Polovina českých manažerů si nemyslí, že je jejich podnik vystaven vyššímu riziku kyberútoku

Při příležitosti zveřejnění studie společnosti Sophos o vnímání kyberbezpečnosti mezi českými manažery nám zodpověděl několik otázek John Shier, bezpečnostní expert společnosti Sophos, který se oblasti kyberbezpečnosti věnuje více než 20 let. John se zaměřuje na oblast zajištění ochrany firem, organizací i koncových uživatelů před pokročilými hrozbami a zkoumá aktuální rizika od ransomwaru až po nelegální aktivity na dark webu. Zakládá si na tom, aby svoje doporučení pro zvýšení zabezpečení IT systémů formuloval jasně a srozumitelně i pro laiky.

Lze porovnat přístup českých firem v přístupu ke kybernetické bezpečnosti s ostatními zeměmi?

Výrazné odlišnosti u českých podniků nevidíme, spíše jen s mírným zpožděním reagují na bezpečnostní trendy a nové technologie. Důvodem je zpravidla nedostatek finančních zdrojů, který má na schopnost zajistit bezpečnost IT zásadní dopad. Řada firem proto stále spoléhá na mnohdy starší technologie ochrany a zastaralý model zabezpečení sítě, který spočívá v ochraně perimetru.

České podniky tedy do kybernetické bezpečnosti investují málo?

Některé české organizace investují dostatečně, ale naprostá většina bohužel nikoli. Podle průzkumu NÚKIB z roku 2020 považuje 60 % respondentů prostředky vyčleněné na kybernetickou bezpečnost za nedostatečné a 75 % organizací vynakládá na bezpečnost pouze do 5 % svého rozpočtu na IT. Podle našeho průzkumu z roku 2022 nemá 61 % malých a středně velkých firem žádného pracovníka nebo oddělení odpovědné za bezpečnost. Bohužel, jedinou skutečnou motivací pro výdaje na kyberbezpečnost, zejména u organizací z veřejného sektoru, jsou často náklady nezbytné pro splnění předpisů.

Lze uvést doporučenou výši investic do kybernetické bezpečnosti jako procento z příjmů?

Neexistuje žádná magická hodnota investice, která by vás ochránila od kybernetického útoku. Skutečné náklady se v jednotlivých organizacích liší. Zásadní je pochopit, co je třeba chránit, a kriticky posoudit, jak dobře je organizace aktuálně schopná to zajistit. Rozdíl mezi stávajícími a chybějícími bezpečnostními mechanismy bude tvořit váš rozpočet. Předejít útoku bude ale vždy méně nákladné než se z něj zotavit. Například americká města Baltimore a Atlanta byla zasažena ransomwarem a na obnovu svých systémů a dat každé z nich vynaložilo téměř 20 milionů dolarů. Jednou z cest je poskytnout týmu kybernetické bezpečnosti vlastní rozpočet, který nebude zatížen jinými prioritami organizace.

Jaké jsou znalosti českých top manažerů o kybernetické bezpečnosti?

Českým manažerům nechybí informace z médií nebo z bezpečnostních konferencí, ale i přesto, že je kybernetická bezpečnost aktuálním tématem, mnozí z nich se nezajímají natolik, aby jednali – přijímají riziko v naději, že se nestanou obětí. Podle našeho aktuálního průzkumu si 72 % manažerů myslí, že podniky jsou vystaveny většímu riziku, ale 43 % považuje kyberútok za nepravděpodobný. Tento rozpor naznačuje nesoulad mezi riziky, která kybernetické útoky představují, a realitou kybernetické kriminality. Významnou roli ale může hrát také zmíněný nedostatek finančních prostředků.

Máte nějaká doporučení, jak situaci zlepšit?

Prvním krokem je zcela jistě informovanost, ale ta musí být následována konkrétními opatřeními. Organizace musí nejprve odhalit své slabé stránky a následně přijmout opatření ke zlepšení, což mimo jiné zahrnuje zavádění moderních technologií a vhodných kontrolních mechanismů. Nesmí se ale spokojit s naprostým minimem, musí průběžně vyhodnocovat svůj stav zabezpečení a provádět úpravy, aby reagovala na aktuální, stále se měnící prostředí hrozeb. Toho lze dosáhnout vytvořením a testováním plánů reakce na incidenty. Dnešní podniky si také musí osvojit robustní bezpečnostní kulturu, aby každý – doslova od skladníka až po generálního ředitele – chápal, proč je kyberbezpečnost pro firmu důležitá a věděl, jak bezpečnostní incidenty neprodleně hlásit IT oddělení.

Při vývoji bezpečnostních řešení je využíván i fenomén umělé inteligence. Využívají AI a případně jak i kybernetičtí zločinci?

Útočníci v současné době umělou inteligenci příliš nevyužívají, protože jim dobře fungují stávající metody. Jedním z hlavních vývojových trendů je ale dostupnost rozsáhlých modelů pro úpravu obrazu, videa, zvuku (řeči) i textu širší veřejnosti. Pokud je známo, v kybernetické kriminalitě to zatím není výrazné, ale můžeme očekávat nárůst kompromitace firemních e-mailů i tzv. velrybářských útoků, a pak i výraznější rozšíření těchto technik. Útoky budou pravděpodobně využívat realistické deepfakes, kdy je existující osobnost kompletně podvržena na všech úrovních (video, hlas, text), a pak také falešný obsah v sociálních sítích a obecně na webu, který bude kompletně generovaný, ale perfektně konzistentní. Půjde například o zdánlivě různorodé, falešné skupiny na sociálních sítích. Tyto profily se časem stanou interaktivnějšími, protože s obětí povedou víceméně souvislou konverzaci prostřednictvím podvrženého hlasu a videa. (14.11.2022)