Înaintea NIS2: cum arată semnalele de securitate de bază ale celor mai mari companii?
NIS2 obligă organizațiile să trateze securitatea cibernetică cu seriozitate, managementul fiind direct responsabil. Am efectuat șase verificări publice de bază asupra paginilor de start și a configurațiilor de e-mail ale celor mai mari companii din piață, verificări pe care oricine le poate realiza din exterior, fără a accesa sistemele interne. Acestea reprezintă un prag minim, nu un audit complet de securitate: promovarea lor indică faptul că elementele evidente sunt la locul lor, iar eșecul semnalează lacune vizibile pentru orice atacator.
25 companii verificate cu succes, din 34 dintre cele mai mari din piață; restul au blocat accesul automatizat și sunt excluse din toate cifrele.
Concluzii principale
Rezultate pe verificare
| Verificare publică de securitate | Proporția companiilor afectate |
|---|---|
| DMARC neaplicat (domeniul de e-mail poate fi falsificat în atacuri de tip phishing care par să provină de la companie) | 40% |
| Anteturi de securitate web de bază lipsă (protecții împotriva clickjacking și a tipurilor de conținut) | 36% |
| HSTS absent (browserele nu sunt obligate să utilizeze versiunea criptată a site-ului) | 16% |
| Înregistrare SPF absentă (un control de bază anti-spoofing pentru e-mail lipsește) | 4% |
| Pagina de start nu impune HTTPS | 4% |
| Versiunea software a serverului divulgată în anteturi (poate ajuta atacatorii să vizeze vulnerabilități cunoscute) | 0% |
Cei mai buni performeri
Meritul acolo unde este cazul: aceste companii au trecut toate sau aproape toate verificările noastre de bază.
- ✓ brd.ro
- ✓ raiffeisen.ro
- ✓ engie.ro
Metodologie
Pentru fiecare companie am efectuat o singură solicitare obișnuită către pagina de start publică și am citit anteturile de răspuns relevante pentru securitate, precum și interogări DNS publice pentru înregistrările de autentificare a e-mailului SPF și DMARC. Aceasta este aceeași informație pe care orice browser web sau server de e-mail o primește deja. Nu am scanat porturi, nu am sondat sisteme interne, nu am încercat niciun acces și nu am trimis mai mult de o solicitare normală. Acesta este un instantaneu de igienă externă de bază, nu un test de penetrare sau o evaluare completă de securitate, și nu face nicio afirmație despre securitatea internă a vreunei companii individuale. Companiile care au blocat accesul automatizat au fost excluse din toate procentele.
Vă pregătiți pentru NIS2?
Consultați ce instrumente de conformitate vă ajută să acoperiți măsurile de securitate impuse de NIS2 și verificați dacă organizația dumneavoastră intră în domeniul de aplicare.
Vezi comparativul instrumentelor NIS2 →Pentru jurnaliști
Metodologia și datele agregate pe verificare sunt disponibile la cerere pentru verificare. Nu publicăm care companii individuale nu au trecut verificările. Contact: [email protected]
Acest raport este un studiu de date extern independent, nu o evaluare de securitate sau o acuzație la adresa vreunei companii nominalizate.