🎧 Malé firmy často podceňují kyberbezpečnost. Přitom jsou vstupní branou útoků na velké korporace, říká šéf Cleverbee
Kybernetické hrozby sílí a proměňují se – nejde už jen o výkupné, ale i o politické cíle a sběr dat bez vědomí uživatelů. Podle Michala Štěpánka, šéfa společnosti Cleverbee, se firmy musí rychle adaptovat a vnímat bezpečnost jako strategickou prioritu. Menší podniky přitom bývají nejzranitelnější a mohou být cílem právě proto, že kyberbezpečnost podceňují.
Kyberbezpečnost dnes už dávno není pouze otázkou pro IT oddělení, ale strategickým tématem vedení firem a jejich představenstev. „Hrozby přicházejí ze všech možných stran a vedení společností má odpovědnost nejen za vlastní data, ale i data zákazníků. Vedení, které se o kyberbezpečnost nestará, podstupuje velká rizika, která často ani nevnímá," říká v podcastu Business Club e15 Michal Štěpánek, šéf společnosti Cleverbee.
Proměna kyberbezpečnosti v klíčové strategické téma souvisí s rostoucí silou, četností i pestrostí kyberútoků. Vedle kriminálních motivací, jako je výkupné, se stále častěji objevují i politické motivace, včetně ovlivňování voleb či shromažďování osobních dat uživatelů. „Nejde jen o klasické hackerské útoky. Data se sbírají každodenně přes mobily nebo auta, často bez našeho vědomí," vysvětluje Štěpánek.
Menší firmy jsou nejzranitelnější
Malé a střední firmy přitom zůstávají zranitelnější, protože kyberbezpečnost často podceňují. Útočníci je přitom využívají jako vstupní bránu k větším korporacím. „Často vidíme, že útok začíná u malé firmy, která nedbá dostatečně na ochranu, a přes ni se útočník dostane do velké společnosti," upozorňuje Štěpánek.
Konkrétní příklad představuje farmaceutická společnost, která měla zhruba čtyři tisíce zaměstnanců. „Útok přišel přes externího dodavatele. Útočníci zaheslovali 1250 serverů a firma tři měsíce nefungovala. Multifaktorové ověřování už měli připravené, ale nestihli ho implementovat o šest týdnů," popisuje Štěpánek.
Nejslabším článkem jsou zaměstnanci
Zaměstnanci jsou často nejslabším článkem kyberbezpečnosti firem. Je proto klíčové je správně poučit. „Bezpečnost nemusí znamenat komplikace. Třeba jednotné přihlašování (single sign-on) zjednodušuje zaměstnancům práci tím, že se jedním heslem dostanou do všech systémů, čímž se minimalizuje riziko úniku hesel napsaných na papírky," říká Štěpánek.
Vedle single sign-on se dnes rozvíjejí i další moderní metody ověřování identity, jako je Face ID či snímání otisků prstů. Velkou roli hraje i nová evropská legislativa, jako jsou směrnice NIS2, nařízení DORA či nový zákon o kyberbezpečnosti. Podle Štěpánka je klíčové pochopit, že nejde jen o pořízení technologií, ale hlavně o změnu interních procesů. „Firmy musí být schopny v případě problému doložit, co se stalo, proč se to stalo a jak tomu v budoucnu předejít. To vyžaduje správně nastavené auditovatelné procesy," vysvětluje. Firmy by proto měly začít tím, že provedou audit své současné situace a postupně odstraňují nedostatky.
