Kybernetické útoky stojí stále více peněz a mohou ohrozit i životy lidí. Alespoň jednou se s nimi setká přes 80 % firem. Přesto české firmy kybernetickou a informační bezpečnost stále podceňují. Jaké škody mohou útoky způsobit, jaké nejčastější chyby odhalí IT audity a jak se připravit na poměrně přísnou regulaci NIS 2, shrnuje Iva Vondrová, associate manager v oddělení Risk Consultingu.
Podle průzkumu IBM došlo k úniku dat nebo ke kybernetickému incidentu v 83 % z 550 oslovených organizací. V roce 2020 dosáhl odhadovaný roční náklad spojený s počítačovou kriminalitou v globální ekonomice 5,5 miliardy eur, což je podle Evropské komise dvojnásobek oproti roku 2015. IBM ve svém průzkumu „Cost of a Data Breach 2022“ odhaduje průměrnou cenu datového úniku a jím způsobenou škodu na 4,35 milionu dolarů, pro kritickou infrastrukturu pak o dalších 0,5 milionu dolarů více.
V České republice není situace o nic přívětivější. V roce 2021 bylo Národnímu úřadu pro kybernetickou a informační bezpečnost nahlášeno 476 kybernetických incidentů, z nichž osm bylo velmi významných. Fakultní nemocnice v Brně po kybernetickém útoku z roku 2020 vyčíslila škodu na 150 milionů korun. Nemocnici v Benešově stál ransomwarový útok z roku 2019 zhruba 59 milionů. Mnohá data nemocnice i pacientů byla nenávratně ztracena a pachatelé obou trestných činů nebyli vypátráni. Alarmující je i případ nejmenované firmy, která se z kybernetického útoku z října 2021 doposud úplně nevzpamatovala, a to i přesto, že do bezpečnosti investovala velké peníze.
Co odhalují audity
Firmy si neuvědomují, že hrozby úniku dat nepřicházejí jen zvenku, ale vznikají i přímo uvnitř organizace. Při auditování firem často nacházíme pochybení v podobě kumulace přístupových práv nebo jejich neodebrání bývalým zaměstnancům. Zažili jsme také případy, kdy si vývojář naimplementoval „zadní vrátka“ do aplikace a zaměstnanec si zvolil stejná hesla na pracovní i soukromé zařízení, kvůli čemuž se útočník snadno naboural do jeho firemního notebooku.
První hodiny po útoku jsou zásadní. Díky správným krokům můžete zamezit rozšíření útoku. Zaměstnanci ale mnohdy nevědí, jak mají postupovat. Ve společnostech chybí plány pro obnovení provozu (tzv. plány kontinuity) nebo je jejich stav zcela nedostačující. Myslete na to, že plány obnovy by se měly alespoň jednou za rok aktualizovat a otestovat v praxi. Klíčovou osobou je v případě kybernetického incidentu CISO (chief information security officer). Pokud ve firmě tato pozice chybí, velmi doporučujeme ji zřídit.
Data jsou tím nejcennějším majetkem každé firmy. Jejich ztráta vás může stát reputaci, klienty a spoustu peněz. Své zaměstnance proto pravidelně vzdělávejte a testujte jejich odolnost vůči potenciálním útokům.
Jak se připravit na směrnici NIS 2
Nedostatečná úroveň kybernetické bezpečnosti je v posledních letech velkým tématem i v Evropské unii. Na konci roku 2022 přijal Evropský parlament směrnici o bezpečnosti sítí a informačních systémů (NIS 2). Zároveň schválil zákon o digitální operační odolnosti (DORA), který má zvýšit rezistenci finančního sektoru vůči kybernetickým útokům. NIS 2 se do českého zákona o kybernetické bezpečnosti promítne v roce 2024. Na zohlednění nařízení DORA ve svých procesech mají instituce čas do konce roku 2025.
Pro mnoho společností není jednoduché se v nových pravidlech vyznat, natož dosáhnout toho, aby s nimi byly v souladu. Proto často vyhledávají poradenské společnosti. K službám, které jsou mezi našimi klienty nejžádanější, patří gap (rozdílové) analýzy a analýzy dopadů regulací a předpisů na jejich společnost. V těchto projektech pomáháme klientům zjistit, zda jsou s danou regulací či předpisem v souladu a jaké kroky by měli učinit, aby svůj soulad navýšili. Rádi vám pomůžeme i s tvorbou či revizí vašich plánů obnovy.