S regulacemi, jako je DORA, mají rizika třetích stran pro firmy nové důsledky.
Regulace, v nichž je klíčové řízení rizik třetích stran a provozní odolnost pro zachování kybernetické bezpečnosti – a tedy i pro vyhnutí se pokutám – by se mohly stát pomyslným posledním hřebíčkem pro kybernetickou obranu, zejména pokud nejsou IT manažeři připraveni se k potřebným změnám zavázat.
O tom, jak na tom byli s připraveností už dříve, svědčí mimo jiné také to, proč je nyní legislativa jako evropské Nařízení o digitální provozní odolnosti finančního sektoru (DORA) pro některé firmy takovou zátěží. Vzhledem k tomu, že regulace klade silný důraz na provozní odolnost včetně řízení rizik třetích stran (například poskytovatelů cloudových služeb), banky, pojišťovny, investiční společnosti a další se nyní dostávají v oblasti compliance na samý konec a ptají se: Jsme pokrytí?
- Dosahování nových úrovní produktivity pomocí cloudových řešení neznamená, že by s nimi nebyla spojena měřitelná rizika.
- Řešení jako virtuální zařízení, která umožňují využití veřejného cloudu, nejsou bez zranitelností. Související vrstvy, například cloudové služby správy identit, mají v oblasti rizik rovněž co zlepšovat.
- S ohledem na tyto a další skutečnosti regulátoři výrazně zpřísňují dohled nad riziky třetích stran a vydávají regulace, jako je například DORA, aby stanovili základní standard odolnosti i odpovědnosti pro subjekty z finančního sektoru a některé jejich poskytovatele.
- Firmy se ocitají mezi mlýnskými kameny: pokročilí útočníci nespí, zatímco pozorní regulátoři mají sklon sankcionovat jakoukoli kompromitovanou reakci. Zvláště zatěžující je tato skutečnost pro středně velké firmy.
- Řešení? Zjednodušit a zefektivnit ochranu cloudových virtuálních zařízení a zpřístupnit ji rozšířením základního zabezpečení se všemi jeho funkcemi (optimalizovaný přehled, bezproblémová správa atd.) i pro cloudové prostředí.
- Ochrana virtuálních zařízení v cloudu jako ESET Cloud Workload Protection je přirozeným rozšířením zabezpečení koncových zařízení. Přináší osvědčené odborné znalosti i mimo tato zařízení a usnadňuje obranu proti vyvíjejícím se hrozbám.
Hrozba možného úniku dat
Nařízení o digitální provozní odolnosti finančního sektoru (DORA) je jedinečným právním předpisem, jehož cílem je nasměrovat subjekty z finančního sektoru k lepší základní úrovni bezpečnosti. Zároveň klade důraz na odpovědnost. V případě nedodržení předpisů může být k odpovědnosti dohnána nejen samotná společnost, ale i její vedení.
To zní docela dobře, že? Samozřejmě to ale není tak jednoduché, jak se může zdát. Požadavky jsou poměrně přísné, zejména v oblasti řízení rizik třetích stran, kde se uvádí, že iniciátor smlouvy nese odpovědnost za posouzení a průběžné sledování odolnosti svých dodavatelů.
Jinak řečeno, pokud provozujete virtuální stroje ve veřejném cloudovém prostředí (např. v prostředích AWS, Azure či Google) a vaše služba je zneužita, odpovědnost za možné odhalení citlivých dat běžících na těchto kompromitovaných virtuálních zařízeních v cloudu nesete vy.
Možná si myslíte, že je to nepravděpodobné. Bohužel však došlo ke skutečným případům, kdy útočníci pomocí ransomwaru zneužili kritické zranitelnosti virtualizace. Významným případem je incident z roku 2025, kdy došlo k narušení systémů SSO a LDAP služby Oracle Cloud, což vedlo k exfiltraci 6 milionů záznamů od více než 140 000 organizací (tenantů). Přestože se tento případ přímo netýkal virtuálních zařízení, šlo o kompromitaci vrstvy identity využívané jejich tenanty, což ohrozilo navazující zákazníky.
