Ještě nikdy v minulosti nebyly firmy tak ohroženy počítačovou kriminalitou, jako nyní. Kyberzločin sice nepřišel s žádnými zásadními novinkami, ale výrazně přidal na intenzitě. „Způsoby útoků na firemní data a aplikace se příliš nemění, mění se spíše jejich četnost, intenzita a struktura hrozeb,“ říká Jan Dvořák, ředitel počítačové školy Gopas, která pořádá konference zaměřené na počítačovou bezpečnost HeckerFest.
Mezi nejčastější metody podle něj patří takzvané DDos, tedy záměrné přehlcení internetové stránky nebo služby požadavky. „Ty jsou téměř na denním pořádku. Častý je vyděračský malware, takzvaný ransomware. Zintenzivňuje se četnost útoků na data i aplikace, s rozvojem internetu věcí (Internet of Things – IoT) se zvyšuje i počet napadení IoT systémů a aplikací,“ dodává Jan Dvořák.
Velkou výzvu pro IT managery podle něj znamená rozmach mobility. „Riziko zvyšuje jak využívání velkého spektra mobilních zařízení se širokou paletou bezpečnostních děr, tak například využívání nezabezpečeného připojení v domácích sítích nebo nezabezpečených WiFi sítí. Největším nebezpečím pro firemní data a systémy ale stále zůstávají vlastní zaměstnanci – ať už způsobí problémy svou nedbalostí či neopatrností, nebo úmyslně,“ zdůrazňuje Jan Dvořák.
Podle průzkumu poradenské společnosti PwC považují české firmy počítačovou kriminalitu za největší hrozbu v rámci hospodářské kriminality. Počet obětí počítačové kriminality v Česku se za posledních pět let téměř ztrojnásobil, celkem 13 procent českých firem se v uplynulých dvou letech setkalo s počítačovou kriminalitou.
Obavy firem ze ztráty dat nejsou náhodné. „V dnešní době jsou pro podnikání mnohých soukromých společností nebo podnikajících fyzických osob informace natolik klíčovým faktorem, že je běžně tyto podnikatelské subjekty považují za cennější než různé komodity nebo hmotné statky. Zajištění bezpečnosti informačních systémů, aby bylo docíleno dostupnosti, neporušenosti a důvěrnosti informací potřebných pro podnikání soukromých subjektů se stává stále důležitějším tématem,“ podotýká Zuzana Štěpánková, advokátka bpv Braun Partners .
Pozor na dodavatele
„S významem informací pro podnikání soukromých společností roste i motivace informace odcizit nebo jinak zneužít, často v rámci konkurenčního boje,“ dodává Zuzana Štěpánková. Za ztrátou dat přitom podle ní nemusí být vždy jen sofistikované hackerské útoky, ale ke zneužití může dojít přímo ve firmě, ať již zaměstnanci, spolupracovníky nebo subdodavateli.
„Hlavním rizikem je selhání lidského faktoru nejčastěji plynoucí z nedostatečného bezpečnostního povědomí uživatelů. Zaměstnanec ztratí USB s citlivými údaji, omylem přepošle řetězový e-mail s důvěrnou přílohou, špatně volí heslo, často jsem se setkal s „Password“, užívá programového vybavení v rozporu s licenčními podmínkami, neinformuje o chybě nadřízeného a podobně,“ vypočítává nejčastější prohřešky Jakub Kejval, generální ředitel inspekční a certifikační společnosti Bureau Veritas.
„Jestliže informace uniknou při přenosu mezi firmou a jejím dodavatelem nebo poskytovatelem služeb, poškodí to vždycky dobré jméno obou subjektů, přestože se prokáže, že vina je jen na jedné straně. Proto musí firma vždy věnovat pozornost i tomu, s kým spolupracuje a zda jsou její informace u spolupracujícího subjektu v bezpečí. Když jsou neshody s normou odstraněny, můžeme firmě vydat certifikát,“ upozorňuje Jakub Kejval.
Firmám doporučuje „nevymýšlet již vynalezené“ a zavést systém řízení bezpečnosti informací podle ISO/IEC 27001 a nechat si systém certifikovat. Certifikát slouží i k prokázání splnění bezpečnostních opatření podle kybernetického zákona.
Bezpečnost firem a institucí řeší i kybernetický zákon, který platí od ledna 2016. Jedním z úkolů nové legislativy je sjednocení elektronické komunikace, a to nejenom ve státní správě, ale částečně i v soukromé sféře. Je zaměřen především na zvýšení bezpečnosti důležité infrastruktury státu a vybraných firem spravujících osobní údaje velkého množství lidí. Smyslem nových pravidel stanovených zákonem je předcházení závažným bezpečnostním hrozbám a stanovení možností jejich řešení v reálném čase.
Zákon může firmy inspirovat
Na firmy a státní instituce klade právní předpis poměrně vysoké nároky. Vybrané státní i soukromé organizace mají navíc povinnost hlásit kybernetické útoky a v souladu se zákonem na ně reagovat. Ve firmách plnění povinností souvisejících s kybernetickým zákonem často zatěžuje IT manažery, a proto není příliš populární. Podle odborníků by ho však podniky neměly zatracovat.
„Ačkoli tento zákon ukládá povinnosti pouze orgánům veřejné moci a těm soukromým subjektům, jejichž informační nebo komunikační sítě nebo systémy, které spravují a využívají, jsou kriticky významné pro chod státu, pro ostatní soukromé subjekty může být užitečným návodem pro implementaci a dodržování bezpečnostních zásad při práci s vlastními informačními systémy,“ podotýká Zuzana Štěpánková.
Kybernetickým zákonem se podle ní firmy mohou inspirovat v mnoha směrech. „Například mnohá tímto zákonem a souvisejícími vyhláškami stanovená organizační a technická opatření mohou být přínosná i pro dle zákona nepovinné soukromé subjekty. Třeba stanovit si významné typy informací, jako jsou důvěrné informace nebo obchodní tajemství a jiné,“ pokračuje Zuzana Štěpánková.
Bezpečnost je třeba testovat
Za důležité advokátka považuje, aby firmy věnovaly pozornost zabezpečení dat, ať již pomocí důkladnějšího ověřování identity a přístupových oprávnění s informacemi pracujících, zapojení antivirových programů, šifrovacích prostředků, provádění testů zranitelnosti informačních systémů, omezení možnosti instalace v rámci firemní politiky neschválených programů nebo aplikací či omezení možnosti kopírování firemních dat na externí nosiče.
„V neposlední řadě je ale i přes snahu docílit efektivního zabezpečení informací třeba mít na zřeteli ochranu osobních údajů spolupracujících osob a dbát na zákonnost případně použitých zabezpečovacích metod,“ uzavírá Zuzana Štěpánková, podle níž konzultace s právním poradcem pro oblast bezpečnosti umožní předejít případným komplikacím.
Co firmám, které neodvrátí kybernetický útok hrozí? Nejkritičtější oblastí jsou služby spojené s převody peněz. Nejvíce počítačových podvodů tak souvisí s krádeží peněz. Druhou klíčovou oblastí je průmyslová špionáž a poškození pověsti. To má většinou jediný cíl, a tím je získat lepší postavení na trhu, než má konkurent.
Dalibor Dostál