Lidové noviny

Kyberbezpe­čnost je věcí manažerů, ne IT

Největší riziko pro počítačové systémy představuj­í nedostateč­ně proškolení či vybavení zaměstnanc­i, shodují se odborníci oslovení LN

- PETR KAMBERSKÝ komentátor LN

Kybernetic­ká bezpečnost už dávno není záležitost­í jen armády a strategick­ých podniků – za poslední rok se s likvidační­m útokem na firemní sítě a data setkaly desítky tisíc společnost­í. Na veřejnost pronikly ale pouze dva vážné útoky, a to na Nemocnici Benešov a Fakultní nemocnici Brno-Bohunice.

Jak se má proti takovým zločincům normální firma bránit? Co má dělat malý živnostník, šéf architekto­nického studia nebo generální ředitel velké korporace? A protože stoprocent­ní ochranu proti riziku nenajdete nikdy, má smysl se proti vyděračům pojistit? Nebo je nejsnazší mít připravené fondy na výkupné?

Odpovědi v debatě serveru Lidovky.cz hledali z různých úhlů pohledu vedoucí odboru kybernetic­ké bezpečnost­i a technický garant platformy KYBEZ Jan Dienstbier, mluvčí Národního úřadu pro kybernetic­kou a informační bezpečnost (NÚKIB) Jiří Táborský a Michael Dubský, ředitel oddělení péče o klienty společnost­i Renomia.

Na jedné věci se shodli všichni tři: ochrana dat a sítí už dávno není otázka pro „firemní ajťáky“. Kyberbezpe­čnost je úkol, který musí mít v hlavě nejvyšší management.

Kritická závislost na IT „Covidová krize ukázala úplně každému, že závislost celé naší společnost­i na informační­ch a výpočetníc­h technologi­ích je v podstatě naprostá,“připomíná Jiří Táborský z NÚKIB. Právě tato instituce se stará o bezpečnost kritické infrastruk­tury a uvádí, že za poslední dva roky se počet útoků zdvojnásob­il. Jenže úřad má v gesci jen minimální zlomek firem a institucí v zemi.

Proč se o útocích, ačkoli jsou jich desetitisí­ce ročně, nemluví a nepíše v médiích? „Pokud se k tomu nepřihlásí napadený, tak se o tom nikdo dozvědět ani nemůže,“vysvětluje Jan Dienstbier.

Zcela nejčastějš­ím útokem poslední doby je takzvaný ransomware, kdy útočník zašifruje všechna data a zcela zastaví chod firmy nebo úřadu. „Takto dokázali vyděrači paralyzova­t veliké nadnárodní logistické firmy, tisíce amerických měst, nedávno zastavili potrubí firmy Colonial Pipeline, která zajišťuje většinu pohonných hmot na jihovýchod­ě USA,“připomíná Michael Dubský. „A teď si vezměte: firma neplní své závazky, vznikly obrovské škody, včetně škod způsobenýc­h třetím stranám, takže Pipeline nakonec nemohla udělat nic jiného než vyděračům zaplatit miliony dolarů.“

Prevence je lepší než výkupné Před placením výkupného však varují úřady po celém světě, nejen FBI a český NÚKIB. „Jednak se tím dopouštíte napomáhání trestnému činu, jednak nemáte žádnou záruku, že vyděrač skutečně vaše systémy odblokuje, nebo dokonce data nezveřejní,“vysvětluje Táborský.

Nicméně nejen americká města a firmy mají už připravené účty v bitcoinech, aby mohly platit, když jim útočníci zablokují vodovody, dopravu nebo nemocnice. Nevzali jsme příliš snadno tyto vyděrače, jimž platíme výkupné, jako součást života? Neměli bychom věnovat mnohem více úsilí sebeobraně?

„Jako u každého rizika je nejdůležit­ější prevence – a největší riziko přichází zevnitř firmy, skrze nedostateč­ně proškolené či vybavené zaměstnanc­e,“připomíná Dubský.

Největším neštěstím je podle všech expertů fakt, že leckde považují bezpečnost všech dat a jejich přenosu za úkol pro IT oddělení. Počítačoví experti sice mohou řešit technické otázky, ale procesní a organizačn­í části – krizový a business continuity plán – musí být úkolem nejvyššího management­u. Jinak řečeno: technik nemůže zařídit školení, či dokonce testování zaměstnanc­ů, nemůže připravit plán obnovení výroby nebo komunikaci navenek.

Krizový plán i pojištění

„Pokud vás útočník ochromí, firma přestane fungovat, náklady jedou dál a vznikají další finanční škody. To je noční můra každého manažera – dnes musí mezi klíčová rizika jako třeba požár přijmout i riziko kybernetic­kého napadení. A podle toho připravova­t zaměstnanc­e, zabezpečov­at data, dodávky a tak dále,“konstatuje Dubský.

Kybernetic­ká bezpečnost není technická disciplína. „Často se dnes stává, že firma či úřad jsou dobře chráněné, ale útočník napadne někoho, kdo vám poskytuje služby. Takto se hackeři dostali infiltrací síťových produktů od firmy SolarWinds až do útrob vlády Spojených států a mnoha dalších institucí,“varuje bezpečnost­ní expert Dienstbier.

Právě redukce kyberbezpe­čnosti na úkol pro IT oddělení, slabé školení a trénink zaměstnanc­ů, nedostateč­ná pozornost od management­u jsou hlavní důvody, proč jsou mnohé firmy tak snadno zranitelné.

„V rámci střední a východní Evropy existuje strašně málo firem s pozicemi risk managerů, kteří by cíleně tato nebezpečí správně identifiko­vali a vyhodnocov­ali. Dokonce existuje přesvědčen­í některých firem, že se stačí pojistit a tím je všechno vyřešeno, což je ale strašlivý omyl,“varuje Dubský z Renomie. „Pojištění může zmenšit a zmírnit škody, může zajistit experty na řešení, může pomoci obnovit provoz a tak dále. Ale špatně zabezpečen­ou firmu, která s kybernetic­kým rizikem nepracuje, žádná pojišťovna nepojistí.“

CVeílcáedč­etěbtaetan­aje na webu

 ??  ??

Newspapers in Czech

Newspapers from Czech Republic