Počítačová kriminalita ve firmách roste

20. 10. 2016 | Zdroj: BusinessInfo.cz

Stále větší digitalizace dává firmám příležitost k efektivnímu řízení společností, na druhé straně však krádeže dat ohrožují bezpečnost podniků.

Je to paradox. Na jedné straně dalo Česko světu nejvýznamnější antivirové firmy, jako je Avast! nebo AVG, na druhé straně jsou právě počítače tuzemských firem ohroženější počítačovou kriminalitou, než je světový průměr. Ukazuje to například průzkum poradenské společnosti PwC zaměřený na počítačovou kriminalitu. Z něho vyplynulo, že se celkem 13 procent českých firem v uplynulých dvou letech setkalo s počítačovou kriminalitou. To je nadprůměrné číslo nejen při porovnání s ostatními zeměmi střední a východní Evropy, ale tuzemské výsledky negativně vyčnívají i nad celosvětovým průměrem.

Nezabezpečené sítě přitom budou pro firmy znamenat stále větší riziko. „Díky rychlým technologickým změnám se tradiční vnímání počítačové kriminality rozšířilo. K ohroženým systémům patří v současné době nejen počítače, ale také mobilní zařízení, zařízení připojená ke cloudu, a dokonce i automobily a spotřebiče v domácnosti připojené k internetu. Množství přístrojů, které mohou být použity k počítačovému podvodu a trestné činnosti, se tak rok od roku zvyšuje,“ upozornil Pavel Jankech, ředitel v oddělení Forenzních služeb PwC Česká republika.

Největší hrozba pro firmy

České firmy podle něj považují počítačovou kriminalitu za největší hrozbu v rámci hospodářské kriminality. „Počet obětí počítačové kriminality v Česku se za posledních pět let téměř ztrojnásobil. V měnícím se podnikatelském prostředí, kde drtivá většina dokumentů, komunikace a transakcí probíhá digitální formou, to však není žádným překvapením,“ dodal Pavel Jankech.

Díky poklesu cen výpočetní techniky jsou pro počítačový zločin v současnosti běžné přístupy, které byly ještě nedávno naprosto nedostupné. Proto se stále více objevují složitější scénáře podvodů. Pachatelům tak stačí k útokům stejné technologie, které dnes živnostníci a firmy běžně používají. Jen se je naučili ovládat lépe než většina uživatelů. K páchání kyberzločinu se dají využívat například pokročilé analytické nástroje, jako jsou algoritmy strojového učení určené například pro simulaci chování běžného zákazníka. Pachatelé mohou využít i jednoduché postupy, jako jsou speciální fráze ve veřejných vyhledávačích, ale i vysoce sofistikované hackerské techniky.

„Třináct procent českých firem se v uplynulých dvou letech setkalo s počítačovou kriminalitou.“

Kyberkriminalita se podle odborníků nejčastěji zaměřuje na převody peněz. Právě s krádeží finančních prostředků souvisí nejvíce počítačových podvodů. Druhou klíčovou oblastí je průmyslová špionáž a třetí poškození dobré pověsti podniku šířením nepravdivých informací na internetu včetně sociálních sítí a dalších kanálů. Poškození pověsti má přitom za cíl získat lepší postavení na trhu pro konkurenty. Pro tyto útoky se vžil termín kyberšikana.

„Vzhledem k tomu, že k virtuálnímu šikanování postačí i zcela základní znalosti práce s počítačem, není kybernetická šikana na rozdíl od jiných forem škodlivého chování ve virtuálním prostředí, jako jsou třeba hacking nebo počítačové pirátství, doménou počítačově nadprůměrně vzdělaných jedinců,“ podotýká pražský advokát Jiří Matzner, který se specializuje mimo jiné na IT právo.

Expert s cenou zlata

Dvě třetiny tuzemských firem přitom nejsou na počítačové útoky připravené. Plán reakce na tyto hrozby má funkční jen 33 procent českých podniků. Příčinou však není jen podceňování podobných rizik firmami, ale také nedostatek odborníků na tuto oblast. Ten není jen tuzemským specifikem, má celosvětový rozměr. Společnost Intel například ve své studii zveřejnila, že 82 procent firem ve světě se potýká s nedostatkem odborníků na kybernetickou bezpečnost.

„Jde o globální problém,“ říká James A. Lewis, viceprezident Centra pro strategická a mezinárodní studia. Například loni bylo v USA neobsazeno 209 tisíc pracovních míst se specializací na kybernetickou bezpečnost. Tamní firmy přitom nečekají výrazné zlepšení, do roku 2020 předpokládají, že nebudou moci obsadit přibližně 15 procent pozic specializovaných na kybernetickou bezpečnost.

Poptávka po odbornících na kybernetickou bezpečnost totiž roste podstatně rychleji než tempo, jímž na trhu práce přibývají kvalifikovaní pracovníci. Souvisí to s nástupem internetu věcí i průmyslu 4.0, který je rovněž založen na širokém propojení prostřednictvím internetu. Na tento trend se snaží reagovat též české vysoké školy. Do poslucháren Českého vysokého učení technického v Praze letos v říjnu poprvé usednou posluchači nových oborů včetně bakalářského oboru internet věcí a magisterského oboru kybernetická bezpečnost. Ty byly letos akreditovány v rámci Fakulty elektrotechnické.

„Stejně jako u stávajících oborů i u nových se budou studenti vzdělávat ve velmi úzkém kontaktu se skvělými vědci a odborníky na nové technologie se zahraniční zkušeností. Otevřená informatika takto otevře absolventům příležitosti na měnícím se trhu práce budoucí znalostní ekonomiky,“ konstatoval Michal Pěchouček, garant programu Otevřená informatika, v jehož rámci obory vznikly.

Nedostatek odborníků však není jedinou příčinou, proč firmy svoji kybernetickou bezpečnost podceňují. IT manažeři jsou v podnicích často pod tlakem, aby obětovali bezpečnost dat pro zajištění konkurenční výhody.

Na firemní data odkudkoli

Třetina IT manažerů například uvádí, že je vedení společností má k tomu, aby přistupovali k firemním datům z vlastních mobilních zařízení, přestože je to v rozporu s firemními pravidly. „Bez potřebné mobility nemůže dojít k digitální transformaci. Proto je na organizace vyvíjen tlak, aby se posouvaly vpřed a inovovaly, což je nutí podstupovat krátkodobá bezpečnostní rizika, aby mohly svým zaměstnancům zajistit potřebnou pružnost,“ komentoval situaci Vladimír Střálka, manažer pro Českou republiku a Slovensko ve společnosti VMware, která se zaměřuje na mobilní zařízení a cloudové služby.

Právě využívání soukromých zařízení ve firmách, označované jako BYOD (z anglického Bring Your Own Device), je přitom v českých podnicích stále silnějším trendem. Zatímco ještě loni umožňovala práci na vlastních počítačích, tabletech či chytrých telefonech jen pětina tuzemských firem, letos je to již 49 procent. Česko se tak zařadilo nad evropský průměr, který činí 47 procent.

„Víc než zdvojnásobení počtu firem, které chápou, že koncept BYOD jim pomůže, pokud ho dobře řídí, je skvělou zprávou. Ukazuje na vůli menších firem ke zlepšení jejich IT vybavení a na snahu o zvýšení produktivity zaměstnanců,“ tvrdí Petr Klement, manažer divize Windows v tuzemské pobočce Microsoftu. Nejde přitom jenom o soukromé notebooky pro pracovní účely.

BYOD může být oboustranně výhodné řešení pro zaměstnance i zaměstnavatele. Jak ukázala loňská studie, lidé mají často doma modernější IT vybavení než v práci. Možnost používat stejné zařízení doma i v práci je pro ně jednodušší z hlediska ovládání i efektivnější z hlediska výkonu. „Zaměstnanci jsou navíc občas motivováni finančními příspěvky na BYOD, to v jejich vnímání zvyšuje atraktivitu firmy. Pro zaměstnavatele se zase snižují náklady za IT,“ dodává Petr Klement.

