálnou záležitosťou - je to súčasťou ich práce udržať dôveru akcionárov v stabilitu spoločnosti. Ak sa pozrieme na posledné roky, jasne vidno zvýšený počet sankcií od SEC voči firmám, ktoré nedokázali správne zverejniť problémy s bezpečnosťou. Stačí sa pozrieť na minulý štvrťrok, kedy tri veľké korporácie zaplatili pokuty kvôli oneskorenej správe o únikoch údajov. Múdre spoločnosti sa pripravujú vopred tým, že vytvárajú pevné reakčné stratégie. To zahŕňa jasné protokoly na rýchle identifikovanie incidentov, upozornenie príslušných strán do hodín a nie dní, a transparentnú komunikáciu počas celého procesu. Ak sa takéto situácie zvládnu správne, nemusia nutne zničiť povest alebo finančný zisk spoločnosti.
Správa rizík dodávateľov je kľúčová pre ochranu firemných údajov v rámci zložitých dodávateľských reťazcov. Videli sme viacero prípadov, keď porušenia zabezpečenia tretími stranami spôsobili vážne problémy podnikom, čo ukazuje, prečo je dôkladné overovanie také dôležité. Spoločnosti často využívajú nástroje ako Security Intelligence Gathering frameworky (rámce na získavanie bezpečnostnej inteligencie) spolu s pravidelnými kontrolami tretích strán, aby posúdili, ako bezpeční sú ich partneri v skutočnosti. Tieto hodnotenia pomáhajú predchádzať situáciám, kedy by externí spolupracovníci mohli ohroziť dôverné informácie. Pre finančných lídrov, ktorí sa sústreďujú na výsledok, je investovanie času do dôkladného overovania dodávateľov viac než len dobrým zvykom – ide o nevyhnutnú ochranu pred potenciálnymi hrozbami skrývajúcimi sa v dodávateľských vzťahoch. Koniec koncov, nikto nechce, aby povest' jeho spoločnosti utrpela škody kvôli tomu, že niektorý subdodávateľ mal nedostatočné kybernetické bezpečnostné návyky.
Rast AI technológií úplne zmenil spôsob, akým detekujeme hrozby vo vnútri sietí, čím sa otvárajú úplne nové možnosti pre kybernetickú bezpečnosť. Spoločnosti teraz využívajú strojové učenie a rôzne AI systémy na to, aby zachytávali problémy ešte skôr, než sa stanú väčšími útokmi. Niektoré štúdie ukazujú, že tieto AI prístupy dokážu skutočne rozpoznať hrozby o 80 % efektívnejšie než tradičné metódy, čo poskytuje bezpečnostným tímom skutočnú výhodu pri ochrane svojich systémov. Pri zavádzaní AI do existujúcich bezpečnostných systémov závisí dosiahnutie dobrých výsledkov od toho, aby všetko fungovalo bezproblémovo spoločne. To znamená, že je potrebné posúdiť, ako dobre jednotlivé AI nástroje zapadajú do už existujúcej infraštruktúry a zároveň ich prispôsobiť konkrétnym potrebám podnikov. Mnohé organizácie zistia, že investovanie času do pochopenia svojich jedinečných požiadaviek vedie k oveľa lepším výsledkom v budúcnosti.
Blockchainová technológia prináša niečo úplne nové, keď ide o zachovanie poctivosti a otvorenosti transakcií. To, čo ju odlišuje, je skutočnosť, že keď sa raz informácia zaznamená, už ju nikto nemôže zmeniť, čo vytvára automaticky fungujúcu auditnú stopu. Táto vlastnosť je pre firmy, ktoré pracujú s prenosom citlivých údajov, veľmi užitočná. IBM je dobrým príkladom – využíva blockchain vo svojich audítach a dosiahla tak lepšie výsledky z hľadiska bezpečnosti aj presnosti údajov. Stále však existujú prekážky. Mnoho ľudí si myslí, že blockchain nie je škálovateľný alebo že je príliš zložitý na pochopenie. Prekonanie týchto omylov by výrazne pomohlo pri ukazovaní toho, čo blockchain môže auditu ponúknuť. Potrebujeme viac osvety o tom, ako v skutočnosti funguje, aj ďalší vývoj technológie samotnej, aby pre všetkých zúčastnených prebiehal proces auditu hladšie.
Architektúra bez implicitnej dôvery sa ukázala ako nevyhnutná pre zabezpečenie hybridných pracovísk, najmä od doby, keď spoločnosti začali vychádzať z karanténnych opatrení počas pandémie. Základná myšlienka je jednoduchá, ale účinná: overovať všetko na každom prístupovom bode namiesto predpokladu, že interné siete sú bezpečné zóny. Spoločnosti, ktoré tento prístup prijali, dosiahli pôsobivé výsledky, a to podľa nedávnych štúdií s približne o polovicu nižším počtom bezpečnostných incidentov v porovnaní s tými, ktoré stále používajú tradičné metódy. Uvedenie modelu bez implicitnej dôvery do praxe znamená výber vhodných technologických nástrojov. Systémy na správu identít a overovanie s viacerými faktormi sú pre väčšinu implementácií nevyhnutné. Čo funguje najlepšie, však závisí od konkrétneho druhu podnikania. Výrobná továreň bude potrebovať iné opatrenia na ochranu ako poskytovateľ online služieb. Aby to fungovalo správne, je potrebné si vziať čas a dôkladne presne mapovať, kde v organizácii prúdi dôverné údaje, skôr než začnete budovať skutočné obranné mechanizmy proti kyberútokom.
