Bezpečí (zatím) vnímáme jako samozřejmost, ale měli bychom si uvědomit, že je to hodnota, o kterou musíme pečovat. I proto se tomuto tématu věnoval další díl ze seriálu expertních snídaní, které již více než deset let pořádá komunikační agentura COT group.
Realita ukazuje, že si to neuvědomujeme, což hned v úvodu potvrdila z Izraele Gabriela Ben David: „Každý incident je trochu jiný, ale pokud bych měla zobecnit, tak platí jedno pravidlo: Pokud vidím nebo slyším něco, co je podezřelé, tak to nebudu bagatelizovat. A pokud by to něco mohlo být skutečnou hrozbou, tak první reakcí by mělo být izolovat se od zdroje rizika a ukrýt se do bezpečí. Často jsem ale svědkem reakce opačné – v lepším případě nedělat nic, v horším jít se podívat.“
Tu naši obecnou bezstarostnost potvrzuje i fakt, že mezi hosty této expertní snídaně bylo minimum zástupců ze segmentu malých a středních firem, přestože zváni byli. Experti přitom považují právě malé a střední firmy za rizikové – na rozdíl od velkých firem a korporací bývají jejich bezpečnostní opatření žádná nebo slabá, a představují tak pro potenciální útočníky snadné cíle. A platí to ve světě fyzickém i virtuálním.
„Každá, i ta nejmenší firma, by měla mít definovanou bezpečnostní politiku a na ni navazující bezpečnostní strategii,“ poznamenal k tomu Jaromír Průša. To rozvedl Libor Šrám: „Firemní bezpečnostní politika je základním dokumentem, ve kterém jsou stanoveny firemní bezpečnostní cíle a definice pro dosažení a udržení potřebného bezpečného firemního prostředí, ke kterým se zavazuje vrcholové vedení firmy. Strategie je pak navazující dokument, který je vlastně plánem na konkrétní časové období. V něm je popsán způsob pro dosažení cílů definovaných bezpečnostní politikou. Zjednodušeně lze konstatovat, že politika definuje cíle – co a proč je potřeba chránit. A strategie popisuje, jak těch cílů dosáhnout.“
František Leiter i Jan Kozák zdůraznili téma snídaně, totiž fakt, že bezpečnost je komplexní pojem a má svou úroveň personální, procesní, technickou i technologickou. A každá z nich je nezastupitelná a neopominutelná. Minimem je skutečně definovat bezpečnostní politiku a na ni navazující dokumenty nižší úrovně.
„Důležité je stanovit osobu za bezpečnost odpovědnou, což by měl být vždy někdo z vedení firmy, implementovat přiměřená technická bezpečnostní řešení, zavést pravidelná školení zaměstnanců a vyhodnocování jejich porozumění, pravidelně vyhodnocovat také stav bezpečnosti a zavést procesy na vypořádávání neustále se měnících a narůstajících hrozeb. Ten poslední bod je významný zvláště v oblasti kybernetické bezpečnosti,“ připomenul Libor Šrám.
Do bezpečnosti se musí investovat
Péče o bezpečnost bezpochyby přinese zvýšené náklady. „Vnímám ji ale jako nutnost, protože pomůže ochránit aktiva společnosti a například odvrátit potenciální hrozby, nebo v případě mimořádné události zajistit kontinuitu a obnovu klíčových procesů a činnosti organizace. Bezpečnost, to není jen strážný a fyzická bezpečnost, je to skutečně komplexní obor, do kterého spadá fyzická, technická, personální i kybernetická bezpečnost, ale také Business Continuity Management a Compliance,“ vysvětlil Jaromír Průša.
„Nicméně malé či střední firmy nemusejí hned vytvářet pozici bezpečnostního manažera nebo ředitele, ale mohou si takovou osobu za úplatu sjednat od jiné organizace, která se bezpečností zabývá, a využít služeb sdíleného bezpečnostního manažera, specialisty, který jim pomůže nastavit politiku a strategii bezpečnosti, pravidelně bude vyhodnocovat analýzu rizik, nastavovat pravidla a procesy včetně sledování nových trendů,“ zdůraznil Jaromír Průša.
