Na nedávné panelové diskusi, která se konala v rámci naší konference, zazněly jasné a někdy až mrazivé postřehy. Je v našem zájmu se o ně podělit – protože čím více firem bude připraveno, tím menší dopad budou mít incidenty, které dnes již nejsou otázkou „jestli“, ale „kdy“.
Kybernetická bezpečnost už dávno není doménou IT firem nebo „průmyslových“ společností. S rozvojem digitalizace a síťového podnikání se stává otázkou přežití – ať už provozujete výrobní závod, poradenskou firmu nebo e-shop.
Na nedávné panelové diskusi, která se konala v rámci naší konference, zazněly jasné a někdy až mrazivé postřehy. Je v našem zájmu se o ně podělit – protože čím více firem bude připraveno, tím menší dopad budou mít incidenty, které dnes již nejsou otázkou „jestli“, ale „kdy“.
Největší hrozba dneška? Ne požár, ale data
Podle Allianz Risk Barometer jsou kybernetická rizika již třetím rokem považována za největší hrozbu pro podnikání. Není se čemu divit – přímé útoky, výpadky systémů nebo ztráta důvěry zákazníků mohou podnikání na týdny paralyzovat.
Nejzranitelnější? Výrobní podniky. Paradoxně právě tam bývá ochrana slabší než v bankách – a jak uvedl panel „mnoho společností nemá ani zámek na dveřích, natož alarm.“ Výsledek? Útočníci jdou tam, kde je nejmenší odpor. A střední podniky jsou snadnou kořistí.
Největší slabina: lidské zdroje.
95 % všech incidentů je způsobeno lidskou chybou. Často už nejde o klasický hack, ale o manipulaci. Útočníci dnes neobcházejí systémy, ale lidi. Využívají trpělivost, psychologii a technologii.
Mění se také scénáře: útoky bývaly rychlé a primitivní, dnes jsou sofistikované. Podvodný e-mail se stává celou komunikací, která vypadá, jako by pocházela od kolegy. Falešná call centra nebo „romantické“ investiční podvody nejsou výjimkou. Ve firmách sami zaměstnanci posílají peníze podvodníkům – v domnění, že zachraňují konto nebo plní pokyny vedení.
Ransomware a den, kdy se všechno zastaví
„Před několika lety trvala doba výpadku po útoku ransomwaru průměrně tři dny. Dnes je to 22 dní,“ zněla diskuse. Co to znamená pro společnost? 22 dní bez fakturace, výroby, komunikace. A zároveň obrovské náklady na obnovu dat a reputace.
Některé společnosti raději zaplatí výkupné – i když pojišťovny ho obvykle neproplácejí. Jiné sázejí na obnovu, ale i ta může stát desítky milionů. A jak bylo řečeno, obnova jednoho počítače může stát mezi 80 a 100 tisíci korunami.
Umělá inteligence: zbraň s dvojím ostřím
AI zásadně změnila pravidla hry. Útočníci ji využívají k tomu, aby jejich zprávy vypadaly přesvědčivě, jejich kód byl efektivnější a jejich útoky rychlejší než kdykoli předtím. To, co dříve trvalo hodiny, nyní zvládnou za pár minut.
AI však může stejně dobře chránit – detekovat anomálie, analyzovat vzorce chování, včas spouštět alarmy. Bohužel zatím útočníci využívají AI ve své obraně obratněji než společnosti. A to se musí změnit.
Pojištění? Ano, ale ne pro každého
Kybernetické pojištění není dnes běžné. Většina společností ho nemůže získat – jednoduše nesplňují základní bezpečnostní požadavky. Pojišťovny například vyžadují dvoufaktorovou autentizaci, školení zaměstnanců nebo bezpečné zálohy. Pokud nic z toho neexistuje, pojistka nebude uzavřena.
Bez adekvátní ochrany může podnik čelit škodám v řádu milionů bez možnosti náhrady. Často se diskutuje o tom, zda tuto situaci může pokrýt pojištění odpovědnosti ředitelů a vedoucích pracovníků (D&O) – to však podléhá prokázání pochybení, jako je například nedodržení základních pokynů nebo neproškolení zaměstnanců.
NIS 2: povinnost namísto doporučení
Evropská směrnice NIS 2 již klepe na dveře. V České republice byl její návrh schválen a brzy se stane zákonem. Pro společnosti to znamená nové povinnosti v oblasti kybernetické bezpečnosti – a to nejen pro poskytovatele kritické infrastruktury.
Směrnice přináší povinnost zavést procesy, dohled, řízení incidentů a další prvky, které společnosti doposud často přehlížely. Výsledkem bude buď lepší ochrana – nebo trest.
Největší chyba: „to se nás netýká“
Jedním z nejčastějších důvodů, proč se kybernetická bezpečnost neřeší, je podceňování rizika. Statistiky jsou však jasné: kybernetický incident je 14krát pravděpodobnější než požár. Přesto má téměř každá firma pojištění proti požáru, ale ne proti kybernetickému útoku.
Další překážka? Stud. Zaměstnanci se často bojí přiznat chybu – a pak se společnosti zabývají následky příliš pozdě. Panelisté se shodli: ti, kteří zažili incident, berou kybernetickou bezpečnost vážně. Ti, kteří ho nezažili, riskují.
Co dělat teď?
Kybernetická bezpečnost není IT projekt. Je to otázka strategie, vedení a přežití. Základní kroky, které může vedení podniku podniknout již dnes:
Závěr
Kybernetická bezpečnost je investice, nikoli výdaj. Prevence je vždy levnější než škoda. Pokud si nejste jisti, zda je vaše firma dostatečně chráněna, kontaktujte nás. Pomůžeme vám udělat první krok, posoudit rizika a určit, zda jste připraveni čelit realitě digitálního světa.
HORIZON Risk Thought >> Fast Forward
Složitost dnešního rizikového prostředí se mění stále rychleji, což činí řízení rizik ještě náročnějším. Vytvořili jsme HORIZON, nejprve jako tištěnou publikaci a nyní jako platformu pro sdílení nejnovějších poznatků o probíhajících transformacích. Naši odborníci na rizika budou i nadále poskytovat své odborné znalosti a vědomosti, aby si posvítili na výzvy budoucnosti.
Gabriela Janečková
Head of Regions
GrECo International s.r.o.
T +43 664 962 39 18
Adam Jaroš
Head of Specialty
GrECo International s.r.o.
T +420 771 227 687