Dalším rizikem pro firemní data je práce zaměstnanců z domova. Tu podle letošního průzkumu PwC umožňuje již 66 procent českých firem, jejichž povaha práce to umožňuje.

Poslušně hlásím kyberútok

Aby toho nebylo na IT manažery ve firmách málo, přiložil si svoje polínko do ohně také stát. Ten na přetížené experty na kybernetickou bezpečnost navalil další povinnost. Od ledna letošního roku totiž platí nový zákon o kybernetické bezpečnosti.

Jedním z úkolů nové legislativy je sjednocení elektronické komunikace, a to nejenom ve státní správě, ale částečně i v soukromé sféře. Je zaměřen především na zvýšení bezpečnosti důležité infrastruktury státu a firem spravujících osobní údaje velkého množství lidí. Smyslem nových pravidel stanovených zákonem je předcházení závažným bezpečnostním hrozbám a vymezení možností jejich řešení v reálném čase.

„To by pochopitelně nebylo možné bez stanovení pravidel spolupráce mezi veřejnou správou a soukromým sektorem, přičemž nový zákon klade na firmy a státní instituce, pokud jde o kybernetickou bezpečnost, poměrně vysoké nároky. Vybrané státní i soukromé organizace mají navíc za povinnost hlásit kybernetické útoky a v souladu se zákonem na ně reagovat,“ upřesňuje Vladimír Michálek ze společnosti Servodata.

Nový zákon se týká především státní správy. Díky němu by měla být státní sféra i další klíčové počítačové systémy v zemi odolnější vůči potenciálním útokům. Nová úprava ovšem dopadá také na řadu firem. Problém je však v tom, že některé podniky ani několik měsíců po začátku její platnosti netuší, že se jich zákon týká. Příslušné vyhlášky jsou totiž tak nejednoznačně napsané, že se v nich dlouho neorientovaly nejenom podniky, ale ani státní úředníci.

„Dvě třetiny tuzemských firem nejsou připravené na počítačové útoky.“

Dotčené firmy musely například zřídit pozici takzvaného manažera kybernetické bezpečnosti, kterým může být pouze osoba odpovědná za systém řízení bezpečnosti informací. Ta musí být pro tuto činnost vyškolena a je povinna prokázat odbornou způsobilost praxí v řízení bezpečnosti informací po dobu nejméně tří let. Vyhlášky zároveň definují povinnosti firem a státních institucí v oblasti ochrany dat před kybernetickými útoky a stanovují i lhůty, dokdy je mají splnit.

Do působnosti kybernetického zákona přitom spadají firmy nejrůznějšího druhu. Od provozovatelů zdravotnických databází přes podniky z oblasti dopravy, potravinářství až po bankovnictví. „Týká se to například bank či pojišťoven s tržním podílem nad deset procent. Platí i pro soukromé zemědělce v případě, že hospodaří na půdě s výměrou nejméně čtyři tisíce hektarů pro jednotlivou plodinu, a tak dále,“ dodává Jakub Kejval, generální ředitel společnosti Bureau Veritas.

Povinnost, která již nyní zatěžuje IT oddělení řady firem, se navíc má rozšířit na další typy podniků. O jaké přesně půjde a jaká opatření se jich budou týkat, však bude opět jasné až z příslušných prováděcích vyhlášek, které zatím nebyly vydány. Pokuta za nesplnění nových povinností bude činit až pět milionů korun. Již nyní se objevily informace, že by se povinnost měla týkat mimo jiné i vyhledávačů nebo některých e-shopů. Naopak by neměla dopadnout například na oblíbené porovnávače cen.

Převzato z časopisu Profit. Autor článku: Dalibor Dostál.

Tisknout Vaše hodnocení:

Související články

Diskuse k článku

+ Nový příspěvek