Frekvencia a sofistikovanosť kybernetických útokov podľa etických hackerov neustále rastú.
Hackeri na vašej strane. Takto sa definuje spoločnosť Citadelo, ktorá sa špecializuje na etický hacking, penetračné testovanie, bezpečnostné audity a simulácie útokov. Jej klientmi sú firmy z rôznych segmentov podnikania vrátane firiem z rebríčka Fortune 500.
Firma koncom apríla zverejnila Správu o etickom hackingu za rok 2024. Žiadna organizácia podľa jej výsledkov nemá imunitu proti kybernetickým hrozbám. Navyše v roku 2025 sa zabezpečenie cloudových prostredí stáva jedným z najvýznamnejších trendov v oblasti kybernetickej bezpečnosti.
Tímy Citadela v roku 2024 hackli takmer 500 projektov a našli viac ako 2 800 rôznych typov zraniteľnosti. Aj keď väčšinu zraniteľností tvorili menej závažné chyby, 132 mohlo mať katastrofálne následky, ak by neboli okamžite odstránené. Ich počet medziročne klesol takmer o pätinu. Tržby spoločnosti kontinuálne rastú, zisk v ostatných rokoch stagnuje.
V priemere šesť bezpečnostných dier mal každý jeden projekt z takmer 500 testovaných. Taký je výsledok útokov za rok 2024, ktoré spoločnosť Citadelo simulovala na svojich klientov.
„Na prvý pohľad môže pôsobiť znepokojujúco, že náš tím v uplynulom roku objavil toľko dier v systémoch našich klientov. Ja to však vnímam inak – dokázali sme odhaliť tisíce slabín skôr, než ich mohli zneužiť skutoční hackeri,“ konštatoval Tomáš Zaťko, CEO spoločnosti Citadelo.
Takmer polovica testovaných projektov obsahovala aspoň jednu zraniteľnosť, ktorá mala vysokú alebo kritickú závažnosť. Bezpečnostné diery strednej závažnosti firma zistila približne v 95 percentách testovaných projektov.
„V priebehu rokov sme realizovali už tisíce bezpečnostných posúdení a penetračných testov v celom svete,“ povedal Zaťko. Firma má podľa neho jedinečný pohľad na súčasný stav kybernetickej bezpečnosti.
Čo firma v roku 2024 testovala
Aj tieto zistenia sú podľa etických hackerov dôkazom toho, že pre akýkoľvek IT projekt bez ohľadu na odvetvie je komplexné testovanie počítačových systémov absolútna nevyhnutnosť.
Frekvencia a sofistikovanosť kybernetických útokov podľa etických hackerov neustále rastú. Simulovanie útokov na počítačový systém v kombinácii s plnohodnotným posúdením bezpečnosti má v roku 2025 podľa firmy oveľa väčší význam ako kedykoľvek predtým.
Etickí hackeri v roku 2024 testovali viaceré odvetvia priemyslu. Najviac ich bolo z bankovníctva a financií. Medzi nimi však bol aj elektronický obchod, dáta a telekomunikácie, ale i priemysel a energetika. Koho konkrétne firma „hackovala“, nespresnila.
Firma však testuje spoločnosti z Fortune 500 z rôznych priemyselných odvetví. Ide napríklad o bankovníctvo, automobilový priemysel, médiá, financie, krypto, poradenstvo, telekomunikácie či verejné služby. Medzi jej klientov patria napríklad banky, lekárne Dr. Max, počítačová spoločnosť Dell či poradenská spoločnosť KPMG.
Medzi svojimi klientmi odhalila viaceré druhy bezpečnostných dier podľa ich závažnosti. Rozdeľuje ich od kritických po upozornenie. Vo všeobecnosti však platí, že čím menej kritické je riziko, tým vyššia je pravdepodobnosť jeho výskytu v akomkoľvek type projektu.
V priemere druhý najväčší podiel na zistených zraniteľnostiach mali riziká označené ako upozornenie. Ide o dieru, ktorú je vhodné riešiť, no pre projekty nepredstavuje bezprostredné ohrozenie. Medziročne sa počet zraniteľností s nízkou závažnosťou zvýšil na takmer dve pätiny.
Kritické riziká predstavovali takmer päť percent zistených zraniteľností. Keďže znamenajú bezprostredné ohrozenie, je potrebné ich eliminovať čo najskôr.
Webové projekty, API a mobilné aplikácie
Viac ako polovicu bezpečnostných testov podstúpili webové projekty. Táto kategória podľa etických hackerov mala najvyšší počet kritických zraniteľností.
V cloudovom prostredí sa až sedem percent spoločností spoliehalo na falošný pocit bezpečia a prehliadalo kľúčové riziká. Zabezpečenie cloudových prostredí podľa Citadela v roku 2025 sa stáva jedným z najvýznamnejších trendov v oblasti kybernetickej bezpečnosti.
