Pro zajištění vyšší úrovně ochrany před stále důmyslnějšími technikami útoků se vyvinula celá řada bezpečnostních rámců a na jejich základě komponovaná legislativa. Na našem územní stojí za zmínku zákon o kybernetické bezpečnosti 181/2014 Sb., který vychází zejména z rodiny mezinárodních standardů ISO/IEC 27000, ale je do něj také mj. transponováno unijní právo v podobě směrnice 1148/2016, tzv. NIS directive. Kybernetický zákon řeší problematiku řízení bezpečnosti omezeného počtu subjektů klíčových pro společnost a stát, kterým nařizuje implementovat základní organizační a technická opatření. Jak potom ale přistupují k informační bezpečnosti organizace, které nejsou povinnými subjekty dle tohoto zákona?

Pro úplnost je nutné poznamenat, že specifické podnikatelské sektory jako bankovnictví, telekomunikace, automotive atd. mají vytvořeny vlastní oborové bezpečnostní normy a standardy a dosažení souladu s jejich požadavky je často považováno za prerekvizitu pro specifické obchodní aktivity v daném odvětví. Dobře, tím nám odpadá další skupina organizací, ale co ty ostatní? Jak již bylo zmíněno výše, existuje celá řada bezpečnostních rámců, které mohou posloužit jako základní vodítko pro budování efektivního systému informační bezpečnosti. Proč by ale měla organizace investovat do bezpečnostních opatření, když se jedná pouze o náklady, které se záporně promítnou do výsledků hospodaření? Jaký je vůbec motiv pro ochotu investovat zdroje do bezpečnosti? Na tyto a další otázky jsme hledali odpověď během našeho nedávného výzkumu orientovaného na trendy v kybernetické bezpečnosti.

Výzkum probíhal v druhé polovině roku 2020 a byl realizován ve dvou úrovních. U příležitosti rozsáhlejší studie, která se primárně zabývala širší problematikou kybernetické bezpečnosti, jsme oslovili zástupce IT/bezpečnostních oddělení největších organizací působících v ČR a spadajících do různých oborů činností, včetně veřejného sektoru. Mezi respondenty byli jak zástupci organizací podléhajících zákonu o kybernetické bezpečnosti, tak i firmy, které musí dodržovat specifické oborové standardy. Přestože výzkum nebyl primárně zaměřen na oblast vzdělávání, získaná data ukazovala na velmi zajímavé jevy v této oblasti. V rámci validace výsledků výše uvedeného výzkumu jsme následně pomocí online dotazníku oslovili širší spektrum subjektů a s výstupy z obou aktivit se spolu seznámíme v následujících řádcích.

Než přejdeme k samotným výsledkům, dovolte ještě krátkou odbočku směrem k již zmíněnému zákonu o kybernetické bezpečnosti, resp. k jeho prováděcí dokumentaci. Vyhláška č. 82/2018 Sb. o kybernetické bezpečnosti v § 9 definuje pravidla bezpečnosti lidských zdrojů. Povinná osoba musí dle nich stanovit plán bezpečnostního povědomí v podobě teoretických i praktických školení pro uživatele, administrátory a osoby zastávající bezpečnostní role. Podobná pravidla by neměla chybět v žádné organizaci, neboť technická bezpečnostní opatření bez náležité vzdělanosti a ostražitosti uživatelů a odborných rolí postrádají potřebnou účinnost. Systém je pouze tak odolný, jako jeho nejslabší článek, a bohužel nezřídka je právě lidský faktor nejzranitelnějším místem v bezpečnosti organizace. Proto se také uživatelé stále častěji stávají cílem útoků škodlivých aktérů. Asi se shodneme na tom, že vzdělávání v oblasti informační bezpečnosti je důležitým aspektem ochrany proti kybernetickým hrozbám. Bez ohledu na to, zda organizace aplikuje bezpečnostní opatření dle zákona, či jiného standardu nebo metodiky, společným omezujícím faktorem realizace takových opatření jsou finanční a lidské zdroje. A to je hlavní důvod, proč úroveň bezpečnosti v některých společnostech v určitých oblastech nedosahuje potřebné kvality.

