Musíme vás ale zklamat, je to přesně naopak. Kybernetická rizika a s nimi spojené události a incidenty se týkají opravdu každé firmy, která byť jen používá běžné komunikační prostředky, jako je třeba e-mail. Ale i v malém a středním podniku se dnes kromě e-mailu pracuje s mnoha dalšími aplikacemi: s obchodními a marketingovými systémy, aplikacemi pro řízení výroby a skladů, účetnictvím, různými cloudovými řešeními apod. A tak rizika přirozeně rostou s tím, jak se digitalizace firemního businessu rozšiřuje.
Denně slýcháme typické reakce na debatu o kybernetických rizicích pro malé a střední firmy. Nejčastěji majitelé těchto firem argumentují nezajímavou velikostí svého podniku oproti velkým firmám. K tomu často doplňují, že se přece musí soustředit na svůj denní chleba, který je živí. Na nějaká kybernetická rizika jim tak nezbývá čas, finance nebo dokonce lidi. Problémy chápeme, jsme také firma podobné velikosti. Na druhou stranu se ptáme, co pan majitel bude dělat, až kybernetická událost v jeho firmě bude mít dopad i na jeho odběratele nebo klienty? V horším případě, když jeho firmu použijí útočníci jako vstupní bránu k útoku na velkého odběratele? Můžeme majitele opravdu ubezpečit, že pokud se něco takového stane, dodavatelem napadeného podniku už dlouho nebude.
Mohlo by vás zajímat: ČBA: Podceňujeme útoky přes mobil a neměníme hesla
Stejně často posloucháme, že prý firma zpracovává nezajímavé informace, které jsou navíc veřejně dostupné. To sice může být pravda, ale každá firma zpracovává data, které jsou nějakým způsobem zneužitelná a pro zločince jsou proto lukrativní. A to nejen kvůli přímým důsledkům ohrožení zajímavých obchodních nabídek nebo zadávacích řízení, ale také proto, že každá informace je pro útočníky střípkem v mozaice, který útočník někdy v budoucnu pro svůj cíl využije.
Jednoduše řečeno, pro malé a střední podniky kybernetická bezpečnost prioritou prostě není. Především je to investice, která negeneruje zisky a nemá primární vliv na efektivitu obchodu. Navíc pokud bezpečnostní opatření vyžaduje povinná legislativa, je vnímána jako nutné zlo. Zářným případem je nedávné povinné zavedení požadavků GDPR k ochraně práv subjektů osobních údajů. V tomto případě se opatření pro snížení kybernetických rizik často změnila ve slohová, administrativní a právní cvičení.
Ale trochu vážněji. Opomíjení kybernetických rizik a jejich dopadů je skutečným přímým ohrožením růstu každé firmy a počtu jejich spokojených zákazníků. Případů, kdy tuzemská firma naletí falešné technické podpoře, zaplatí fakturu nastrčenému prostředníkovi nebo je vydírána po zašifrování firemní sítě, opravdu přibývá. Odhady říkají, že až 60 % malých a středních firem má reálné zkušenost z nějaké kybernetické události a výše přímé finanční škody pro jednotlivý podnik je i v řádu miliónů korun za případ.
Mohlo by vás zajímat: Robert Kareš: AČPM je profesionální platforma se silným renomé
Kybernetické bezpečnosti by jistě významně prospělo, aby se tedy i malé a střední podniky více věnovaly snižování svých kybernetických rizik. Není se třeba obávat toho, že firma musí vynakládat horentní úsilí, které citelně odčerpá její finance a pracovníky. Poradíme vám čtyři základní kroky, které by měl malý a střední podnik udělat, aby svoji kybernetickou bezpečnost skutečně posílil.
Dbejte na proškolení vašich zaměstnanců
Zaměstnanci (obecně lidský prvek) opravdu stojí v první obranné linii proti počítačovým záškodníkům. To, že v podniku nemáte pro své pracovníky sepsány alespoň základní pracovní postupy k bezpečné práci s počítači a k ochraně podnikových informací, ukazuje na vaše slabiny a může to být zárodek vážné bezpečnostní události. Bezpečnostní povědomí pracovníků je opravdu klíčové. Trvale a trpělivě učte vaše zaměstnance, aby měli základní návyky „kybernetické hygieny“. To významně pomůže vašemu podniku zvýšit ochranu proti rizikům z narůstající digitalizace.
Organizujte pravidelné tréninky
Počítačoví záškodníci s oblibou zkouší na běžné počítačové uživatele různé lsti, finty a úskoky, aby od nich získali peníze nebo potřebné informace. Útočníci jsou také velmi vynalézaví a svoje podvody často mění nebo vymýšlejí nové. Jako zaměstnavatelé byste měli usilovat o to, aby vaši pracovníci byli schopni různé typy těchto počítačových podvodů včas rozpoznat. Paní účetní by se pak nemělo stát, že pošle bez prověření peníze na fakturu s falešným číslem účtu, kterou dostane v podvodném emailu. Pravidelné tréninky a školení, kdy se zaměstnanci učí reagovat na různé typy počítačových podvodů, pomůže poznat příznaky nekalého jednání dříve, než je pozdě.
Mohlo by vás zajímat: TOP 30 pojišťovacích makléřů za rok 2018 v Česku dle oPojištění.cz
Nebojte se hodnotit svoje kybernetická rizika
Každá firma může čelit různým rizikům například podle toho, v jaké oblasti podnikání působí. Různá rizika bude mít například výrobní podnik, zemědělská farma, účetní firma nebo specializovaná ordinace. Pokud nemáte odborné znalosti, obraťte se na odborníky, kteří vám s hodnocením vašich kybernetických rizik poradí, Rovněž vám navrhnou rozumná technická a organizační opatření, která pomohou kybernetická rizika snížit a posílit bezpečnost vašich dat a informací. Doporučí i možnosti pojištění některých rizik, jako je třeba přerušení provozu při výpadku IT systémů nebo poškození dobré pověsti při úniku osobních dat klientů.
Připravte se na to, jak se budete chovat v krizi
Připravte si alespoň jednoduchý postup (tzv. krizový plán), co budete dělat v případě, kdy dojde k nejhoršímu. Může například nastat výpadek hlavních IT systémů nebo dojde k odcizení nebo poškození vašich provozních dat. A v důsledku toho se business vaší firmy může významně zpomalit nebo dokonce zcela zastavit. Krizový plán by měl obsahovat role a odpovědnosti za jednotlivé kroky v případě takové krize. Dotyčné osoby by také měli vědět, jak postupovat při komunikaci k veřejnosti, partnerům a podobně. Opět vám s tím pomůžou odborníci, specializovaní na krizové řízení nebo krizovou komunikaci při kybernetickém incidentu.
Petr Moláček
Daniel Konečný
http://www.cyberinsurance.cz
Komentáře
Přidat komentář