Devět z deseti firem v Česku má nedostatky v zabezpečení proti kyberútokům a hrozbám na internetu. Vyplývá to ze studie poradenské společnosti BDO, kterou prováděla mezi 200 firmami se sídlem v Česku. Oproti loňskému roku se jedná o 32% nárůst. Firmy mají nejčastěji problémy s příliš jednoduchými hesly a absencí dvoufázového ověřování pro přihlášení. Více než polovina také své interní systémy proti hrozbám netestuje.
Dvě z pěti firem v Česku nepoužívají vícefaktorové ověřování pro připojení do firemní sítě. Polovina firem pak při přihlašování do systému nepožaduje silná hesla, která jsou pro útočníky hůře prolomitelná.
„Práce s hesly představuje pro firmy jedno z největších bezpečnostních rizik. Téměř každá třetí firma (30 %) umožňuje uživatelům používat beze změny stejné heslo do více aplikací a programů. Firemní sítě jsou tak nedostatečně chráněny a riziko prolomení do systému se zvyšuje. Pro úspěšný ransomware útok přitom stačí jeden úspěšný pokus a firma může i přijít o většinu dat, která dostane možná zpět až po případném zaplacení vysokého výkupného,“ varuje expert na kyberbezpečnost ze společnosti BDO Martin Hořický.
Důležité je také používat vícefaktorové ověření při připojení z internetu do interní počítačové sítě. To aktuálně používá pouze o něco více než polovina firem.
Špatně zabezpečený vzdálený přístup má čtvrtina firem v ČR
Firmy se potýkají také s nedostatečným zabezpečením vzdáleného přístupu do firemních systémů. Odlišná pravidla a postupy pro jeho zřizování chybí podle BDO u skoro čtvrtiny z nich.
„Ani po roce práce z domova nemá 26 % firem stanovena jasná pravidla pro vzdálený přístup do interních systémů. Zaměstnanci, kteří pracují z domova, často ze svých soukromých počítačů, ale představují značné bezpečnostní riziko. Internetové sítě, přes které se pracovníci přihlašují do firemních systémů, mají totiž nižší stupeň zabezpečení, které útočníci snáze prolomí. Firmy by měly školit své zaměstnance, aby nepoužívali stejná hesla například do soukromého či firemního e-mailu. Důležité je také používat bezpečné aplikace pro jejich správu,“ upřesňuje Martin Hořický.
Studie zjistila také nedostatky v oprávněních uživatelů pro přihlašování do firemních sítí. Jejich pravidelné kontroly neprovádí třetina firem v Česku. V další třetině přístupy zaměstnanců do sítě sice kontrolují, ale nedostatečně a s velkými prodlevami. Změny uživatelských účtů neprobíhají u každé osmé firmy. Podle Martina Hořického se firma, která pravidelně nekontroluje oprávnění uživatelů pro přístup do firemní sítě vystavuje riziku úniku dat, například ze strany bývalých zaměstnanců. V takovém případě se nemusí jednat o klasický kybernetický útok, ale pouze o nedostatečné zabezpečení, které může vést k vynesení cenných dat. Hořický doporučuje, aby kontroly oprávnění k přístupu do firemních systémů probíhaly automaticky minimálně jednou za půl roku.