Je nepříjemnou pravdou, že kybernetická rizika není možné absolutně eliminovat. Na druhou stranu, existuje řada kroků, kterými může firma útokům předejít a minimalizovat případné dopady. Nedávný průzkum společností Marsh a Microsoft se věnoval tomu, jak firmy přistupují k bezpečnosti. Ve výzkumu odpovídalo přes 1500 manažerů z firem po celé zeměkouli.
Podle studie považuje 79 % respondentů kybernetickou bezpečnost za vysokou prioritu, překonala tak výrazně jiné obavy jako je ekonomická stabilita, legislativní restrikce či ztráta klíčových zákazníků. Dobrou zprávou je také to, že počet firem, které věnují kybernetické bezpečnosti pozornost, roste.
Kybernetická rizika vnímají firmy čím dál častěji | Zdroj: Studie 2019 Global Cyber Risk Perception Survey
Na druhou stranu téměř čtvrtina společností odpověděla, že si není jistá, zda dokáží na hrozby efektivně reagovat, 18 % nevěří, že dokáže posoudit rizika, a 19 % si není jistých prevencí.
Nové technologie přináší nová rizika
Mají-li firmy udržet krok s dobou, musejí využívat nové technologie. Bohužel si často neví rady s tím, jak takové technologie zabezpečit, což jejich konkurenceschopnost omezuje.
Celkem 74 % organizací posuzuje rizika před pořízením nové technologie, 54 % až po jejím zařazení do firemní sítě. Ačkoli tato data mohou znít slibně, realita je trochu jiná. Optimální je posuzovat rizika před i po implementaci nové technologie, což dělá jen 36 % firem. Desetina dokonce neposuzuje rizika vůbec. Přibližně ve čtvrtině případů se pak ukáže, že potenciální rizika přesáhnou možné výhody.
Pro bezpečnost je klíčový i dodavatel
Kybernetická bezpečnost je komplexní problematika. Je nutné uvážit také bezpečnostní standardy třetích stran a dodavatelů. V případě ochrany osobních dat na toto dobře poukázalo GDPR.
Třetina dotazovaných firem uvedla, že dodavatelům zařízení v otázkách zabezpečení produktů důvěřuje. Dalších 40 % zavádí vlastní bezpečnostní opatření bez ohledu na sliby výrobce.
Největší riziko? Neinformovaný zaměstnanec
Bez ohledu jak vysoké bezpečnostní standardy na technologie společnost má, musí investovat ještě do vzdělávání svých zaměstnanců. Řadě bezpečnostních incidentů dokáží totiž předejít oni sami, například tím, že nahlásí podezřelý phishingový e-mail. Podle našeho dotazování mezi klienty je ale tento aspekt často podceňovaný.
Směrnice, co nestahovat nebo s kým se poradit o podezřelém e-mailu, nestačí. Řada zaměstnanců totiž informace zapomene, pokud si vůbec směrnici přečte. Mnohem spolehlivější je zaměstnance v problematice kybernetických rizik vzdělávat.
Vyhodnotit incident nemusí být lehké
Pro řadové uživatele nemusí být vůbec snadné rozpoznat riziko. Podle našich dat je stále nejčastějším vektorem šíření malware e-mail. Obyčejný phishing, ale prošel dlouhým vývojem. Dnes je takový e-mail psán dobrou češtinou a může obsahovat i vlastní vizuální prvky firmy. O nebezpečí phishingu a jeho příčinách se na podzim mluvilo i na konferenci Black Hack.
V případe cíleného spear phishingu je třeba vyhodnotit legitimitu odkazu či zkontrolovat domény odesílatele v hlavičkách zpráv, což běžný člověk spolehlivě určit nedokáže. Základem vzdělávání by vždy mělo být pochopení potenciálních rizik pro zaměstnance osobně i pro celou společnost.
Poškodit firmu nemusí ale jen malware, ale také osobní aktivity prováděné v rámci firemní síti, například pokud stahuje nelegální kopie filmů a hudby, nemluvě o jejich distribuci prostřednictvím torrentů. Samostatnou kapitolou může být i záměrná krádež dat firmy, ať už například zákaznické databáze nebo technických výkresů.
Při nastavení bezpečnostních politik by IT oddělení společností mělo myslet i na tyto možnosti. V nástrojích ESET Endpoint Security lze blokovat potenciálně rizikové portály a vynášení dat na přenosných médiích.