Když se přístup stává rizikem: Kyberhrozby, kterým čelí profesionální služby

Profesionální služby se staly jedním z pilířů, které podporují organizace při dosahování vyšší efektivity. Spíš než disponovat všemi potřebnými interními zdroji (což může být nákladné), dává často větší smysl si najmout externí pomoc, díky které se dostanou krátkodobá odborná řešení nebo rady k relevantním problémům.

Profesionální služby představují opravdu jedinečný svět, protože mohou být poskytovány ve formě individuálních nabídek, například poradenství, PR a grafický design, nebo škálovány tak, aby zajišťovaly celé obchodní operace, včetně manažerského poradenství, bezpečnostních služeb, náboru a inženýrství.

Avšak jsou ve světě, kde důvěryhodné obchodní vztahy zneužívají kybernetičtí útočníci, používané bezpečnostní postupy dostatečně profesionální, aby ochránily jak samotného poskytovatele služby, tak jeho klienty?

Ptejte se na správné otázky

Jak firma roste, její provoz se stává komplexnějším, což může být pro vedení společnosti překážkou. S velikostí přicházejí také zvýšené právní a jiné povinnosti, které vyžadují specializované odborné znalosti. To má dopad na rozpočty, zejména při řešení nákladných oblastí, jako je například zajištění souladu s předpisy (tzv. compliance).

Z pohledu kybernetické bezpečnosti by se CEO, CFO nebo ředitel informační bezpečnosti mohl zeptat: Proč najímat celý interní SOC tým, když to můžeme outsourcovat profesionálnímu poskytovateli spravovaných bezpečnostních služeb (MSSP), splnit tak naše povinnosti v oblasti compliance a dokonce tak levněji zvýšit naši bezpečnostní úroveň?

Vzhledem k tomu, že se do roku 2028 očekává růst trhu profesionálních služeb o 2,07 bilionu amerických dolarů (USD), můžeme předpokládat, že se s takovými otázkami budeme setkávat stále častěji. S rostoucími nedostatky dovedností v mnoha sektorech nekončící hledání produktivity a efektivity navíc jen tak neustane.

Toto hledání má pak své vlastní problémy. Je rozumné zaplnit interní mezery hledáním řešení mimo společnost, ale v dodavatelském řetězci existují slabé články, které útočníci velmi dobře znají a které by mohli chtít využít ve svůj prospěch.

Profesionální služby pod drobnohledem

Jak hackeři využívají slabin dodavatelského řetězce ve svůj prospěch? Například v roce 2020 napadla APT skupina kyberbezpečnostní firmu. Hackeři pravděpodobně usilovali o informace o zákaznících a získali některé z interních nástrojů společnosti určených pro penetrační testování.

Kombinací dat od zákazníka, jehož systémy byly testovány stejnými penetračními nástroji, by útočníci hypoteticky mohli vytvořit vysoce cílené spearphishingové kampaně nebo jednoduše najít správný cíl a příležitost k prolomení obrany.

Nejsou to však jen bezpečnostní profesionálové, na které útočníci cílí. Společnosti z oblasti financí, jako jsou účetní firmy, jsou také atraktivním cílem kvůli obrovskému množství citlivých finančních dat, která zpracovávají. Pak jsou tu advokátní kanceláře, které často pracují s důvěrnými informacemi klientů. V jednom případě byla advokátní kancelář, která řeší úniky dat, sama únikem dat zasažena, čímž byly odhaleny informace o 637 000 obětech.

Drobní podvodníci

Kromě malých a středních podniků (SMB) a větších firem existují také individuální nabídky. Obvykle se jedná o jednotlivé dodavatele provozující velmi malé podniky, kteří se zapojují do projektů podle potřeby na základě svých kvalifikací.

Takže prověřený odborník pro dodržování souladu s předpisy kybernetické bezpečnosti (Cybersecurity Compliance) by mohl inzerovat své služby online a snažit se pomoci firmám splnit požadavky pojišťoven nebo regulátorů. Kdo ale zaručí, že se skutečně jedná o tohoto odborníka? Klidně to může útočník jen předstírat a tím, že získá důvěryhodný přístup k informacím jednotlivce nebo dokonce firmy, se rychle stát vnitřní hrozbou.

Takové podvody nejsou neobvyklé. Množství citlivých informací od osobních nebo firemních údajů po finanční data, která se, v závislosti na službě, předávají z ruky do ruky, jsou prakticky otevřenou pozvánkou pro útočníky. Proto by si firmy i jednotlivci měli být vědomi těchto nebezpečí, podobně jako u pracovních podvodů.

Jak chránit profesionály

Ochrana jednotlivce nebo celého odvětví není jen o bezpečnostním úhlu pohledu, ale také o zvýšení efektivity, produktivity, a nakonec i ziskovosti, kterou může přinést. Co je lepší než vědět, že váš nový partner je dostatečně bezpečný na to, aby s ním bylo možné spolupracovat?

To však závisí na velikosti smluvní organizace. Malá nebo domácí kancelář nemusí mít stejné bezpečnostní potřeby jako velká firma. Přesto by zabezpečení koncových zařízení mělo zůstat první linií obrany pro všechny, doplněné pravidelným školením v oblasti kybernetické bezpečnosti, protože znalost toho, jak může hrozba vypadat, pomůže incidentu zabránit.

Kromě toho by profesionálové měli také přemýšlet o zranitelnostech zařízení a programů, které používají pro každodenní úkoly. V těchto případech by bylo rozumné zvážit rozšířené moduly prevence.

A co víc, pokud profesionální služba pracuje s platebními údaji nebo citlivými informacemi klientů, je třeba zvážit některé požadavky na compliance, založené na standardech, jako je PCI DSS, nebo právních předpisech, jako je Obecné nařízení o ochraně osobních údajů (GDPR).

Hra s nulovým součtem

Napravovat kyberbezpečnostní útok je marné. Může to znít kontroverzně, ale partneři nebudou brát firmu vážně poté, co utrpěla velký kybernetický incident. Mít své citlivé informace na dark webu je skvělý recept na budoucí kybernetickou katastrofu.

Stejně jako ve skutečné válce je kybernetická bezpečnost hra s nulovým součtem. Pro odvětví profesionálních služeb je udržení spokojenosti klientů nejvyšší prioritou. Faktem tedy je, že s lepší bezpečností roste i kvalita. Odráží se to ve finančních ziscích? Odpověď na tuto otázku vede k další: Uložili byste své úspory pod matraci, aby je mohl kdokoli najít, nebo do banky s pevně zabezpečeným trezorem?