Před NIS2: jak vypadají základní bezpečnostní signály největších firem?

NIS2 ukládá organizacím povinnost brát kybernetickou bezpečnost vážně a management za ni nést odpovědnost. Provedli jsme šest základních, VEŘEJNĚ dostupných kontrol domovských stránek a e-mailových nastavení největších firem na trhu, tedy takových kontrol, které může kdokoli provést zvenčí bez přístupu do interních systémů. Jde o spodní hranici, nikoli o úplný bezpečnostní audit: úspěšné zvládnutí znamená, že základní zjevné náležitosti jsou zajištěny, neúspěch znamená, že mezery jsou viditelné pro každého útočníka.

34 úspěšně zkontrolovaných firem z celkového počtu 37 největších firem na trhu; ostatní blokovaly automatizovaný přístup a jsou vyloučeny ze všech údajů.

Hlavní zjištění

35%
z kontrolovaných firem neprošlo alespoň jednou základní bezpečnostní kontrolou
15%
nemá vynucené DMARC, takže jejich e-mailová doména může být zneužita k phishingovým útokům
15%
postrádá základní bezpečnostní hlavičky webového serveru
18%
nevynucuje HSTS

Výsledky podle jednotlivých kontrol

Veřejná bezpečnostní kontrolaPodíl dotčených firem
Chybí HSTS (prohlížeče nejsou nuceny používat šifrovanou verzi webu)18%
Chybí vynucené DMARC (e-mailová doména může být zneužita k phishingovým útokům, které se tváří jako zprávy od dané firmy)15%
Chybí základní bezpečnostní hlavičky webového serveru (ochrana proti clickjackingu a nesprávnému vyhodnocení typu obsahu)15%
Chybí SPF záznam (základní kontrolní mechanismus proti podvržení e-mailu není přítomen)3%
Verze serverového softwaru je zveřejněna v hlavičkách (usnadňuje útočníkům cílení na známé zranitelnosti)3%
Domovská stránka nevynucuje HTTPS0%

Nejlépe hodnocené firmy

Uznání tam, kde je na místě: tyto firmy prošly všemi nebo téměř všemi základními kontrolami.

Metodika

U každé firmy jsme odeslali jeden běžný požadavek na veřejnou domovskou stránku a přečetli jsme bezpečnostně relevantní hlavičky odpovědi. Zároveň jsme provedli veřejné DNS dotazy na záznamy SPF a DMARC pro ověřování e-mailů. Jde o stejné informace, které běžně přijímá každý webový prohlížeč nebo poštovní server. Neskenovali jsme porty, nezkoumali jsme interní systémy, nepokoušeli jsme se o žádný přístup ani jsme neodeslali více než jeden standardní požadavek. Jde o základní externí přehled stavu zabezpečení, nikoli o penetrační test nebo úplné bezpečnostní posouzení, a nevypovídá o interní bezpečnosti žádné konkrétní firmy. Firmy, které blokovaly automatizovaný přístup, byly vyloučeny ze všech procentuálních údajů.

Připravujete se na NIS2?

Zjistěte, které nástroje vám pomohou splnit bezpečnostní opatření požadovaná NIS2, a ověřte, zda vaše organizace spadá do její působnosti.

Zobrazit srovnání nástrojů pro NIS2 →

Pro novináře

Metodika a souhrnná data za jednotlivé kontroly jsou na vyžádání k dispozici k ověření. Nezveřejňujeme, které konkrétní firmy neprošly. Kontakt: [email protected]

Tato zpráva je nezávislou externí datovou studií, nikoli bezpečnostním posouzením ani obviněním vůči jakékoli jmenované firmě.

NIS2 v dalších zemích EU / NIS2 in other EU markets: