Pane Di Filippo, kde se skrývají podle vás největší kybernetická nebezpečí pro firmy? Jsou to jejich vlastní zaměstnanci?
Nikoli, zaměstnanci nejsou takovým rizikem. Ti jsou pro hackery jen
tím nejslabším článkem v kybernetické obraně, a tudíž dobrý cíl, kudy na
podnik zaútočit a proniknout dovnitř. Skutečné největší nebezpečí je
v mase škodlivého software, s nímž jsou zaměstnanci denně konfrontováni a
na který hackeři dosáhnou.
Pravidelně se objevují „zákeřné otrávené kyberšípy“, které mají na
svědomí události enormního dosahu. Například jako třeba v minulém roce
ransomwary Petya a WannaCry. Tyto kódy využívají slabin software, a když
si záškodníci vyhlédnou jako cíl nějakou společnost, je pro ni velmi
těžké se účinně bránit. Vždycky se najde náhodná skulina, kudy se
dostanou dovnitř – vždyť téměř každý zaměstnanec používá ve volném čase
firemní vybavení i pro soukromé účely.
Za jak důležité považujete školení zaměstnanců?
To je velice důležité! Všichni lidé v podniku by měli mít povědomí o
kybernetických rizicích. Kampaně na zvýšení znalosti tohoto problému a
školení jsou proto alfou a omegou – měly by být v odstupňované intenzitě
povinné pro všechny pracovníky firmy, a to od recepčního až po
představenstvo.
Cíl učiva v takových školeních by neměl být omezen jen na aktuální
trendy v kybernetické kriminalitě. Především by si měli zaměstnanci
vybudovat cit pro potenciální ohrožení a měli by být motivováni k včasné
aktivitě, tedy zejména k okamžitému informování IT oddělení. Jen tak
mohou specialisté v podniku ve vážné situaci rychle reagovat. Čas je
rozhodujícím faktorem takových událostí.
Je stát dostatečně vybaven, aby byl schopen v budoucnu
podniky lépe chránit, nebo považujete tento úkol za výzvu pro soukromý
sektor?
Jak chce stát tyto aktivity účinně regulovat, když státní organizace,
jako například tajné služby, sami kupují software k vytěžení cizích
dat, aby například pronikly do cizích IT systémů v zájmu vyšetřování?
Ne, dokud stát sám platí peníze za takové informace a software, je pro
mě taková představa nereálná. Navíc zákazy by byly neúčinné, kdyby
vycházely od jednotlivých států. Neexistuje žádná možnost kontroly
importu nebo exportu – škodlivé kódy lze rozesílat celosvětově prostě
e-mailem. Soukromý sektor se může chránit jen sám.
Rozhodující je, aby každý podnik svůj IT systém izoloval a seskupil
do celku tak, aby se úspěšný kybernetický útok nemohl hned rozšířit do
celé firmy a paralyzovat ho. Ochranná opatření, která mají podnik
chránit, musí mít dostatečný technický dosah a být neustále upravována
v souladu s nejnovější situací, a to obzvláště s ohledem na autorizované
možnosti přístupu zvenčí.
Jakou roli přisuzujete v této souvislosti odvětví pojištění?
Pojistná ochrana je v této oblasti významným aspektem. Současně je
ale také problematikou s mnoha otazníky. Jak má být například vystavěný a
konstruovaný konkrétní pojistný produkt? Stačí rozsah krytí pro vlastní
podnik a poskytuje produkt vůbec tu správnou ochranu? Individuální
vhodnost a úplnost jsou rozhodující, stejně jako například u běžeckých
bot: mohu si koupit ten nejdražší model, ale je-li špatná velikost nebo
nepasuje-li bota k mému atletickému stylu, nic mi to nepřinese. Proto je
tak důležitý komplexní pohled.
Abychom však k takovému pohledu dospěli, jsou nejprve nezbytné
speciální audity, které položí zásadní otázky: Kde je firma nejsnáze
napadnutelná a jaké jsou cíle ochrany? Často je výsledek takový, že
zajištění je z ekonomického hlediska smysluplné jen pro zcela určité
části výpočetní infrastruktury – například pro IT systémy vývojového
oddělení. Na to musí člověk velmi pečlivě dohlédnout.
Je to tedy úkol pro pojišťovny a měl by být vybudován odpovídající poradenský servis?
Zcela jistě ano. Poslat jednoduše standardizovaný dotazník a podnik
pojistit na jeho základě – tak to podle mého mínění nemůže fungovat.
Namísto toho by měly pojišťovny nabízet vedle svého pojistného produktu
také přiměřené poradenské služby a další servis. Kromě toho si myslím,
že pojistitelé by ve svých podmínkách měli spolupůsobit na to, aby
zaměstnanci pojištěného podniku byli v této oblasti kvalifikovaní.
Vždyť v pojištění vozidel se to také podařilo. Pro srovnání: když
dneska najede auto do stromu, ze všeho nejdřív je podrobena kontrole
kvalifikace a způsobilost řidiče, a ne technická závada samotného auta.
K tomu je třeba dospět i v zacházení s kybernetickými riziky, přičemž
uživatele IT systému je třeba správně kvalifikovat.
Marco Di Filippo pracuje od roku 1996 v oblasti IT
konzultací, z toho 15 let v informační bezpečnosti a zabezpečení před
kybernetickými riziky. Jeho specializací jsou organizační a technické
expertízy a koncepty bezpečnosti IT systémů. Zastával vedoucí místa
v různých firmách se zaměřením na IT Security. Je autorem četných
publikací. V odborném tisku a ve svém blogu pravidelně publikuje o
bezpečnostních mezerách a incidentech, jakož i o nejnovějších poznatcích
v této branži.
RSS
Přebírání zpráv
