Před NIS2: jak vypadají základní bezpečnostní signály největších firem?
NIS2 ukládá organizacím povinnost brát kybernetickou bezpečnost vážně a management za ni nést odpovědnost. Provedli jsme šest základních, VEŘEJNĚ dostupných kontrol domovských stránek a e-mailových nastavení největších firem na trhu, tedy takových kontrol, které může kdokoli provést zvenčí bez přístupu do interních systémů. Jde o spodní hranici, nikoli o úplný bezpečnostní audit: úspěšné zvládnutí znamená, že základní zjevné náležitosti jsou zajištěny, neúspěch znamená, že mezery jsou viditelné pro každého útočníka.
34 úspěšně zkontrolovaných firem z celkového počtu 37 největších firem na trhu; ostatní blokovaly automatizovaný přístup a jsou vyloučeny ze všech údajů.
Hlavní zjištění
Výsledky podle jednotlivých kontrol
| Veřejná bezpečnostní kontrola | Podíl dotčených firem |
|---|---|
| Chybí HSTS (prohlížeče nejsou nuceny používat šifrovanou verzi webu) | 18% |
| Chybí vynucené DMARC (e-mailová doména může být zneužita k phishingovým útokům, které se tváří jako zprávy od dané firmy) | 15% |
| Chybí základní bezpečnostní hlavičky webového serveru (ochrana proti clickjackingu a nesprávnému vyhodnocení typu obsahu) | 15% |
| Chybí SPF záznam (základní kontrolní mechanismus proti podvržení e-mailu není přítomen) | 3% |
| Verze serverového softwaru je zveřejněna v hlavičkách (usnadňuje útočníkům cílení na známé zranitelnosti) | 3% |
| Domovská stránka nevynucuje HTTPS | 0% |
Nejlépe hodnocené firmy
Uznání tam, kde je na místě: tyto firmy prošly všemi nebo téměř všemi základními kontrolami.
- ✓ cez.cz
- ✓ ppf.eu
- ✓ kb.cz
Metodika
U každé firmy jsme odeslali jeden běžný požadavek na veřejnou domovskou stránku a přečetli jsme bezpečnostně relevantní hlavičky odpovědi. Zároveň jsme provedli veřejné DNS dotazy na záznamy SPF a DMARC pro ověřování e-mailů. Jde o stejné informace, které běžně přijímá každý webový prohlížeč nebo poštovní server. Neskenovali jsme porty, nezkoumali jsme interní systémy, nepokoušeli jsme se o žádný přístup ani jsme neodeslali více než jeden standardní požadavek. Jde o základní externí přehled stavu zabezpečení, nikoli o penetrační test nebo úplné bezpečnostní posouzení, a nevypovídá o interní bezpečnosti žádné konkrétní firmy. Firmy, které blokovaly automatizovaný přístup, byly vyloučeny ze všech procentuálních údajů.
Připravujete se na NIS2?
Zjistěte, které nástroje vám pomohou splnit bezpečnostní opatření požadovaná NIS2, a ověřte, zda vaše organizace spadá do její působnosti.
Zobrazit srovnání nástrojů pro NIS2 →Pro novináře
Metodika a souhrnná data za jednotlivé kontroly jsou na vyžádání k dispozici k ověření. Nezveřejňujeme, které konkrétní firmy neprošly. Kontakt: [email protected]
Tato zpráva je nezávislou externí datovou studií, nikoli bezpečnostním posouzením ani obviněním vůči jakékoli jmenované firmě.