„Zejména od managementu průmyslových společností velmi často slyšíme, že potřebují řešit inovaci či obměnu strojů, ale velmi málo je řešen rozvoj IT infrastruktury a její bezpečnosti,“ říká Jaroslav Otcovský, manažer pro kybernetickou bezpečnost ve společnosti Asseco Solutions. „Přitom v dnešní době, kdy je mnoho zařízení v plně automatickém režimu, provádí se sběr a vyhodnocení dat pro další strojové učení s napojením přímo do internetu, je právě bezpečnost tím, co je třeba řešit. Osobně si myslím, že bezpečnost těchto zařízení v rámci podnikové infrastruktury je podceňována a tím se tato zařízení stávají více zranitelnými a jsou tak potenciální hrozbou průniku do infrastruktury nebo ztráty dat. Mnohdy je právě zde to know-how společnosti, které může být odcizeno, takže případný útok může destabilizovat firmu, nemluvě o vysokých finančních ztrátách. Nezanedbatelnou částí a potenciálním rizikem dalších nákladů a ztrát je zastavení provozu a doba, po kterou jsou systémy úplně nebo částečně mimo provoz. Délka obnovy všech zdrojů je velmi důležitým měřítkem, které by mohlo napovědět, jak velké investice do tohoto sektoru realizovat.“

Samozřejmě však nejde pouze o technologie. Mnoho problémů má samozřejmě na svědomí i „lidský faktor“. Podle Jaroslava Otcovského je tedy dalším nezbytným krokem, který by měl probíhat současně s rozvojem IT infrastruktury i vzdělávání zaměstnanců. Podle jeho slov je to jedna z velmi důležitých součástí celkové kybernetické bezpečnosti dané společnosti.

„I když máte skvělé zabezpečení a vše téměř dokonalé, problém na straně uživatele vám toto zabezpečení může snížit i o více než 50 % a to už je opravdu velká hrozba, která stojí za zamyšlení,“ vysvětluje Otcovský.

Vzdělávání zaměstnanců je tedy zjevně důležitou součástí, přičemž je třeba je pravidelně opakovat. Jednou z největších hrozeb ze strany zaměstnanců je totiž například e-mail a s tím související phishing. Podle průzkumu hrozeb společnosti Fortinet více než 90 % malware je stále doručováno e-mailem. Další statistiky hovoří o tom, že na zaslanou phishingovou zprávu zareaguje průměrně cca 25–30 % uživatelů. Toto procento se výrazně zvyšuje s událostmi jako třeba Covid-19. Kdy je mnohem více útočeno na událostní, informační a emocionální faktor uživatelů. Otcovský v této souvislosti apeluje na vedoucí pracovníky i zaměstnance firem, aby byli co nejvíce obezřetní. Hackerské aktivity jsou totiž v této exponované době výrazně intenzivnější.

„S tím souvisí i nutnost zaměřit se v případě školení zaměstnanců na reálný trénink,“ říká Jaroslav Otcovský. „Tedy implementovat řešení, ve kterém je možné sofistikovaně zasílat phishingové kampaně v různých úrovních kvality, které jsou následně vyhodnocené a uživateli přímo ukážou, že reagoval chybně, nebo naopak jej „pochválí“ za správné nahlášení takové zprávy na IT oddělení. Po takovém pravidelném tréninku se reakce uživatelů na tyto podvodné e-maily velmi rychle sníží pod úroveň 10 % a následně je možné se individuálně zaměřit na ty uživatele, kteří ,rádi klikají‘.“

Proč (ne)investovat?

Proč vlastně řada podniků stále není ochotná investovat do kyberbezpečnosti? Příčin je několik. Podle Jaroslava Otcovského je hlavní z nich prostě neuvědomování si možného rizika ze strany majitelů nebo managementu, což má za následek podcenění ochrany proti možným útokům. Roli však také hraje množství financí, které je třeba nejen jednorázově vložit, ale pravidelně vkládat do této oblasti.