Organizácie po celom svete čelia rastúcemu počtu útokov zameraných na cloudovú infraštruktúru, čo vedie k výraznému nárastu investícií do ochrany týchto prostredí. Takmer dve tretiny organizácií plánujú podľa správy Fortinet zvýšiť svoje rozpočty na cloudovú bezpečnosť v roku 2025.
Cloudová bezpečnosť aktuálne tvorí viac ako tretinu celkových výdavkov na IT bezpečnosť.
Etickí hackeri testovali aj API rozhrania, infraštruktúru a mobilné aplikácie. „S rastúcou popularitou mobilných aplikácií sme pomocou našich dát odhalili výrazný nárast zraniteľností v tomto segmente,“ napísalo Citadelo vo svojom hodnotení.
Keďže analýza mobilných aplikácií zahŕňa aj vrstvu na strane klienta, etickí hackeri zistili oveľa vyšší počet „upozornení“ a zraniteľností s „nízkou“ závažnosťou, ktoré sú na strane klienta najrozšírenejšie.
Na druhej strane spoločnosť v tejto oblasti zistila nižší počet závažnejších zraniteľností, pretože tie sa častejšie spájajú s API a zriedka sa vyskytujú na strane klienta v intentoch či schémach adresy.
„Význam penetračných testov a ďalších praktík ofenzívnej bezpečnosti spočíva v tom, že poskytujú transparentný obraz o stave kyberbezpečnosti organizácie. S rastúcim počtom kybernetických útokov a ich sofistikovanosťou sa bude význam bezpečnostného testovania stále zvyšovať,“ napísala firma v tlačovej správe.
Citadelo urobilo v roku 2024 aj bezpečnostné hodnotenia štyroch systémov postavených na veľkých jazykových modeloch.
Umelá inteligencia podľa Zaťka prináša revolúciu v spracovaní prirodzeného jazyka, no zároveň sa tak otvárajú nové možnosti útokov.
Z pohľadu etického hackingu a tak aj útočníka etickí hackeri objavili pri testoch niekoľko kritických dier a bezpečnostných hrozieb. Kritických dier bolo 132, pričom v prípade neodstránenia mohli mať katastrofálne následky.
Švajčiarski majitelia
V roku 2020 spoločnosť získala významného partnera – spoločnosť Artmotion, ktorá je poskytovateľom zabezpečených cloudových riešení.
Švajčiarska spoločnosť sa stala väčšinovým spoločníkom, zakladatelia Citadela však zostali vo vedení firmy. Vďaka dohode získali lepší prístup na globálny trh, v roku 2020 pôsobili najmä na Slovensku a v Česku.
„Ochrana dát v našich cloudoch je pre nás kriticky dôležitá, a preto je partnerstvo s etickými hackermi úplne prirodzené,“ komentoval transakciu v roku 2020 Mateo Meier, spoluzakladateľ a CEO Artmotion.
FOTO: CITADELO
Jeho firma funguje od roku 2001 a poskytuje služby biznis klientom vo viac ako 30 krajinách, vrátane spoločností v rebríčku Fortune 500.
Po investícii začali slovenskí ochrancovia firiem pred hackermi expandovať najmä na zahraničné trhy. Britský denník The Financial Times v roku 2022 Citadelo označil za ôsmu najrýchlejšie rastúcu európsku spoločnosť.
V roku 2023 získali ďalšieho významného partnera – od spoločnosti Boltonshield. Po dovŕšení akvizície získajú Švajčiari vo firme kontrolný balík.
Aj Boltonshield sa zameriava na počítačovú ochranu. Spoločnosť sídli vo Švajčiarsku a kybernetickú bezpečnosť ako službu poskytuje medzinárodne.
„Budúcnosť bezpečnosti spočíva v automatizácii tradične časovo náročných útočných a obranných opatrení,“ povedal v roku 2023 šéf Predstavenstva Boltonshield Andreas Kemi.
Rovnako ako po vstupe predošlého švajčiarskeho investora, ani po aktuálnej investícii sa nechystá výmena vedenia Citadela a firma bude naďalej fungovať samostatne pod vlastným menom.
„Naša značka zostane zachovaná a navyše bude na globálnej úrovni posilnená riešeniami kybernetickej bezpečnosti ako služby,“ povedal v roku 2023 Tomáš Zaťko. Zakladateľ Citadela sa údajne stal aj akcionárom spoločnosti Boltonshield a súčasťou správnej rady švajčiarskej firmy.
Ako sa darí spoločnosti
Spoločnosti Citadelo sa v ostatných rokoch darí. Jej tržby kontinuálne rastú od roku 2018. Vlani ich dosiahla 2,6 milióna eur, čo je medziročný nárast z 2,2 milióna eur.
Na druhej strane zisky firmy už niekoľko rokov stagnujú. Najvyššie dosiahla v roku 2022 – 238-tisíc eur. Za rok 2024 zisk spoločnosti dosiahol 210-tisíc, čo bol medziročne mierny pokles.