A to může být jen špička ledovce.
Prudký růst globální adopce cloudové infrastruktury
Lidé se posouvají za hranice koncových zařízení a zabezpečení je musí následovat. Firmy, zejména ty ze segmentu SMB (představme si například menší investiční banku obsluhující středně velké firmy), či poskytovatelé řízených služeb (MSP) postupně zavádějí cloudové služby, aby zvýšili svou produktivitu. Podle dostupných údajů využívalo v roce 2025 přibližně 69 % podniků v nějaké podobě veřejnou cloudovou infrastrukturu jako své primární prostředí, přičemž Amazon Web Services (30 %), Azure (20 %) a Google Cloud Platform (13 %) dohromady tvořily zhruba 63 % celosvětového trhu veřejného cloudu.
Tato čísla jsou ohromující a lze předpokládat, že budou dále růst. Zároveň však poroste i počet pokusů o zneužití cloudových prostředí. Až 44 % organizací zde zaznamenalo únik dat, přičemž průměrné náklady dosáhly alarmujících 5,17 milionu dolarů na incident – nejvíce ze všech typů prostředí. Stejný zdroj rovněž uvádí, že přibližně 32 % incidentů vedlo k udělení pokut.
Proč jsou tato čísla tak vysoká? Realita je taková, že virtuální zařízení v cloudu jsou dynamická, distribuovaná a často neviditelná pro tradiční bezpečnostní nástroje. Útočníci se na ně proto zaměřují a dělají to čím dál sofistikovaněji. Stačilo by jediné chybně nakonfigurované virtuální zařízení v cloudu, které by zpřístupnilo citlivá zákaznická data, a následky by byly rychlé a velmi nákladné.
Co potřebujete vědět o nařízení DORA
Na chvíli se u těchto nákladů zastavme. Vzpomínáte, jak jsme zmiňovali, že řízení rizik třetích stran je jedním z hlavních pilířů regulace DORA? Tato povinnost se vztahuje na jakýkoli finanční subjekt s působností v některé z členských zemí EU. Její nedodržení je sankcionováno pokutou až do výše 2 % celkového ročního celosvětového obratu společnosti nebo 10 milionů eur (podle toho, která hodnota je vyšší). V případě jednotlivce (například vedoucího pracovníka společnosti) může pokuta dosáhnout až 1 milionu eur.
Kvůli těmto pravidlům musí být v souladu s DORA dokonce i banka ze Spojeného království nebo USA, pokud má pobočku v některé zemi EU. Bez výjimek.
Ani poskytovatelé IT služeb třetích stran nejsou vynecháni – ti, kteří jsou evropskými dohledovými orgány označeni za „kritické“, mohou čelit pokutám až do výše 5 milionů eur (nebo až 1 % jejich ročního celosvětového obratu), v případě jednotlivce pak 500 000 eur.
Škálování zabezpečení virtuálních zařízení
Jak tedy řešit cloudové výzvy v kontextu regulace DORA? Společnosti často provozují virtuální zařízení jak v on‑premise prostředí, tak v cloudu (například AWS, Azure nebo GCP), což obvykle vede ke vzniku bezpečnostních mezer. Navíc pouze 23 % organizací uvádí, že mají plný přehled o svých cloudových prostředích, což je přinejmenším znepokojující, zejména, když regulace vyžadují transparentnost.
Jediný kompromitovaný virtuální stroj – ať už prostřednictvím odcizených přihlašovacích údajů, chybné konfigurace nebo nezáplatovaných služeb – se může rychle rozvinout v incident napříč prostředími. Za zmínku zde stojí útoky typu VM escape, při nichž útočníci způsobí, že se programy vymaní z virtuálního zařízení a začnou interagovat s hostitelským operačním systémem. V nedávné době to bylo dobře demonstrováno na několika zero‑day zranitelnostech VMware ESXi.