Na jedno z rizik outsourcingu je ovšem třeba dát si pozor, upozornila Gabriela Ben David: „Nevím, jestli je to české specifikum, ale pořád se často na bezpečnost díváme jako na investici, která nic nepřináší, žádný zisk. To je trochu krátkozraké, protože to nic, fakt, že se nic nestane, to bezpečí, to je právě ta hodnota, o kterou jde. Ano, to nic něco stojí, ale je to investice. A když si uvědomíte, že když se něco stane, stojí to firmu miliony a často stovky milionů, je investice do bezpečí jistě efektivní. Ale vnímám jedno nebezpečí – firmy se často rozhodnou do bezpečí investovat outsourcingem a najdou si někoho, kdo to pro ně udělá na míru. Často to tím ovšem končí, nezapojují se a péče o bezpečnost neproroste do DNA firmy, do firemní kultury. A to je problém, protože je naprosto nutné, aby management i zaměstnanci znali bezpečnostní rizika a věděli, jak se v případě incidentu mají chovat. Nelze prostě odpovědnost a starost o bezpečnost předat někomu zvenčí a myslet si, že mám hotovo.“
Problém jménem legislativa
Česko si skutečně zvyklo brát bezpečí jako samozřejmost – brannou výchovu na školách vystřídala výchova občanská a tu v posledních letech základy společenských věd. Vyrostla a vyrůstá tak generace, která nebezpečí nevnímá. To je zřejmá příčina obecné bezstarostnosti. A překvapivě v oblasti obecné bezpečnosti chybí i legislativa, která jinak poměrně přesně definuje bezpečnostní povinnosti například pro rizikové provozy, pro oblast požární ochrany nebo pro celou problematiku BOZP. Potřebu legislativy konstatovali v debatě i hosté.
„Neumím si představit osvíceného majitele firmy, který investuje raději do bezpečnosti než do benefitů pro zaměstnance,“ zaznělo například z pléna. A problém v absenci legislativy vidí i Jaromír Průša: „Ano, vnímám to jako velký problém, protože tam, kde chybí legislativa a regulace, nic nenutí společnost, a především firmy, aby se danou problematikou zabývaly. Pokud jde o odpovědnost provozovatelů a majitelů měkkých cílů, kam firmy patří, tu hodnotil i Národní kontrolní úřad a konstatoval zcela jednoznačně, že v ČR stále chybí komplexní systém ochrany měkkých cílů před teroristickými útoky. Totéž platí i u Zákona o bezpečnostní činnosti.“
Cestu ukazuje kybernetický prostor
Evropa skloňuje směrnici NIS2 – ta právě zavádí pravidla, jež by experti i majitelé firem uvítali i pro svět fyzický. Směrnice nově definuje povinnosti a chování v kybernetickém světě, dříve závazná pouze pro kritickou infrastrukturu, pro tisíce běžných firem. Možná proto, že rizika v kybernetickém světě nejsou ohraničena, ale mají často celospolečenský rozměr.
