Je naivní věřit, že se nás kyberhrozby netýkají

Zbavte se závislosti na kybernetické bezpečnosti, pokud jí trpíte a pokud ne, dejte si pozor, ať jí nepropadnete, radí Petr Plecháček, senior manažer oddělení IT poradenství společnosti EY v České republice.

Je naivní věřit, že se nás kyberhrozby netýkají


Zveřejnili jste výsledky globálního průzkumu o kybernetické bezpečnosti, který patří k těm nejrespektovanějším průzkumům svého druhu. Co z něj vyplývá? 

Že jsou organizace lépe připravené čelit kybernetickým hrozbám a investují do této oblasti značné finanční prostředky. Výsledky ale na druhou stranu ukazují, že objem investic je nedostačující, utrácet více by chtěl každý, ale vše je třeba řešit vyváženě. Nicméně poměrně zarážející je fakt, že velice významné procento společností nepovažuje svá bezpečnostní opatření proti kybernetickým útokům za dostatečná. Zde bych vnímal souvislost mezi daleko dynamičtějším a rychlejším vývojem kybernetických hrozeb, které v rámci globalizovaného světa narůstají exponenciálně, a možností organizací na ně včasně a účinně reagovat.
Uvědomíme-li si, jakým tempem se vyvíjejí mobilní technologie, internet věcí nebo průmysl 4.0, nelze se divit, že technologická evoluce je rychlejší než možnosti organizací, a vlastně i člověka, přizpůsobit se a plně pochopit související dopady a důsledky.

Jaké jsou největší hrozby, určitě to bude ransomware, že?

Je těžké spekulovat, co je největší hrozbou, protože neexistuje spolehlivý zdroj pro její vyhodnocení, kybernetické napadení totiž není jednoduché a zřejmě ani žádoucí ventilovat. Na veřejnost se tak často dostává pouze špička ledovce. Ransomware je specifický tím, že představuje hmatatelnou hrozbu s transparentním důsledkem, jednoduše nemáte svá data k dispozici. Tím nechci říct, že nejde o závažný problém, který není potřeba řešit.
Malware je nejčastější hrozbou, objevuje se ve stále chytřejších formách a jde ruku v ruce s trendem automatizace. Ransomware jako jedna z novějších forem stále funguje a cílí na zranitelnější obory a organizace, jako je např. zdravotnictví. Poměrně nedávno se objevila ransomware kampaň cílící specificky na personalisty, kteří přijímají „nevyžádanou“ poštu poměrně běžně. Sám jsem zvědavý, jaké další formy a nápady rok 2017 v tomto směru přinese. Kybernetické hrozby jsou v mnohém podobné lidským chorobám. Nemoc v sobě můžete mít dlouho, ignorujete lehké příznaky, a když plně propukne, bývá často pozdě na celkovou záchranu. A tak se jen snažíte minimalizovat dopad, léčit zřejmé symptomy a nesoustředíte se na odstranění původní příčiny.
Budeme-li zkoumat, jak se kybernetická hrozba stala skutečností, z velké části dojdeme k závěru, že jde o důsledek nechtěného, nicméně často lehkomyslného či nedbalého chování uživatele. Stále tedy platí, že největší hrozbu představuje lidský faktor. Ten do organizací vstupuje jednak v podobě uživatelů s nízkým bezpečnostním povědomím, ale i prostřednictvím využívání výsledků práce, tedy produktů, přístrojů, softwaru, kde narůstá riziko nevhodného designu, který nerespektuje bezpečnostní principy, případně lidskou chybou, která zůstala neodhalena.
Další výraznou hrozbou, jejíž odstranění není jednoduché z důvodu ohromné či extrémní komplexnosti a obecných principů životního cyklu obnovy, jsou zastaralé technologie a dnešním podmínkám nevyhovující architektura používaných řešení. Validní skutečností určitě je, že zde budou organizace z principu věci neustále pozadu. Takže je třeba tuto hrozbu adresovat nepřímo, prostřednictvím investic do monitoringu a včasného odhalení a definováním jasných postupů, jak v takových případech postupovat a co dělat pro jejich nápravu.

Co z toho se týká České republiky?

V současném globalizovaném světě, kde zahraniční společnosti mají své pobočky na našem území, kybernetický prostor a celková digitalizace nerespektují tradiční hranice. Je proto naivní si myslet, že se nás kybernetické hrozby netýkají. Nespornou výhodu máme nicméně v tom, že mluvíme menšinovým jazykem, který přidává další vrstvu bezpečnosti. Naše ekonomika zároveň není natolik globálně výrazná, aby se stala terčem různých kybernetických zájmových útoků.
Každá dobrá myšlenka i záměr se dají zneužít. Těší mě ale, že jsou jak na úrovni veřejné správy, tak i v podnikové sféře uskutečňovány kroky k efektivnějšímu zvládání kybernetických hrozeb. Nejdůležitější je snaha vyrovnat se s bezpečnostními dluhy z minulosti, což platí zejména o bezpečnosti provozních technologií a o průmyslových informačních systémech. Zde mají podle mě kybernetický zákon a jeho implementace pozitivní efekt, který vede k celkovému uvědomění si zranitelností a jejich dopadů.
Určitě bychom také měli pokračovat ve výchově bezpečnostních odborníků, kteří dokážou zvyšovat bezpečnostní povědomí mezi uživateli a celou populací. Díky nim budeme lépe připraveni na nastupující trendy, jako jsou IoT, průmysl 4.0 a další.

Znamenají zjištěné informace větší zátěž pro CIO?

Otázkou je, zda by CIO měl být klíčovou osobou, která se bezpečností zabývá. CIO se má podle mého názoru zaměřovat především na funkčnost současných technologií a připravovat se na adaptaci nastupujících technologií. Bezpečnost je specifická v tom, že se musí řešit jako celek. Nelze tedy určit jednu odpovědnou osobu a pak se domnívat, že právě ona zajistí ochranu před kybernetickými hrozbami.
Z tohoto důvodu velmi často slýcháme stále se opakující frázi, že bezpečnost musí být udávána shora, tedy od výkonného ředitele, přes celý vrcholový management, a implementována má být směrem dolů na každého zaměstnance. Na pracoviště nastupují nové generace, které jsou zvyklé od malička používat technologie zcela odlišným způsobem. To může být jeden z důvodů, proč se zvyšování bezpečnostního povědomí musíme věnovat a vymýšlet nové inovativní postupy.
CIO k tomu může přispět a je třeba, aby v rámci IT procesů prosazoval bezpečný softwarový vývoj, spolupracoval při aplikaci bezpečnostního monitoringu a připravil IT prostředí organizace, tak aby efektivně zvládala řešení incidentů. V neposlední řadě by CIO měl vytvářet prostředí, ve kterém by IT zaměstnanci s přímým přístupem k technologiím byli správně vybíráni a měli zájem a potřebu řešit věci pro dobro organizace.

Úvodní foto: Foto Martin Pinkas / (c) IDG Czech Republic

Vyšlo v CIO Business World 1/2017
Časopis lze koupit se slevou 20 %

Komentáře