Většina firem netuší, zda jejich metody odhalování bezpečnostních incidentů fungují; nejlepší prevencí je soustavné připomínání základních pravidel bezpečnostní hygieny

Nejnovější globální průzkum EY o informační bezpečnosti (Global Information Security Survey, GISS) dokládá, že zájem společností o problematiku kybernetické bezpečnosti sílí. Většina organizací neví, zda jejich přístup k odhalování bezpečnostních nedostatků funguje. Nejzávažnějším hrozbám stále vévodí nedbalý nebo nevědomý přístup zaměstnanců a zastaralé bezpečnostní kontroly.
Pouze 8 % respondentů považuje vlastní mechanizmy za dostatečné a celých 78 %, resp. 65 % zástupců větších a menších podniků se pak domnívá, že nástroje pro boj s kybernetickými hrozbami využívané jejich podnikem současným nárokům nevyhovují. Z průzkumu dále vyplývá, že 87 % organizací má na zajištění požadované úrovně ochrany k dispozici omezený rozpočet, přičemž u 55 % zúčastněných firem nejsou daná bezpečnostní opatření nedílnou součástí rozvojové strategie podniku a  kroků k jejímu naplňování. Překvapivé je, že v tomto ohledu zaostávají spíše větší podniky, zatímco menší jsou důslednější. Odhodlání navýšit výdaje na kybernetickou bezpečnost převažuje u větších společností, v letošním roce navýší finance 63 % z nich a příští rok 67 %, u malých společností pak 50 %, resp. 66 % v příštím roce.
Většina společností (77 %) se aktuálně snaží působnost běžně uplatňovaných opatření rozšířit za pomoci pokročilých technologií, kupříkladu umělé inteligence, robotické automatizace procesů či analytických nástrojů. Hodlají tak zkvalitnit základní bezpečnostní rámec a navíc hledají způsoby, jak bezpečnostní architekturu pozměnit, aby efektivněji podporovala samotný chod podniku. „Základy bezpečnostní hygieny bychom si měli neustále připomínat. Je nutné mít na zřeteli, že pravidelné aktualizace systému a aplikací a neustálá identifikace a náprava zranitelností organizace jsou nejlepší prevencí před rozsáhlými škodami,“ uvádí Petr Plecháček, Associate Partner, oddělení kybernetické bezpečnosti EY v České republice.
Kybernetická bezpečnost mezi prioritami strategie podniku
Všechny zúčastněné organizace se dle vlastního vyjádření nacházejí v určité fází digitální transformace a navyšují výdaje na zavádění moderních technologií. Tyto investice nejnověji směřují zejména do využívání cloud computingu (52 %), analytických nástrojů pro potlačování kybernetických hrozeb (38 %) a mobilních zařízení (33 %).
„Organizace dnes zvýšenou měrou investují do nově vznikajících technologií ve snaze propojovat lidi, data a procesy v rámci digitální transformace. Přestože se jim tak otevírají značné možnosti, z hlediska zabezpečení jsou vystaveny novým zranitelnostem a hrozbám. Měly by si uvědomit, že úspěch jejich transformačního úsilí je plně závislý na důvěře ze strany klientů a zákazníků. Aby si ji udržely, musí kybernetickou bezpečnost začlenit do své vnitřní struktury a učinit z ní jednu z priorit strategie podniku,“ uvádí Petr Plecháček.
Nejobávanější slabinou je nedbalý či nevědomý přístup zaměstnanců
Účastníci průzkumu připouštějí, že by se patrně k zintenzivnění bezpečnostních opatření, resp. navýšení rozpočtu na kybernetickou bezpečnost vůbec neodhodlali, pakliže by sami nebyli velmi vážnému narušení bezpečnosti či incidentu vystaveni. Aktuálnímu žebříčku nejzávažnějších hrozeb vévodí nedbalý či nevědomý přístup zaměstnanců (34 %), následovaný zastaralými bezpečnostními kontrolami (26 %), neoprávněným přístupem (13 %) a využívání cloud computingu (10 %). „Je snadné označit uživatele za nejslabší článek systému, protože má omezený prostor k obraně, jelikož techniky útoků jsou stále záludnější a více promyšlené. Bezpečnostní manažeři musejí proaktivně šířit osvětu o kybernetických hrozbách a vytvářet prostředí kombinující tradiční a moderní technologie s pragmatickými postupy k zajištění kybernetické bezpečnosti organizace,“ apeluje Petr Plecháček.
Jen 8 % respondentů uvádí, že jimi uplatňovaná bezpečnostní opatření zcela vyhovují jejich potřebám, 38 % organizací by patrně důmyslný kybernetický útok nedokázalo odhalit a méně než 10 % je pak zcela přesvědčeno o vyspělosti vlastních bezpečnostních opatření. Značná část odpovídajících (82 %) si však není jista, zda jejich metody odhalování bezpečnostních incidentů účinně fungují. Ze subjektů, které v uplynulém roce výskyt narušení bezpečnosti zaznamenaly, méně než třetina (31 %) uvádí, že danou událost odhalilo oddělení, jemuž potírání bezpečnostních hrozeb přísluší.
Strategické plány podniku musejí zahrnovat kybernetickou bezpečnost
V současné digitální éře je důraz na zvládání kybernetických hrozeb a včasné zavádění souvisejících bezpečnostních opatření neoddiskutovatelným předpokladem úspěšného podnikání. Kybernetická bezpečnost je při tvorbě podnikové strategie pravidelně zohledňována pouze v 18 % případů. U 60 % firem pak osobou přímo odpovědnou za kybernetickou bezpečnost není člen výkonného orgánu. Na druhou stranu 70 % všech dotazovaných (konkrétně 73 %, resp. 68 % zástupců větších a menších podniků) tvrdí, že vrcholové vedení je s problematikou kybernetické bezpečnosti obeznámeno, případně si své povědomí v této oblasti snaží prohloubit.
Petr Plecháček na závěr dodává: „Vycházíme z toho, že zvládnutí digitálních technologií ve vztahu ke klientovi se stane naprostým základem budování jakýchkoli hodnot v podnikání. Je proto zásadní, aby odpovědní pracovníci opustili názor, že kybernetická bezpečnost je výhradní záležitostí IT a zohlednili principy ,security by design‘ již v prvopočátku vytváření příslušných procesů a postupů. Odolnost organizací vůči kybernetickým hrozbám se tím zvýší, čím zvládnou účinněji řídit související rizika a lépe tak využít příležitosti, které digitální technologie nabízejí.“ (25.10.2018)