Naše vnímání kybernetické bezpečnosti se vyvíjí s tím, jak stoupá naše míra „všudypřítomné připojenosti“ a také informovanost o potenciálních hrozbách. Mezi bezpečnostními experty panuje vtipné rčení, že jsou pouze dva typy firem, a to ty, které byly hacknuty a vědí o tom a pak ty, které o tom ještě nevědí. Ačkoli to samozřejmě situaci trochu zveličuje, poukazuje to na nezbytnost kybernetickou bezpečnost řešit a to dokonce i v případě malých firem.

Slabé zabezpečení?

Důvodem není lajdáckost. Malé české firmy, často bez stabilního IT oddělení spojuje kromě často napjaté rozpočtové situace zejména to, že bezpečnost svého IT odsouvají na vedlejší kolej s odůvodněním, že jsou příliš malé, než aby mohly nějakého potenciálního útočníka zajímat jejich data. Opak je však pravdou. Dle loňské studie společnosti Verizon bylo z 621 zdokumentovaných narušení bezpečnosti celkem 193 (tj. téměř 30 procent), které byly namířeny proti firmám s méně než 100 zaměstnanci. Klíčovou komoditou jsou zde data, a jakmile si firma zřídí třeba e-shop, kde lze platit kartou, začne schraňovat údaje o svých zákaznících, či má uložené nezrealizované nápady na nové produkty či klíčové know-how, stává se potenciálním cílem hackerů. A právě časté slabší zabezpečení malých firem je pro útočníky velkým lákadlem. Správnou otázkou tedy není zda, ale kdy se něco takového stane.

Co je třeba zajistit

U příležitosti evropského a amerického měsíce kybernetické bezpečnosti byla americkým Národním institutem pro standardy a technologii (NIST) zpracována šestice nejdůležitějších oblastí bezpečnostních úkonů, které by měla jakákoli malá či středně velká firma začít bezpodmínečně řešit. Samozřejmě jich je ve skutečnosti ještě mnohem více, ale vhodná bezpečnostní opatření se liší doslova firma od firmy a rovněž každá firma nemusí být schopna rychle implementovat každé možné řešení. Jde zejména o ochranu dat, systémů a sítí firmy před infekcí viry, spywarem a jiným škodlivým softwarem, dále zabezpečení připojení firmy k internetu, nainstalování a aktivaci firewallu na všech firemních systémech a pravidelné aktualizace operačních systémů a aplikací. Důležité je také vytváření záložních kopií důležitých firemních dat a v neposlední řadě i školení zaměstnanců o alespoň základních bezpečnostních principech. Zcela zvláštní kapitolou jsou pak velmi aktuální trendy s problematikou zaměstnanců používajících pracovní zařízení pro volnočasové aktivity (speciálně sociální sítě) nebo naopak fenomén užívání spotřebitelských zařízení (vč. chytrých telefonů, tabletů) v zaměstnání, neboli BYOD (Bring Your Own Device). Na úplný začátek jsou pak pro malé firmy na webu k dispozici nástroje označované jako security health check, kde si mohou zdarma vyhodnotit za pár minut stav zabezpečení svého firemního IT. Samozřejmě je třeba dohlédnout, aby takové nástroje pocházely od renomovaných poskytovatelů. Na základě vyhodnoceného profilu kybernetické bezpečnosti pak mohou firmy začít pracovat na nápravě, případně vybírat některé z nabízených řešení. Opět je důležité poohlédnout se po řešení dostatečně flexibilním a neutrácet za nepotřebné funkce, určené, řekněme, firmám s mnohem větším počtem zaměstnanců.

Bude to stačit?

Vývoj jde nezadržitelně kupředu a týká se bohužel i kybernetických hrozeb. S tím rapidně vzrůstá důležitost se jim účinně bránit a to, co před časem bylo jen jakýmsi pojištěním, nyní už je v podstatě kritickým byznysovým faktorem, který už zkrátka na druhou kolej odsouvat nelze. Ačkoli je tedy logicky kyberzločin vždy o krok napřed a stoprocentní ochrana bude sotva kdy existovat, úspěšnost útoku proti nechráněnému systému je už jen statisticky mnohonásobně vyšší a potenciální ztráty jsou obrovské. Vypracování plánu pro kybernetickou bezpečnost je tedy dokonce i v malých firmách něčím, čím je dobré se začít dříve nebo později zabývat.

Jméno autora Autorka článku je viceprezidentkou marketingu divize AVG Business společnosti AVG Technologies.