Proč musí technologické start-upy dbát na IT bezpečnost?

13. 6. 2017 v sekci Článek

Podle dostupných informací z AppBrain je v současné době na trhu pro Android kolem 2,9 milionu aplikací. Když na Google Play vyhledáte konkrétní klíčové slovo, zobrazí se vám kolem tuctu různých výsledků. Objem a tempo vytváření nových aplikací vedou k tomu, že nezanedbatelné procento z nich je špatně vyvinuto. Téměř čtvrtinu odinstalují uživatelé již po prvním použití.

Tyto aplikace mohou způsobit zranitelnost uživatele. Studie provedená společností Codified Security uvádí, že 40 % dostupných aplikací zanechává otevřená zadní vrátka pro potenciální útočníky. To může vést k ohrožení uživatelských dat a zároveň usnadnit útočníkům, aby snadno pronikli k serverům a počítačům, které jsou využívané např. k testování a vývoji.

Konkurenční prostředí vyžaduje rychlé nasazení softwaru, nicméně špatné kódování a nedbalé testování může snadno přitahovat kyberútoky, které mohou mít za následek i katastrofální konce. Tento problém se stává stále palčivějším s nástupem bankovních aplikací a internetu věcí.

Hrozby jsou nekontrolovatelné

Kybernetické útoky se v roce 2016 nevyhnuly ani velkým technologickým organizacím, bankám, poskytovatelům internetu či vládním institucím. Mezi nejzávažnější hrozby patří ransomware, DDoS útoky a úniky dat. Ransomware se řeší dnes a denně. Připomeňme si také loňský masivní DDoS útok, který dočasně vyřadil Netflix, Spotify či New York Times. Trojici největších hrozeb uzavírají úniky dat, kterých byl v loňském roce rekordní počet.

Jakákoliv forma výpadku či narušení stojí společnost peníze. Je odhadováno, že prostoje způsobené DDoS útoky připraví společnost zaměřenou na e-commerce přibližně o 40 000 dolarů za hodinu. Útočníci využívají toho, že společnosti jsou ochotné zaplatit, aby předešly případným výpadkům.

Co se týče ransomwaru, útočníci požadují průměrně „pouze“ 722 dolarů. Odcizení či zašifrování důležitých souborů může být likvidační pro organizaci, která včasně nezálohuje. Navíc neexistuje žádná záruka, že společnost bude mít po zaplacení výkupného opět přístup ke svým souborům a datům.

Kromě negativního finančního dopadu riskuje firma také ztrátu důvěry zákazníků a dobré reputace. Kyberútok proto může být pro start-up posledním hřebíčkem do rakve.

Technologické start-upy by měly mít vyšší standardy

Začínající podniky jsou obzvláště zranitelné. Často nemají specializované pracovníky, kteří dohlížejí na správné využívání IT zdrojů. Je běžné, že počítače a sítě zůstávají nezabezpečené. Nedostatek zaučení v oblasti základních bezpečnostních postupů vystavuje zaměstnance např. phishingu, který může prošlapat cestu vážnějším útokům.

Společnosti plánující vstoupit na trh s top produkty by neměly bezpečnost podceňovat a ochrana by měla být pro ně prioritou. Mirai, malware odpovědný za řadu masivních útoků DDoS v roce 2016, využívá nezabezpečených zařízení internetu věcí k provádění útoků. Mnohá z těchto zařízení, včetně IP kamer a síťových zařízení, byla nedbale designována a postrádala bezpečnostní prvky, které mohly zabránit infekcím typu Mirai.

Jak mohou technologické start-upy zmírnit rizika?

Pro vývojáře by měla být bezpečnost na prvním místě. Kód by měl být důkladně přezkoumán, aby byla odhalena jeho slabá místa. Je zásadní, aby byl veškerý software podroben intenzivnímu testování, které nesmí být opomenuto či uspěcháno kvůli blížícímu se datu vydání.

Společnosti by měly provádět bezpečnostní audity, aby identifikovaly zranitelná místa ve všech svých operacích. Vzdělávání zaměstnanců s ohledem na osvědčené postupy zajistí, že IT zdroje budou využívány bezpečně a že data společnosti a zákazníků nebudou vystavena riziku.

Informace o zákaznících musí být striktně důvěrné. Start-upy musí chránit soukromí svých klientů a bezpečnost těch, kdo společnosti důvěřují. Jedině tak mohou vyrůst v prosperující společnost.