Investice zdrojů do bezpečnosti jsou zpravidla plně v kompetenci vrcholového managementu a ochota realizovat bezpečnostní opatření bývá v různých organizacích rozdílná. Trochu snazší situaci mají bezpečnostní manažeři právě těch organizací, které, vzhledem k požadavkům určité normy či standardu, musí naplnit vybraná opatření. Všeobecně však platí, že výši zdrojů, které je organizace ochotná vynaložit na zabezpečení, výrazně ovlivňuje její rizikový apetit. V extrémních případech, kdy má vrcholový manažer tendenci preferovat vysokou míru rizika, ochota investovat do bezpečnosti nemusí být téměř žádná. Samozřejmě jsou na trhu organizace, které z důvodu špatných ekonomických výsledků nemohou investovat do bezpečnosti vůbec, ale tento případ není předmětem článku.

Pojďme si nyní na výstupech z výzkumu demonstrovat, jaké faktory dominantně ovlivňují rozhodování vrcholových manažerů ohledně investic do kybernetické bezpečnosti. Z realizovaných rozhovorů se zástupci IT/bezpečnostních oddělení velkých společností vyplynuly jednoznačně dva klíčové faktory: medializované incidenty a úroveň orientace vrcholových manažerů v problematice kybernetické bezpečnosti. Abychom dokázali lépe kvantifikovat tyto výsledky, oslovili jsme dalších cca 100 organizací s dotazy zaměřenými právě na problematiku investic do bezpečnosti. Z grafu níže je patrné, že více než polovina respondentů je přesvědčena, že veřejně známé kybernetické incidenty mají pozitivní vliv na zdroje plynoucí do bezpečnosti. Bezmála čtyřicet procent dotázaných však považuje právě úroveň vzdělání vrcholového managementu jako klíčový faktor k ochotě investovat zdroje do bezpečnosti.

Vedle toho téměř devadesát procent respondentů souhlasí s názorem, že lepší orientace vrcholového managementu v kybernetické bezpečnosti má pozitivní vliv na rozvoj bezpečnosti v rámci organizace.

Pokud se nyní opět vrátíme k první části výzkumu, při níž byly osobně vytěžováni specialisté z vybraných organizací, a porovnáme získaná data s výše uvedenými výstupy, budeme schopni obohatit zmíněné závěry o další úroveň detailu. Z realizovaných rozhovorů vyplynulo, že podpora zdrojů do informační bezpečnosti ze strany vrcholového managementu má za posledních pět let vzrůstající trend nebo je dlouhodobě na stabilní, vysoké úrovni. Medializované kybernetické bezpečnostní incidenty mají významný, nicméně z hlediska času a rozsahu spíše omezený vliv. Průběžné vzdělávání vrcholového managementu v problematice kybernetické bezpečnosti působí sice s nižší intenzitou, na druhou stranu podporuje dlouhodobou a široce orientovanou spolupráci na postupném zlepšování úrovně informační bezpečnosti s poskytnutím adekvátních zdrojů.

Co tedy doporučit závěrem? Zákon o kybernetické bezpečnosti, ale i další bezpečnostní rámce, definují pravidla pro vzdělávání zaměstnanců, nicméně role vrcholového manažera není explicitně vyjmuta z kategorie běžných uživatelů informačních systémů. Z našeho výzkumu však vyplynulo, že bezmála třicet procent vrcholového managementu se do vzdělávacích aktivit vůbec nezapojuje.

S rostoucím počtem medializovaných kybernetických útoků roste i ochota investovat zdroje do kybernetické bezpečnosti, nicméně rozhodnutí motivované strachem může postrádat dlouhodobý efekt a systematický přístup. Pokud tedy máte pocit, že je ve vaší organizaci bezpečnost podceňována, zkuste více zapojit váš vrcholový management do vzdělávacích aktivit v oblasti informační bezpečnosti. Úspěch by měl být téměř zaručen.

Radek Švadlenka Autor článku působí na pozici Team Leader Security Business Development ve společnosti ALEF NULA, a.s.