Je zřejmé, že to vyžaduje přehodnocení přístupu k řízení rizik. Organizace potřebují fungující ochranu, která dokáže takové útoky blokovat, automaticky izolovat problematická virtuální zařízení, a zároveň sdílet telemetrická data pro rychlé zvládnutí incidentu. A to vše bez vynakládání nepřiměřených prostředků na další proprietární bezpečnostní řešení.
Proto je odpovědí škálování. Jeden bezpečnostní přístup napříč celým prostředím, bez zvyšování složitosti, který současně nasvítí často neviditelná cloudová virtuálních zařízení. Přesně o to tu jde.
Seznamte se s ESET Cloud Workload Protection
Firmy s omezenými bezpečnostními znalostmi, menšími bezpečnostními týmy nebo ty, které preferují mít s tím co nejmíň starostí, se nemusí obávat narušení své stávající bezpečnostní pozice. Komplexní odolnost nemusí být komplikovaná.
ESET nabízí řešení, která prostřednictvím kombinace více samostatných bezpečnostních vrstev fungují jako celek a flexibilně řeší bezpečnostní problémy – od základního malwaru až po pokročilé ransomwarové útoky. To vše díky chytrému kódu, automatizaci a rozsáhlé práci na pozadí, jejímž cílem je co nejlépe chránit v reálném čase zákazníky před nejnovějšími hrozbami.
Důkazem je množství zdrojů a reportů služby ESET Threat Intelligence, které mají zákazníci k dispozici. Všechna tato data (a mnohem víc) jsou pravidelně analyzována a zkoumána, aby posilovala detekční mechanismy proti hrozbám.
Když vezmeme v úvahu všechny výše zmíněné problémy, od složitosti prostředí cloudových kybernetických hrozeb až po regulace vyžadující pevnou kontrolu nad provozní odolností, je zřejmé, že postupovat osamoceně a bez změny zavedených postupů není rozumné.
Nový modul ESET Cloud Workload Protection chrání virtuální zařízení ve veřejných cloudových prostředích. Řešení z nich přijímá data do XDR platformy ESET PROTECT, výrazně obohacuje telemetrii pro detekci a reakci na incidenty a zároveň sjednocuje správu zabezpečení koncových zařízení a cloudových prostředí v jediném přehledném rozhraní.
Hlavním přínosem je ochrana proti dalšímu, významnému vektoru hrozeb, a zároveň možnost pravidelně ověřovat bezpečnostní opatření a generovat podklady pro audit v mezích regulačních rámců, jako jsou NIST, CIS, HIPAA, PCI DSS… tedy nejen pro regulaci DORA.
ESET PROTECT
Jedno řešení pro komplexní zabezpečení vaší firmy. Nově i s funkcí Obnova po útoku ransomwarem, která dočasně vytvoří šifrované zálohy klíčových dat. To vše v chráněném odděleném prostředí, kam útočníci nemohou.
DOZVĚDĚT SE VÍCEJasné nebe bez mraků
Cloud se nevratně stal dalším, stále se vyvíjejícím faktorem, který zvyšuje riziko vystavení kybernetickým hrozbám. Rizika s ním spojená jsou často podceňována, avšak nedávné události naznačují, že se to brzy změní.
Vedení společností mohou mít obavy, že jejich základní bezpečnostní nastavení je nějakým způsobem narušeno a že provozní odolnost je jen iluze, když se na obzoru neustále objevují nové hrozby. To by však nemohlo být vzdálenější pravdě. Poctivá reakce na nové hrozby prostřednictvím preventivních opatření a využití odborných znalostí prověřených bezpečnostních dodavatelů může být právě tím, co rozhodne.
Nezmeškejte nic důležitého
Získejte přehled o trendech a novinkách ze světa kyberbezpečnosti.
ODEBÍRAT NOVINKY
