Rozhovor: Skutečně se v kybernetické bezpečnosti moc aktivit neděje
Koho všeho se týká kybernetická bezpečnost a proč bychom se o ni měli zajímat osobně či na úrovni obce či firmy? Obrátili jsme se na odborníky. Moravskému hospodářství odpovídal Josef Appel, obchodní ředitel společnosti Visitech.
Je tématu kybernetické bezpečnosti přikládána dostatečná váha, nebo je zatím podceňované?
Kybernetická bezpečnost se týká nás všech dospělých i všech našich dětí, tedy jedná se o celosvětové téma společnosti. Uživatelé příliš důvěřují výrobcům software a hardware. Myslíme si, že podvědomí o kybernetické bezpečnosti se již začíná i mezi běžnými uživateli zvětšovat. Tématu kybernetické bezpečnosti v ČR je ale přikládána váha pouze rétorická a mediální. Skutečně se v kybernetické bezpečnosti nebo bezpečnostní obraně moc aktivit neděje nebo nemají tu potřebnou profesionální podobu.
I proto spousta z nás si myslí, že „jich se to v podstatě netýká, jim se to nestane“. Skutečnost je však jiná. Již velké procento z nás se s nějakým typem kybernetického útoku již setkali. Ať se jednalo o ukradení jejich soukromích citlivých informací, či o paralyzování organizace, která je zaměstnává. Pokud někdo řekne, že jemu se nic takového nestalo a používá jakékoli elektronické zařízení, jedná se pouze o to, že nemá ten správný nástroj, či nezná ten správný proces, jak by to mohl zjistit.
Z pohledu firmy jsou jaké největší hrozby?
Pokud se jedná o komerční sektor je to velice jednoduché, ztráta financí, know-how společnosti, renomé, či její totální paralyzovaní, které může mít za následek její existenční úpadek. Komerční subjekty většinou (na rozdíl oproti státním, které jsou velice tlačeni legislativní stránkou věci) rozhodují na základě emociální stránky věci. Například pokud se jedná o firmu, která se zabývá strojírenskou výrobou, tak o kybernetické bezpečnosti nechce slyšet do té doby, dokud na základě provozního výpadku ICT systémů či kybernetického útoku, nedojde k zastavení výroby společnosti. Tj. například ke ztrátě výkresů či technologického know-how, technické specifikace jejich unikátních výrobků.
Jak se tedy mohou podniky zabezpečit před kybernetickými útoky? Na co by se měly zaměřit? Pod koho by mělo spadat zajištění bezpečnosti v online světě?
Dle nás je správná cesta zřízení národních týmů pro kybernetickou obranu v rámci státní správy, České republiky, které budou spolupracovat, sdílet know-how, s týmy z komerčního sektoru, na základě externí spolupráce. Organizace i komerční společnosti by se měli primárně zabývat tím, proč byly zřízeny. Kybernetickou bezpečnost by měli zajistit v kombinaci s externími subjekty, čímž dokáží zásadně snížit náklady, zkrátit čas na zavedené postupy, získají potřebné specialisty, které mohou nakombinovat se svým interním týmem. Pokud nemají v současné době žádné nástroje na kybernetickou a provozní bezpečnost, mohou využít poskytnutí formou služby, čím opět sníží náklady a mají prostor se věnovat svému hlavnímu předmětu businessu. Sami se tím posouvají do role tzv. supervizorů, kdy mají potřebné informace, rozumí jim a jsou schopni se relevantně rozhodnout, neztrácejí čas jejich hledáním.
Podniky již dnes mají nějaké provozované ICT systémy a služby. První radou je, ať si projdou právní rámec smluvních vztahů. Klíčové je najít odpovědnost provozovatelů za dostupnost systémů, spolehlivost provozu a ochranu dat. Pokud ji ve smlouvách obsaženou nemají, tak je nutná promptní náprava.
Druhou radou je, ať v rámci školení pracovníků z BOZP, školení řidičů, atp. přidají téma kybernetické bezpečnosti. Nemusí to být v úrovni jaderné fyziky či raketové vědy. Postačuje připomenout základy kybernetické sebeobrany. Mnoho laických uživatelů jsou skvělí a pracovití lidé, kteří nemají zájem si komplikovat život a pracovní vztahy neúmyslným incidentem.
Třetí radou je, aby vedení podniků bylo součástí kybernetické bezpečnosti. Hacker neútočí na dělníka v podniku, ale typicky na finančního nebo výrobního ředitele. Tyto role top-manažerů jsou častými riziky v podniku a také zrcadlí firemní kulturu podniku.
Když se ještě vrátíme na útoky hackerů na nemocnice, příkladem je třeba Nemocnice Benešov – co udělali spatně, co podcenili? Vezmou si podle vás z toho další nemocnice ponaučení?
K tomuto tématu je velice těžké se vyjadřovat, jelikož vyjádření již bylo učiněno stovky. To, že nemocnice jsou organizace s nejcitlivějšími daty a mají v rukách životy lidí, víme již dlouho. Bohužel na tuto oblast nebyly v tomto typu organizací uvolněné dostatečné prostředky, kterými by byly schopni zajistit nemocnice dostatečné opatření v rámci kybernetické bezpečnosti a samozřejmě nemohou zajistit především personální stránku věci, která by zajištovala odbornost, nepřetržitý dohled a zkušenosti s bojem s kybernetickou a provozní bezpečností. Kybernetičtí útočníci jsou velice vzdělaní lidé ve svém oboru. Lidé z nemocnic jsou zase specialisté v jejich oboru – zdravotnictví. V mnoha nemocnicích jsou ICT specialisté v pracovním vztahu s minimální kompetencí něco pozitivního změnit. Proto nemocnice potřebují pomoc externích subjektů, aby mohli získat expertní zajištění jejich kybernetické ochrany s vynaložením efektivních nákladů. Právní rámec externího subjektu je, v kompetenci na možnou změnu, vyšší. Což je právě ten paradox, že se vlastně interním ICT lidem důvěřuje méně, než externím subjektům.
A rada laikům stran používání chytrých zařízení a bezpečnosti? Kde vůbec začít?
Nejlépe již u stanovení, k čemu má zařízení sloužit. Dále pak co a komu má zařízení poskytovat. Následně víme, s jakými daty je legitimní, aby dané zařízení pracovalo a s jakými ne. Poté můžeme zajistit bezpečnostní mechanismy, které toto dodržování dokáží monitorovat, kontrolovat a vynucovat.
Autor: Kamila Fuchsová