Kvantové počítanie sa rýchlo posúva vpred a to znamená, že naše súčasné metódy šifrovania sú teraz v ohrození. Musíme skutočne začať pracovať na riešeniach, ktoré odolajú kvantovým útokom. Odborníci na kybernetickú bezpečnosť nás už roky varujú, že tieto kvantové hrozby by mohli byť skutočným problémom už za desať rokov. Príprava na to, čo príde, vyžaduje sledovanie rôznych výskumných projektov, ktoré sa momentálne uskutočňujú po celom svete. Vezmite si napríklad Národný inštitút pre štandardy a technológiu, ktorý už roky vedie vývoj nových šifrovacích štandardov, ktoré budú chrániť dôležité informácie, aj keď kvantové počítače budú plne funkčné. Spoločnosti, ktoré chcú zostať v poprede, by si určite mali začať premýšľať, ako budú nakladať so svojimi šifrovacími systémami v budúcnosti. Veď nikto nechce raz ráno prebudiť a zistiť, že ich údaje už nie sú bezpečné, pretože niekto postavil lepší počítač.
Pre CFO-ov, ktorí sa vyznajú v zložitostiach moderného podnikania, poistné proti kybernetickým hrozbám nie je len ďalšou položkou v rozpočte, ale nevyhnutnou súčasťou ich stratégie riadenia rizík. Porušenie údajovej bezpečnosti je dnes drahá záležitosť, ktorá spoločnostiam často stojí niekoľko miliónov dolárov. Vezmite si napríklad údaje od spoločnosti IBM z roku 2021, ktoré uvádzajú priemerné náklady na jednu bezpečnostnú dieru vo výške približne 4,24 milióna dolárov. Kybernetické poistenie pomáha pokryť tieto neočakávané náklady, ako napríklad honoráre právnikov, opravu poškodených systémov a náklady na sankcie, ktoré vzniknú po útoku. Pri rozhodovaní o výške výdavkov na takéto poistenie musia finanční riaditelia porovnať jeho výhody voči iným oblastiam výdavkov na bezpečnosť. Hoci poistenie poskytuje ochranu pred najhoršími scenármi, múdre podniky tiež alokujú prostriedky na prevenciu, aby sa vyhli nutnosti využiť poisťovňu už v zárodku. Nakoniec, zabrániť problémom ešte pred ich vznikom je stále oveľa lepšie než sa snažiť upratať následky dodatočne.
Vzdelávanie zamerané na bezpečnostnú povedomosť skutočne robí rozdiel, keď ide o zmenu správania zamestnancov a zníženie bezpečnostných problémov. Spoločnosti, ktoré tieto programy zavádzajú, často zaznamenajú výrazný pokles incidentov, čo dokazuje, že tieto opatrenia stoja za vynaložené prostriedky. Vezmite si napríklad výskum spoločnosti KnowBe4, ktorý ukázal, že po absolvovaní ich školiaceho programu klesli pokusy o phishing približne o 90 %. Finanční riaditelia, ktorí hodnotia efektívnosť týchto opatrení, by mali preskúmať niekoľko faktorov, vrátane počtu incidentov v priebehu času, rýchlosti reakcie tímov pri vzniku problému a zapojenia zamestnancov počas školení. Ďalší dobrý spôsob, ako merať úspešnosť, je jednoducho sledovať, koľko peňazí sa ušetrí vďaka zníženiu počtu skutočných bezpečnostných porušení v rámci spoločnosti.
Keď ide o reportovanie kybernetických rizík pre dozorné orgány, je dôležité byť v otázkach kybernetickej bezpečnosti úplne otvorený, ak spoločnosti chcú robiť múdre dlhodobé rozhodnutia. Dobré reporty zložité technické problémy premenia na niečo, s čím môžu výkonné pracovníci skutočne pracovať. Niekoľko základných tipov? Používajte jednoduchý jazyk, sústreďte sa najprv na najdôležitejšie riziká a nezabudnite navrhnúť, čo je potrebné urobiť v ďalšom kroku. Vezmite si napríklad Microsoft. Ten je v oblasti reportovania pre dozorné orgány krok vpred, keď vytvára prehľadové dashboards, ktoré presne ukazujú aktuálne bezpečnostné hrozby a spôsob, akým sa na ne reaguje. Takáto transparentnosť pomáha vedeniu konať ešte predtým, ako sa veci pokazia, a navyše preukazuje investorom aj zákazníkom, že spoločnosť berie ochranu svojho majetku vážne. Koniec koncov, nikto nechce investovať do podniku, ktorý skrýva svoje zraniteľnosti.
Keď podniky zahrnú do svojich kybernetických bezpečnostných plánov analytické nástroje pre počítačové monitory, skutočne sa zlepší ich schopnosť včasného rozpoznávania hrozieb. Skúmanie spôsobu, akým používatelia interagujú so systémami, a zaznamenávanie nezvyčajných vzorov na obrazovkách pomáha zachytiť problémy ešte predtým, ako by sa mohli vyvinúť v plnohodnotný útok. Bezpečnostné tímy často využívajú nástroje ako SIEM systémy na zbieranie všetkých údajov o aktivitách na obrazovkách a označenie čohokoľvek podozrivého. Napríklad, niektoré spoločnosti si všimli, že po implementácii analýzy monitorov mohli reagovať na možné prieniky až o 40 % rýchlejšie. Hoci žiadny systém nie je stopercentne spoľahlivý, mnohí manažeri IT uvádzajú, že majú väčšiu dôveru vo svoje obranné mechanizmy, keď môžu doslova vidieť, čo sa v reálnom čase odohráva v rámci svojich sietí.
Prechodová veta na ďalšiu časť: Po preskúmaní viacvrstvového prístupu k operačnej bezpečnosti prostredníctvom vedenia CFO sa pozrime na nové technológie, ktoré predefinujú funkcie počítačovej bezpečnosti, s dôrazom na to, ako umele inteligencia, blockchain a iné inovácie menia celkový pohľad.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
