Na nedávné panelové diskusi, která se konala v rámci konference pořádané společností GrECo International s.r.o., zazněly jasné, a někdy až mrazivé, postřehy. Je v našem zájmu se o ně podělit – protože čím více firem bude připraveno, tím menší dopad budou mít incidenty, které dnes již nejsou otázkou „jestli“, ale „kdy“.
Největší hrozba dneška? Ne požár, ale data
Podle Allianz Risk Barometer jsou kybernetická rizika již třetím rokem považována za největší hrozbu pro podnikání. Není se čemu divit – přímé útoky, výpadky systémů nebo ztráta důvěry zákazníků mohou podnikání na týdny paralyzovat.
Nejzranitelnější? Výrobní podniky. Paradoxně právě tam bývá ochrana slabší než v bankách – a jak uvedl panel „mnoho společností nemá ani zámek na dveřích, natož alarm.“ Výsledek? Útočníci jdou tam, kde je nejmenší odpor. A střední podniky jsou snadnou kořistí.
Mohlo by vás zajímat: Sloupek Kateřiny Lhotské: Green Deal aneb fáze očekávání a zklamání
Největší slabina: lidské zdroje
95 % všech incidentů je způsobeno lidskou chybou. Často už nejde o klasický hack, ale o manipulaci. Útočníci dnes neobcházejí systémy, ale lidi. Využívají trpělivost, psychologii a technologii.
Mění se také scénáře: útoky bývaly rychlé a primitivní, dnes jsou sofistikované. Podvodný e-mail se stává celou komunikací, která vypadá, jako by pocházela od kolegy. Falešná call centra nebo „romantické“ investiční podvody nejsou výjimkou. Ve firmách sami zaměstnanci posílají peníze podvodníkům – v domnění, že zachraňují konto nebo plní pokyny vedení.
Ransomware a den, kdy se všechno zastaví
„Před několika lety trvala doba výpadku po útoku ransomwaru průměrně tři dny. Dnes je to 22 dní,“ zněla diskuse. Co to znamená pro společnost? 22 dní bez fakturace, výroby, komunikace. A zároveň obrovské náklady na obnovu dat a reputace.
Některé společnosti raději zaplatí výkupné – i když pojišťovny ho obvykle neproplácejí. Jiné sázejí na obnovu, ale i ta může stát desítky milionů. A jak bylo řečeno, obnova jednoho počítače může stát mezi 80 a 100 tisíci korunami.
Umělá inteligence: zbraň s dvojím ostřím
AI zásadně změnila pravidla hry. Útočníci ji využívají k tomu, aby jejich zprávy vypadaly přesvědčivě, jejich kód byl efektivnější a jejich útoky rychlejší než kdykoli předtím. To, co dříve trvalo hodiny, nyní zvládnou za pár minut.
AI však může stejně dobře chránit – detekovat anomálie, analyzovat vzorce chování, včas spouštět alarmy. Bohužel zatím útočníci využívají AI ve své obraně obratněji než společnosti. A to se musí změnit.
Pojištění? Ano, ale ne pro každého
Kybernetické pojištění není dnes běžné. Většina společností ho nemůže získat – jednoduše nesplňují základní bezpečnostní požadavky. Pojišťovny například vyžadují dvoufaktorovou autentizaci, školení zaměstnanců nebo bezpečné zálohy. Pokud nic z toho neexistuje, pojistka nebude uzavřena.
Bez adekvátní ochrany může podnik čelit škodám v řádu milionů bez možnosti náhrady. Často se diskutuje o tom, zda tuto situaci může pokrýt pojištění odpovědnosti ředitelů a vedoucích pracovníků (D&O) – to však podléhá prokázání pochybení, jako je například nedodržení základních pokynů nebo neproškolení zaměstnanců.
Mohlo by vás zajímat: Extrémní vedra jsou smrtelnější než záplavy, zemětřesení a hurikány dohromady
NIS 2: povinnost namísto doporučení
Evropská směrnice NIS 2 již klepe na dveře. V České republice byl její návrh schválen a brzy se stane zákonem. Pro společnosti to znamená nové povinnosti v oblasti kybernetické bezpečnosti – a to nejen pro poskytovatele kritické infrastruktury.
Směrnice přináší povinnost zavést procesy, dohled, řízení incidentů a další prvky, které společnosti doposud často přehlížely. Výsledkem bude buď lepší ochrana – nebo trest.
Největší chyba: „to se nás netýká“
Jedním z nejčastějších důvodů, proč se kybernetická bezpečnost neřeší, je podceňování rizika. Statistiky jsou však jasné: kybernetický incident je 14krát pravděpodobnější než požár. Přesto má téměř každá firma pojištění proti požáru, ale ne proti kybernetickému útoku.
Další překážka? Stud. Zaměstnanci se často bojí přiznat chybu – a pak se společnosti zabývají následky příliš pozdě. Panelisté se shodli: ti, kteří zažili incident, berou kybernetickou bezpečnost vážně. Ti, kteří ho nezažili, riskují.
Co dělat teď?
Kybernetická bezpečnost není IT projekt. Je to otázka strategie, vedení a přežití. Základní kroky, které může vedení podniku podniknout již dnes:
- Prověřte svou současnou úroveň zabezpečení
- Pravidelné školení zaměstnanců (ne jednou za rok!)
- Zavedení základních technických opatření
- Spolupráce s odborníky (externími bezpečnostními partnery)
- Příprava na NIS 2
- Odpovídající pojištění – pokud splňujete podmínky
Mohlo by vás zajímat: Ivan Špirakus: Klima mění pojišťovnictví. Makléř jako průvodce novou realitou
Závěrem
Kybernetická bezpečnost je investice, nikoli výdaj. Prevence je vždy levnější než škoda. Pokud si nejste jisti, zda je vaše firma dostatečně chráněna, kontaktujte nás. Pomůžeme vám udělat první krok, posoudit rizika a určit, zda jste připraveni čelit realitě digitálního světa.
GrECo International s.r.o. je rodinná společnost s mezinárodní působností a přední poradce v oblasti rizik a pojištění v sektoru Corporate & Specialty ve střední a východní Evropě. Prostřednictvím globální sítě nabízí svým klientům celosvětové zastoupení a řešení šitá na míru.
Komentáře
Přidat komentář