„Již několik let lze pozorovat nárůst kybernetických útoků nejen na organizace, ale hlavně na občany, a to především na zranitelné skupiny. Staří lidé, osamělé ženy a muže. Pro tuto skupinu chybí koncepční systém edukace, i když určité snahy jsou. Zde bych na všechny apeloval, aby používali kritické myšlení. Vždy zvážit, jestli není nabídka až příliš výhodná, aby to byla pravda, nebo jestli moje banka opravdu komunikuje tímto způsobem. Ve firemním prostoru jsou nadále útoky směřované na získání dat a následné vydírání nebo na narušení dostupnosti klíčových služeb. Roste také počet útoků na organizace v oblasti státní správy, výzkumu a školství,“ potvrdil Jan Kozák
Také shrnul aktuální stav implementace NIS2 do české legislativy: „NIS2 je projednávána legislativní radou státu, následně by ji měl projednat parlament. Transpoziční lhůta dle směrnice NIS2 požaduje účinnost nového zákona k 18. říjnu 2024. Dle průběhu legislativního procesu předpokládáme účinnost zákona koncem roku 2024. Termíny pro plnění dalších povinností pak budou záležet na finálním datu účinnosti zákona. Pořád jsme však v situaci, kdy úplné znění zákona ještě není a již jsem se poučil, že používat předpoklady je zrádné, již několikrát došlo k zásadním změnám.“
Možná je tlak na bezpečnost v kyberprostoru způsoben jedním faktorem: Zatímco hrozby ve fyzickém světě jsou často nástrojem osobní pomsty, kybernetické hrozby jsou z drtivé většiny organizovány jako velmi výnosný byznys. To potvrzuje i celosvětová studie, která průměrnou cenu za jeden kyberincident vyčíslila na šest milionů korun. Ale jsme nepoučitelní – i v české kotlině roste počet firem, které se terčem útoků staly opakovaně.
Artificial Intelligence versus Umělá inteligence
Pokud jde o bezpečnost, hrají dnes nepřekvapivě značnou roli technologie. Na obou stranách – využívají je totiž nejen strážci bezpečnosti, ale i útočníci. Takže bitva mezi Artificial Intelligence na straně globálního hackera a Umělou inteligencí na straně českých firem není žádnou fikcí, ale realitou.
Zůstaňme ale na straně bezpečí. Na trhu je bezpočet senzorů a čidel, která dokáží nepřetržitě monitorovat prostor a hlídat cokoliv podezřelého, od kvality vzduchu až po zvuky, běžným standardem jsou již kamerové systémy. Všechny tyto prvky dnes mohou doplnit chytré analytické systémy. Ale ani technologie nejsou všespásné. Důvody jsou přinejmenším dva. První je ten, že například mezi kamerou a kamerou může být propastný rozdíl – ta, která je vhodná k analýze chování člověka, jeho gest, mimiky a výrazu, nemá s běžnou kamerou používanou zpravidla v místech se zvýšenou koncentrací osob mnoho společného. Jinými slovy, při nákupu techniky je vždy zásadně důležité definovat, k jakému účelu má vlastně sloužit.
A pak je tu druhý důvod. Člověk. Moderní řešení bezpečnosti využívá služeb dohledových center, odborníci se ovšem shodují, že vyhodnocovací schopnosti personálu jsou značně omezené a v plné pozornosti žádný operátor dohledového centra nevydrží déle než pár desítek minut. Problém řeší opět technologie, a především umělá inteligence.
„U nás v Innovisu umíme bezpečnostní hrozby velmi dobře detekovat a reagovat na ně již v rámci vteřin. S rychlým vývojem AI a strojového učení vidím velkou příležitost v rozvoji schopnosti identifikace potenciálních hrozeb dříve, než nastanou a mohou způsobit škody. Přesouváme se tedy z úrovně reaktivní bezpečnosti do bezpečnosti prediktivní. Ani to ale neznamená, že člověk je ze hry venku. Naopak, prevence a osvěta mezi zaměstnanci je naprosto klíčová. Technologie jsou jen tak bezpečné, jak bezpečně je používáme. Věříme konceptu Human Firewal a podporujeme ho, protože v něm se každý uživatel stává obranou firmy, a dobrých výsledků společnosti dosáhnou právě pravidelnou osvětou a testováním všech zaměstnanců,“ zdůraznil František Leiter.
Závěr expertní snídaně na téma bezpečnost je zřejmý: Měla by se stát na všech úrovních, tedy i té firemní, jednou z priorit. A hlavní roli přes ohromující nástup technologií má a stále bude mít člověk.