Spoločnosť GFI Software uviedla, že prípady prelomenia ochrany podnikových sietí rastú v posledných rokoch najviac v malých a stredných spoločnostiach. Podľa ich zistení bolo v segmente komerčných firiem iba v Spojených štátoch za prvú polovicu minulého roku zaznamenaných 309 prípadov. Počet útokov na tieto firmy vzrástol v roku 2017 o 75 %.

A niet sa čo diviť. Oproti veľkým spoločnostiam sú pre útočníkov ľahšou korisťou vďaka niekoľkým zásadným rozdielom, ktoré presne pomenovali odborníci z ESET-u. Zväčša nemajú žiadny, alebo minimálny bezpečnostný tím, na informačnú bezpečnosť majú obmedzené finančné, časové a ľudské zdroje, rozpočet na bezpečnosť je súčasťou výdavkov na IT, respektíve nie je tvorený vôbec, využívajú sa rôzne open-source projekty a riadenie bezpečnosti býva vykonávané oddelením IT, respektíve správcom siete.

Napriek tomu treba aj v SMB spoločnostiach vykonávať niekoľko špecifických činností, súvisiacich s bezpečnosťou. V prvom rade prevádzkovať bezpečnostné technológie, kontrolovať stav bezpečnosti a riešiť bezpečnostné incidenty. Popritom treba vzdelávať zamestnancov v oblasti informačnej bezpečnosti a vykonávať publikačnú činnosť, čo značí vydávať, revidovať a aktualizovať interné predpisy, týkajúce sa bezpečnosti.

Tieto činnosti treba na niekoho presne delegovať a vymedziť rozsah zodpovednosti, aby sa „nerozpustili“ v rámci IT oddelenia tak, že za ne budú zodpovední všetci a vlastne nikto. To je ďalšia vec, ktorá sa v hierarchii niektorých spoločností zvykne podceňovať.

Tieto aktivity možno delegovať – a častokrát sa tak aj deje – na vedúceho IT oddelenia. Problémom však je, že kvôli nedostatku ľudských a finančných zdrojov a aj potrebného know-how nikto v spoločnosti už nie je schopný kontrolovať, či sú všetky bezpečnostné činnosti vykonávané na požadovanej odbornej úrovni. Preto je pre SMB spoločnosti takmer nevyhnutné, aby si aspoň raz ročne nechali vypracovať základný bezpečnostný audit, ktorý ohodnotí efektivitu takéhoto riešenia.

Takýto audit je zameraný jednak na používané bezpečnostné technológie, na predpisy, upravujúce bezpečnosť a ich dodržiavanie a zároveň aj fungovanie osoby, zodpovednej za túto oblasť. To vidno napríklad v spôsobe riešenia bezpečnostných incidentov, v komunikácii s interným helpdeskom a podobne.

Práve tento moment mnohé SMB spoločnosti podceňujú a spoliehajú sa na „kontrolu bez kontroly“ až do momentu, kedy na túto svoju politiku, motivovanú hlavne snahou ušetriť zdroje, doplatia únikom dát, ktorý pre nich môže v najhoršom prípade predstavovať existenčnú hrozbu.