Ve světě považují kybernetická rizika za druhou největší hrozbu pro podnikání hned po pandemii. České firmy naopak často chtějí na zabezpečení IT systémů ušetřit.
Počet nahlášených kybernetických útoků loni v Česku vzrostl meziročně na dvojnásobek. Nejčastěji šlo o spam, phishing a scanning, přibývá ale také nejzávažnějších typů útoků, jako je ransomware – škodlivý software spojený s požadavky na výkupné. Ani hrozba ztráty klíčových dat pro fungování podniku či riziko úplného odstavení provozu se škodami v desítkách milionů korun však ředitele českých firem zatím nepřiměla, aby riziku kybernetických útoků věnovali dostatečnou pozornost.
České firmy zásadně podceňují kybernetická rizika. Za hrozbu pro svoje podnikání v horizontu příštích 12 měsíců je nyní považuje jen 49 % generálních ředitelů, což v žebříčku vnímaných rizik znamená až 14. místo. Výše se v průzkumu CEO Survey 2021 publikovaném poradenskou společností pwc umístila v Česku i rizika jako dezinformace, kolísání měnových kurzů či nejistý politický vývoj. Generální ředitelé firem ve světě naopak kybernetická rizika řadí na žebříčku podnikatelských hrozeb hned na druhé místo po pandemii a jiných krizích spojených se zdravím obyvatel. Obává se jich hned 85 % respondentů. „V České republice se vedení společností věnuje kybernetickým hrozbám výrazně méně, než jak tomu je v USA či západní Evropě. Díky tomu potom k bezpečnosti laxně přistupuje celá organizace,“ říká Martin Lohnert, ředitel pro oblast kyberbezpečnosti v technologické společnosti Soitron.
Ačkoli se v posledním roce obavy ředitelů českých firem z kybernetických hrozeb o něco zvýšily, dostatečnou pozornost jim stále nevěnují ani přesto, že počet kybernetických útoků loni v Česku vzrostl na více než dvojnásobek. Ze zprávy Národního úřadu pro kybernetickou bezpečnost přitom vyplývá, že se zvýšil nejen počet incidentů, ale také jejich závažnost. Jako příklad Úřad jmenuje hackerské útoky proti Fakultní nemocnici Brno nebo Psychiatrické nemocnici Kosmonosy, jež způsobily škody za desítky milionů korun a narušily provoz obou zařízení. „Incidenty v nemocnicích jsou velmi smutným a často uváděným příkladem, a je dobré vědět, že útočníci u nich nemají žádné zábrany. Motivování výkupným, neváhají ani během pandemie vyřadit z činnosti zdravotnické zařízení a ohrozit život jejich pacientů. Tak proč by nezaútočili na jakoukoliv organizaci? A především ty, které jsou nejméně zabezpečené,“ zdůrazňuje Martin Lohnert.
Přestože kybernetické útoky dokážou způsobit řádově větší škody ve srovnání s náklady na jejich předcházení, patří právě kybernetická bezpečnost podle průzkumu pwc mezi 10 oblastí, ve kterých české firmy plánují v návaznosti na Covid-19 omezit dlouhodobé investice. Šetřit chce tímto způsobem 7 % oslovených generálních ředitelů firem, ve světě se přitom ke stejnému kroku přiklání jen 2 % respondentů. „Trendem ve firmách je stále více využívat IT – vše digitalizovat, pracovat z domova, či využít internet věcí. S tím roste počet závažných kybernetických útoků. Neradno je šetřit i na prevenci. To by se podnikům mohlo škaredě vymstít už při prvním vážném incidentu,“ dodává Lohnert.
Jak se před útokem chránit?
Připustit si možná kybernetická rizika a přidělit na jejich řízení dostatek finančních i lidských zdrojů je základní krok. Následovat však musí skutečně aktivní přístup firem k ochraně jejich systémů, protože i rizika se v čase vyvíjejí. Nezbytná je také pravidelná kontrola procesů zaměřených na zajištění kybernetické bezpečnosti ve firmě. „Když i přesto prvky kybernetického zabezpečení zachytí průnik do systémů firmy, je rozhodující rychlost reakce. Ne vždy musí bezpečnostní incident skončit masivními škodami, pokud se situace začne řešit ihned, například včasným odpojením napadeného zařízení od zbytku IT infrastruktury,“ uzavírá Lohnert.