Benchmark, ktorý zverejnila poradenská spoločnosť Wavestone, je založený na hodnotení viac ako 180 bezpečnostných opatrení. Získané výsledky sú založené na údajoch zozbieraných a analyzovaných od 75 organizácií, ktoré predstavujú viac ako 3 miliónov používateľských účtov na 3 posledné roky.
Nízka úroveň kybernetickej zrelosti pre veľké francúzske organizácie
Podľa firmy Wavestone dosahuje úroveň kybernetickej vyspelosti veľkých francúzskych organizácií len 46 %, a je teda podpriemerná. Tento podiel sa však líši v závislosti od sektorov. Financie majú teda nadpriemernú kybernetickú vyspelosť (54.4 %), po ktorom nasledoval energetický sektor, ktorý dosiahol úroveň 51,8 %. Priemyselné odvetvia (44,8 %), služby (42,5 %) a verejnosť (36.9 %), sú podpriemerné.
© WavestoneNa vyváženie tohto pozorovania spoločnosť poukazuje na to, že najmenej vyspelé sektory sú tie, ktoré najviac investujú do kybernetickej bezpečnosti. Rebríček tak ukazuje, že priemysel venuje 7 % z jej IT rozpočtu ide na bezpečnosť, zatiaľ čo verejný sektor ich alokuje 6,6 % svojho rozpočtu. Tieto dva sektory sú tiež nad všeobecným priemerom IT rozpočtu, ktorý môžu francúzske organizácie venovať na kybernetickú bezpečnosť, čo predstavuje 6,1 %.
© Wavestone30 % francúzskych organizácií je v kritickej situácii s ransomvérom
Na základe údajov z najnovších kybernetických útokov spracovaných spoločnosťou CERT-Wavestone spoločnosť vybrala 31 opatrení proti ransomvéru, ktoré umožňujú organizáciám, ktoré čelia tomuto typu útoku, priradiť priemernú úroveň vyspelosti. Štúdia ukazuje najmä, že:
Priemer veľkých spoločností (typ CAC 40) je 54,5 %, Priemerná úroveň klientov spravovaných Wavestone je 46,2 %, 30 % organizácií sa považuje za v kritickej situácii.
© WavestoneThe 4 kybernetické výzvy, ktoré čakajú francúzske spoločnosti v roku 2022
Wavestone identifikuje niekoľko prvkov, ktoré by francúzske organizácie mali zlepšiť, aby zaistili bezpečnosť svojich údajov.
Zlepšite rekonštrukciu po kybernetickom útoku
Podľa štúdie sú dnes piliere kybernetickej bezpečnosti Národného inštitútu pre štandardy a technológie (NIST) konzistentné. Úroveň zrelosti každého z krokov, ktoré tvoria proces obrany proti firemným kybernetickým útokom, je totiž väčšinou ekvivalentná. Spoločnosť Wavestone zaznamenala pokrok dosiahnutý v oblasti detekcie a reakcie na útoky, ktoré dnes dosahujú úroveň zrelosti okolo 46 % a 45 %. Sú tak blízko k identifikačnej (46 %) a ochrannej (47 %) fáze. Tieto úrovne odrážajú značné investície uskutočnené v posledných rokoch.
© WavestoneSpoločnosti však musia venovať osobitnú pozornosť fáze rekonštrukcie systému po kybernetickom útoku, ktorý sa s odhadovanou úrovňou 40 % javí ako najmenej vyspelý.
Zdvojnásobte úsilie na zabezpečenie služby Active Directory a odolnosť voči útokom
Firma poukazuje na to, že mnohé spoločnosti prijali účinné ochranné technológie, ako je EDR (Endpoint Detection and Response, riešenie na detekciu bezpečnostných hrozieb pre digitálne zariadenia) a viacfaktorové overovanie. 51 % spoločností teda nasadilo nástroj EDR a 61 % sa rozhodlo pre viacfaktorovú autentifikáciu.
Stále je však potrebné vynaložiť úsilie na zabezpečenie Active Directory (nervové centrum bezpečnosti informačných systémov Microsoftu), pre ktoré len 24 % organizácií analyzuje incidenty vo svojom centre kybernetického dohľadu. Podobne aj podniky sú slabé vo svojej odolnosti voči útokom, pričom len 17 % otestovalo svoj plán obnovy IT.
Optimalizovať bezpečnosť priemyselných informačných systémov
Toto je veľký problém pre priemyselný sektor. Bezpečnosť priemyselných systémov má skutočne celkovú vyspelosť 34,1 %. Štúdia tak podčiarkuje, že sa vynakladá úsilie na nasadenie organizácie venovanej kybernetickej bezpečnosti (ktorú prijalo 50 % spoločností) a na používanie brán firewall zameraných na oddelenie podnikových sietí od priemyselných sietí. 50 % organizácií však nekontroluje bezpečnostné požiadavky tretích strán.
Bojujte proti zlým praktikám v oblasti zabezpečenia cloudu
Podľa firmy Wavestone čaká firmy niekoľko výziev súvisiacich s bezpečnosťou aplikácií a dát. Štúdia tak poukazuje na bezpečnostné chyby špecifické pre cloud. Medzi zavedené zlé postupy môžeme zaznamenať administratívny prístup do cloudového systému prostredníctvom jednoduchého prihlasovacieho mena a hesla pre 42 % spoločností.
Inštinktívne si myslíme, že cloud je bezpečný. To je pravda, pokiaľ ide o zodpovednosť dodávateľov, ale mnohé činnosti spadajú pod činnosť užívateľských organizácií… a bohužiaľ sa na ne často zabúda! Toto je hlavný bod pre bezpečnosť nových aplikácií, hovorí Gérôme Billois, Partner Cybersecutity & Digital Trust vo Wavestone.
Zdroj: Wavestone
