Většina firem začíná investovat do kyberbezpečnosti až poté, co se stanou obětí hackerského útoku. Do té doby se investicím do bezpečnosti vyhýbají, protože jim přijdou zbytečné. Přitom adekvátní investice do ochrany IT systémů stojí jen zlomek toho, na kolik vyjde odstraňování následků napadení, ušlý zisk nebo třeba smluvní penále za zpoždění dodávek zboží či služeb.
Podle dat Evropské komise stála v roce 2021 kyberkriminalita globální ekonomiku odhadem 5,5 bilionu eur. V nejbližších letech by se tato suma měla dokonce zdvojnásobit. Útočníci mají dnes totiž mnohem lepší přístup k nástrojům, které pro svoji nezákonnou činnost potřebují. Obětí kybernetického útoku se může stát téměř kdokoli. Vyprávět by o tom mohli v karvinské OKD, Fakultní nemocni Brno nebo třeba v Evropském parlamentu, který čelil hackerskému útoku letos v listopadu.
Skoro vždy jde útočníkům o peníze
Motivace útočníků je prakticky stále stejná, v drtivé většině případů jde o finanční prospěch. Ukradená data mohou dál přeprodávat, nebo je využít třeba pro analýzu chování zákazníků. Mnohem častější scénář ale vypadá tak, že útočníci napadaný subjekt vydírají. Za vrácení dat a opuštění systémů žádají nemalé výkupné. Firmy pak stojí před rozhodnutím, jestli výkupné zaplatit a rychle zprovoznit klíčové systémy, nebo dopustit paralyzování celé firmy na několik měsíců a investovat mnohdy ještě více peněz na odstranění škod a obnovu systémů.
Doposud největší známý incident svého druhu v Česku se odehrál v roce 2020 v Brně. Do IT systému Fakultní nemocnice u sv. Anny pronikli hackeři prostřednictvím kryptoviru Defray. Útočník ho poslal prostřednictvím e-mailu, který se tvářil velmi důvěryhodně. Proto ho kdosi v nemocnici otevřel. Virus obratem zašifroval klíčová data, za jejichž odblokování žádal hacker výkupné. Útočník po sobě nechal zdecimovanou IT infrastrukturu nemocnice, která navíc přišla o organizační data, smlouvy nebo vědecké podklady. Vlastností viru Defray je totiž také to, že zničí zálohovaná data. Předběžně vyčíslená škoda byla 150 milionů korun.
Ve stejném roce zasáhly kybernetické útoky v Česku více zdravotnických zařízení. Jen předloni u nich řešil Národní úřad pro informační a kybernetickou bezpečnost dvě desítky incidentů. Úřad pro kybernetickou bezpečnost proto upravil vyhlášku o poskytovatelích elektronických komunikací. Od loňska tak musí plnit vyšší kyberbezpečnostní nároky hned 44 nemocnic. Původně jich bylo jen 16.
To, že jsou kybernetické útoky prakticky na denním pořádku, potvrdil i nedávný útok typu DDoS na Evropský parlament. Tento typ útoku má za cíl zahltit mnoha požadavky některé systémy. Kvůli útoku byly dočasně nedostupné webové stránky Evropského parlamentu a problémy zaznamenaly i vnitřní sítě ve Štrasburku.
Prevence není levná, ale je nutností
Ačkoli ztráta dat a řešení následků útoku může trvat několik týdnů až měsíců, průměr vynaložených prostředků na obranu je velmi malý. V České republice dosahuje asi jen 0,3 procenta z obratu. Ideální investovaná částka do bezpečnosti se pohybuje mezi pěti až deseti procenty.
Firmy dnes investují téměř dvojnásobné částky do marketingu. Kyberbezpečnost ale zatím spíš opomíjejí. Nejvíce do obrany vkládají internetové služby a vydavatelé softwarů, banky a překvapivě i státní správa.
Nedávný průzkum společnosti EY zaměřený na bezpečnost, jehož se zúčastnilo více než tisíc vrcholových manažerů, ukázal, že společnosti se v oblasti kybernetické bezpečnosti potýkají s mnoha problémy, a to především kvůli nedostatečným rozpočtům či neschopnosti najít společnou řeč s klíčovými podnikovými odděleními. Ta přitom ochranu před kybernetickými útoky potřebují nejvíce. Průzkum potvrdil, že firmy často přijímají nezbytná opatření až tehdy, kdy jsou jejich systémy nebo data přímo zasaženy závažným kybernetickým útokem.
Vzhledem k tomu, že se stále více společností a úřadů digitalizuje, je riziko bolestivých ztrát čím dál vyšší. Nepoučení lidé neřeší zabezpečení odborně a koncepčně, což může být do budoucna velká chyba. „Kybernetické útoky dál porostou počtem i sofistikovaností. Bude nutné daleko víc investovat do kybernetické bezpečnosti,“ říká ředitel útvaru Bezpečnosti v O2 Radek Šichtanc.
EU chválila zpřísnění požadavků na kyberbezpečnost
O závažnosti situace svědčí i nedávná změna evropské legislativy. Směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti (známá pod zkratkou NIS2, pozn. red.), nově zavádí pravidla, která mají podpořit vysokou společnou úroveň kybernetické bezpečnosti v celé EU. Zpřísňuje také požadavky na kybernetickou bezpečnost pro střední a velké subjekty, které působí a poskytují služby v klíčových odvětvích. Vztahuje se tak i na odvětví a činnosti, které mají zásadní význam pro hospodářství a společnost, včetně energetiky, dopravy, bankovnictví, zdravotnictví, digitální infrastruktury nebo veřejné správy.
„Kvůli přísnějším směrnicím od EU se nároky na kybernetickou ochranu budou v budoucnu týkat i menších firem. O to důležitější bude pro tyto společnosti včasné zvolení efektivního řešení a partnera, který jim pomůže například formou outsourcingu. V O2 se staráme o kyberbezpečnost desítek firem,” dodává Radek Šichtanc.
Prevence proti útoku totiž není jen o investici. Jde o to zvolit si partnera, který vás zabezpečí komplexně a individuálně a jehož tým se vám bude starat o jednotlivé konfigurace. Sdílení nákladů a know-how je cesta, jak zajistit dostupnost takto sofistikované a komplexní služby i pro firmy, které nemohou nebo nechtějí nést náklady s tím spojené.
Tematický speciál Kybernetická bezpečnost připravuje E15 ve spolupráci s O2.
