Jak na nástrahy digitálního světa? Odpovědi přinesla on-line debata o kybernetické bezpečnosti |
Jak se má proti takovým zločincům normální firma bránit? Co má dělat malý živnostník, šéf architektonického studia nebo generální ředitel velké korporace? A protože stoprocentní ochranu proti riziku nenajdete nikdy, má smysl se proti vyděračům pojistit? Nebo je nejsnazší mít připravené fondy na výkupné?
Odpovědi v debatě serveru Lidovky.cz hledali z různých úhlů pohledu vedoucí odboru kybernetické bezpečnosti a technický garant platformy KYBEZ Jan Dienstbier, mluvčí Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Jiří Táborský a Michael Dubský, ředitel oddělení péče o klienty společnosti Renomia.
Na jedné věci se shodli všichni tři: ochrana dat a sítí už dávno není otázka pro „firemní ajťáky“. Kyberbezpečnost je úkol, který musí mít v hlavě nejvyšší management.
Kritická závislost na IT
Kybernetický útok na Nemocnici Benešov způsobil škodu 59 milionů korun. Pachatel nebyl dohledán |
„Covidová krize ukázala úplně každému, že závislost celé naší společnosti na informačních a výpočetních technologiích je v podstatě naprostá,“ připomíná Jiří Táborský z NÚKIB. Právě tato instituce se stará o bezpečnost kritické infrastruktury a uvádí, že za poslední dva roky se počet útoků zdvojnásobil. Jenže úřad má v gesci jen minimální zlomek firem a institucí v zemi.
  |
Proč se o útocích, ačkoli jsou jich desetitisíce ročně, nemluví a nepíše v médiích? „Pokud se k tomu nepřihlásí napadený, tak se o tom nikdo dozvědět ani nemůže,“ vysvětluje Jan Dienstbier.
Odkud útočili hackeři na ropné dodávky v USA? Přišlo to z Ruska, Moskva je v tom ale nevinně, řekl Biden |
Zcela nejčastějším útokem poslední doby je takzvaný ransomware, kdy útočník zašifruje všechna data a zcela zastaví chod firmy nebo úřadu. „Takto dokázali vyděrači paralyzovat veliké nadnárodní logistické firmy, tisíce amerických měst, nedávno zastavili potrubí firmy Colonial Pipeline, která zajišťuje většinu pohonných hmot na jihovýchodě USA,“ připomíná Michael Dubský. „A teď si vezměte: firma neplní své závazky, vznikly obrovské škody, včetně škod způsobených třetím stranám, takže Pipeline nakonec nemohla udělat nic jiného než vyděračům zaplatit miliony dolarů.“
Prevence je lepší než výkupné
Před placením výkupného však varují úřady po celém světě, nejen FBI a český NÚKIB. „Jednak tím podporujete trestnou činnost, jednak nemáte žádnou záruku, že vyděrač skutečně vaše systémy odblokuje, nebo dokonce data nezveřejní,“ vysvětluje Táborský.
Hackeři zaútočili na pražský IPR. Skrze jeho systémy těžili kryptoměny, institut se obává ztráty dat |
Nicméně nejen americká města a firmy mají už připravené účty v bitcoinech, aby mohly platit, když jim útočníci zablokují vodovody, dopravu nebo nemocnice. Nevzali jsme příliš snadno tyto vyděrače, jimž platíme výkupné, jako součást života? Neměli bychom věnovat mnohem více úsilí sebeobraně?
„Jako u každého rizika je nejdůležitější prevence – a největší riziko přichází zevnitř firmy, skrze nedostatečně proškolené či vybavené zaměstnance,“ připomíná Dubský.
Největším neštěstím je podle všech expertů fakt, že leckde považují bezpečnost všech dat a jejich přenosu za úkol pro IT oddělení. Počítačoví experti sice mohou řešit technické otázky, ale procesní a organizační části – krizový a business continuity plán – musí být úkolem nejvyššího managementu. Jinak řečeno: technik nemůže zařídit školení, či dokonce testování zaměstnanců, nemůže připravit plán obnovení výroby nebo komunikaci navenek.
Krizový plán i pojištění
„Pokud vás útočník ochromí, firma přestane fungovat, náklady jedou dál a vznikají další finanční škody. To je noční můra každého manažera – dnes musí mezi klíčová rizika jako třeba požár přijmout i riziko kybernetického napadení. A podle toho připravovat zaměstnance, zabezpečovat data, dodávky a tak dále,“ konstatuje Dubský.
Kybernetická bezpečnost není technická disciplína. „Často se dnes stává, že firma či úřad jsou dobře chráněné, ale útočník napadne někoho, kdo vám poskytuje služby. Takto se hackeři dostali infiltrací síťových produktů od firmy SolarWinds až do útrob vlády Spojených států a mnoha dalších institucí,“ varuje bezpečnostní expert Dienstbier.
Právě redukce kyberbezpečnosti na úkol pro IT oddělení, slabé školení a trénink zaměstnanců, nedostatečná pozornost od managementu jsou hlavní důvody, proč jsou mnohé firmy tak snadno zranitelné.
„V rámci střední a východní Evropy existuje strašně málo firem s pozicemi risk managerů, kteří by cíleně tato nebezpečí správně identifikovali a vyhodnocovali. Dokonce existuje přesvědčení některých firem, že se stačí pojistit a tím je všechno vyřešeno, což je ale strašlivý omyl,“ varuje Dubský z Renomie. „Pojištění může zmenšit a zmírnit škody, může zajistit experty na řešení, může pomoci obnovit provoz a tak dále. Ale špatně zabezpečenou firmu, která s kybernetickým rizikem nepracuje, žádná pojišťovna nepojistí.“
Partnerem debaty je společnost RENOMIA a.s.
