Pane Di Filippo, kde se skrývají podle vás největší kybernetická nebezpečí pro firmy? Jsou to jejich vlastní zaměstnanci?
Nikoli, zaměstnanci nejsou takovým rizikem. Ti jsou pro hackery jen tím nejslabším článkem v kybernetické obraně, a tudíž dobrý cíl, kudy na podnik zaútočit a proniknout dovnitř. Skutečné největší nebezpečí je v mase škodlivého software, s nímž jsou zaměstnanci denně konfrontováni a na který hackeři dosáhnou.
Pravidelně se objevují „zákeřné otrávené kyberšípy“, které mají na svědomí události enormního dosahu. Například jako třeba v minulém roce ransomwary Petya a WannaCry. Tyto kódy využívají slabin software, a když si záškodníci vyhlédnou jako cíl nějakou společnost, je pro ni velmi těžké se účinně bránit. Vždycky se najde náhodná skulina, kudy se dostanou dovnitř – vždyť téměř každý zaměstnanec používá ve volném čase firemní vybavení i pro soukromé účely.
Za jak důležité považujete školení zaměstnanců?
To je velice důležité! Všichni lidé v podniku by měli mít povědomí o kybernetických rizicích. Kampaně na zvýšení znalosti tohoto problému a školení jsou proto alfou a omegou – měly by být v odstupňované intenzitě povinné pro všechny pracovníky firmy, a to od recepčního až po představenstvo.
Mohlo by vás zajímat: Na horší časy je potřeba se připravovat v těch lepších
Cíl učiva v takových školeních by neměl být omezen jen na aktuální trendy v kybernetické kriminalitě. Především by si měli zaměstnanci vybudovat cit pro potenciální ohrožení a měli by být motivováni k včasné aktivitě, tedy zejména k okamžitému informování IT oddělení. Jen tak mohou specialisté v podniku ve vážné situaci rychle reagovat. Čas je rozhodujícím faktorem takových událostí.
Je stát dostatečně vybaven, aby byl schopen v budoucnu podniky lépe chránit, nebo považujete tento úkol za výzvu pro soukromý sektor?
Jak chce stát tyto aktivity účinně regulovat, když státní organizace, jako například tajné služby, sami kupují software k vytěžení cizích dat, aby například pronikly do cizích IT systémů v zájmu vyšetřování? Ne, dokud stát sám platí peníze za takové informace a software, je pro mě taková představa nereálná. Navíc zákazy by byly neúčinné, kdyby vycházely od jednotlivých států. Neexistuje žádná možnost kontroly importu nebo exportu – škodlivé kódy lze rozesílat celosvětově prostě e-mailem. Soukromý sektor se může chránit jen sám.
Rozhodující je, aby každý podnik svůj IT systém izoloval a seskupil do celku tak, aby se úspěšný kybernetický útok nemohl hned rozšířit do celé firmy a paralyzovat ho. Ochranná opatření, která mají podnik chránit, musí mít dostatečný technický dosah a být neustále upravována v souladu s nejnovější situací, a to obzvláště s ohledem na autorizované možnosti přístupu zvenčí.
Jakou roli přisuzujete v této souvislosti odvětví pojištění?
Pojistná ochrana je v této oblasti významným aspektem. Současně je ale také problematikou s mnoha otazníky. Jak má být například vystavěný a konstruovaný konkrétní pojistný produkt? Stačí rozsah krytí pro vlastní podnik a poskytuje produkt vůbec tu správnou ochranu? Individuální vhodnost a úplnost jsou rozhodující, stejně jako například u běžeckých bot: mohu si koupit ten nejdražší model, ale je-li špatná velikost nebo nepasuje-li bota k mému atletickému stylu, nic mi to nepřinese. Proto je tak důležitý komplexní pohled.
Mohlo by vás zajímat: Jan Matoušek: IDD aneb tři písmena, která hýbou českým pojišťovnictvím
Abychom však k takovému pohledu dospěli, jsou nejprve nezbytné speciální audity, které položí zásadní otázky: Kde je firma nejsnáze napadnutelná a jaké jsou cíle ochrany? Často je výsledek takový, že zajištění je z ekonomického hlediska smysluplné jen pro zcela určité části výpočetní infrastruktury – například pro IT systémy vývojového oddělení. Na to musí člověk velmi pečlivě dohlédnout.
Je to tedy úkol pro pojišťovny a měl by být vybudován odpovídající poradenský servis?
Zcela jistě ano. Poslat jednoduše standardizovaný dotazník a podnik pojistit na jeho základě – tak to podle mého mínění nemůže fungovat. Namísto toho by měly pojišťovny nabízet vedle svého pojistného produktu také přiměřené poradenské služby a další servis. Kromě toho si myslím, že pojistitelé by ve svých podmínkách měli spolupůsobit na to, aby zaměstnanci pojištěného podniku byli v této oblasti kvalifikovaní.
Vždyť v pojištění vozidel se to také podařilo. Pro srovnání: když dneska najede auto do stromu, ze všeho nejdřív je podrobena kontrole kvalifikace a způsobilost řidiče, a ne technická závada samotného auta. K tomu je třeba dospět i v zacházení s kybernetickými riziky, přičemž uživatele IT systému je třeba správně kvalifikovat.
Marco Di Filippo pracuje od roku 1996 v oblasti IT konzultací, z toho 15 let v informační bezpečnosti a zabezpečení před kybernetickými riziky. Jeho specializací jsou organizační a technické expertízy a koncepty bezpečnosti IT systémů. Zastával vedoucí místa v různých firmách se zaměřením na IT Security. Je autorem četných publikací. V odborném tisku a ve svém blogu pravidelně publikuje o bezpečnostních mezerách a incidentech, jakož i o nejnovějších poznatcích v této branži.
Komentáře
Přidat komentář