Przed NIS2: jak wyglądają podstawowe sygnały bezpieczeństwa największych firm?
NIS2 zobowiązuje organizacje do poważnego traktowania cyberbezpieczeństwa, a odpowiedzialność spoczywa na kadrze zarządzającej. Przeprowadziliśmy sześć podstawowych, PUBLICZNYCH testów bezpieczeństwa stron głównych i ustawień poczty e-mail największych firm na rynku. Tego rodzaju testy może wykonać każdy z zewnątrz, bez dostępu do systemów wewnętrznych. Stanowią one poziom minimalny, a nie pełny audyt bezpieczeństwa: pozytywny wynik oznacza, że oczywiste podstawy są zachowane, negatywny zaś, że istnieją luki widoczne dla każdego atakującego.
33 firm sprawdzonych pomyślnie, spośród 45 największych na rynku; pozostałe blokowały automatyczny dostęp i zostały wykluczone ze wszystkich danych.
Najważniejsze ustalenia
Wyniki według testu
| Publiczny test bezpieczeństwa | Odsetek firm, których dotyczy problem |
|---|---|
| Brak wymuszonego DMARC (domena pocztowa może być używana do podszywania się w phishingu wyglądającym jak wiadomości pochodzące od danej firmy) | 30% |
| Brak podstawowych nagłówków bezpieczeństwa dla stron internetowych (zabezpieczenia przed clickjackingiem i ochrona typu treści) | 21% |
| Brak HSTS (przeglądarki nie są zmuszane do korzystania z szyfrowanej wersji strony) | 15% |
| Brak rekordu SPF (podstawowa kontrola zapobiegająca podszywaniu się w poczcie e-mail jest nieobecna) | 3% |
| Strona główna nie wymusza HTTPS | 3% |
| Wersja oprogramowania serwera ujawniona w nagłówkach (ułatwia atakującym wykorzystanie znanych podatności) | 0% |
Najlepiej wypadające firmy
Uznanie tam, gdzie jest należne: te firmy przeszły pomyślnie wszystkie lub prawie wszystkie nasze podstawowe testy.
- ✓ tauron.pl
- ✓ pkobp.pl
- ✓ pekao.com.pl
Metodologia
Dla każdej firmy wysłaliśmy jedno zwykłe zapytanie do publicznej strony głównej i odczytaliśmy nagłówki odpowiedzi istotne dla bezpieczeństwa, a także przeprowadziliśmy publiczne zapytania DNS dla rekordów uwierzytelniania poczty SPF i DMARC. To te same informacje, które otrzymuje każda przeglądarka internetowa lub serwer pocztowy. Nie skanowaliśmy portów, nie badaliśmy systemów wewnętrznych, nie próbowaliśmy uzyskać żadnego dostępu ani nie wysyłaliśmy więcej niż jednego zwykłego zapytania. Jest to podstawowa zewnętrzna analiza stanu higieny bezpieczeństwa, a nie test penetracyjny ani pełna ocena bezpieczeństwa, i nie zawiera żadnych twierdzeń na temat wewnętrznego bezpieczeństwa poszczególnych firm. Firmy, które blokowały automatyczny dostęp, zostały wykluczone ze wszystkich obliczeń procentowych.
Przygotowujesz się do wdrożenia NIS2?
Sprawdź, które narzędzia do zarządzania zgodnością pomagają spełnić wymogi bezpieczeństwa określone w NIS2, i zweryfikuj, czy Twoja organizacja podlega temu obowiązkowi.
Zobacz porównanie narzędzi NIS2 →Dla dziennikarzy
Metodologia oraz zbiorcze dane dla poszczególnych testów są dostępne na żądanie w celach weryfikacji. Nie publikujemy informacji o tym, które konkretne firmy uzyskały wynik negatywny. Kontakt: [email protected]
Niniejszy raport jest niezależnym zewnętrznym badaniem danych, a nie oceną bezpieczeństwa ani oskarżeniem wobec jakiejkolwiek wymienionej firmy.