„Ať chceme nebo ne, jedná se o nikdy nekončící proces. Jak se budou zlepšovat technologie, budou se měnit typy hrozeb a na ty bude třeba reagovat,“ říká. „Neustále se totiž pohybujeme v kole Analýza rizik – vyhodnocení analýzy ‒ naplánování opatření – provedení naplánovaných opatření – test účinnosti provedených opatření. Velmi často se to děje ve spolupráci s externím dodavatelem těchto služeb.“

Poslední dobou je navíc trendem zavádět do výroby Internet věcí – IoT. Ne každá firma, která touto technologií dnes disponuje, si podle Otcovského současně uvědomuje, že právě v této oblasti je zabezpečení extrémně důležité.

Kliknutí za milion

Jednou z největších hrozeb však i nadále zůstává ransomware. V tomto případě stačí málo: uživatel „něco“ odklikne a tento „vyděračský software“ následně zašifruje firemní data a požaduje zaslání financí za jejich dešifrování.

„V rámci konkrétního případu, s nímž jsem se osobně setkal, byla výrobní společnost cca týden paralyzovaná, takže musela vše řešit manuálně,“ vzpomíná Otcovský. „Další týden ještě trval přechod do normálu v oblasti administrativy. Přesný finanční rozsah škod neznám, ale pohybujeme se v řádech jednotek milionů.“

Další oblastí, které je dnes nutné věnovat velkou pozornost, je zavádění nové generace 5G sítí. V rámci jejich budování by měl být vždy kladen důraz na vysoké bezpečnostní standardy.

„Tak jak se mění technologie pro bezpečnost, tak se mění technologie pro útočníky a bohužel v tomto pomyslném souboji mají většinou útočníci navrch,“ upozorňuje Jaroslav Otcovský. „Očekává se připojení mnohem vyššího počtu zařízení, vyšší automatizace až autonomie zařízení, což je pro ně velkým lákadlem. Přitom vzhledem k rychlosti 5G sítí nás čeká více hrozeb a možných útoků, které nás mohou ovlivnit nejen v pracovním, ale také v soukromém životě.“

Nedostatečné kybernetické zabezpečení však není jen problémem průmyslových podniků, ale i subjektů, jako jsou třeba nemocnice, kde na datech mohou záviset životy. Je dnes vůbec v silách větších zařízení se útokům bránit? Pokud jde o cílený útok, je podle Otcovského velmi obtížné se bránit. Útok je zpravidla proveden tak rychle, že člověk sám nemá šanci reagovat. Vše je podle jeho slov závislé na technologiích, které jsou použité na straně obránce.

„Pokud jde o typické robotické útoky, lze se, v případě, že disponujete kvalitními technologiemi, bránit poměrně efektivně,“ vysvětluje. „I zde však hraje důležitou roli neustálá analýza hrozeb, jejich náprava a také lidský faktor.“

Lidé a zase lidé

Informační technologie jsou snad nejrychleji se rozvíjející obor. Vývoj v této oblasti je navíc čím dál turbulentnější a změny, které se udály v posledních 10 letech, nemají v historii obdoby.

„Pryč jsou doby, kdy jsme v IT řešili zavirovaný PC a následně zkoumali, jak se daný vir chová,“ vzpomíná Jaroslav Otcovský. „Pominu-li hrozby, které jsme již zmiňovali, posouvá se vývoj do daleko skrytějších hrozeb, kdy nedochází k útoku hned, ale jsou deaktivovány bezpečnostní prvky a škodlivý kód se může šířit do další částí firemní infrastruktury. Útočník má následně neomezený přístup k datům v síti, přičemž velmi často již několik týdnů až měsíců v síti operuje. Úplně samostatnou kapitolou jsou pak webové a mobilní aplikace.“

Přitom na českém pracovním trhu je zatím o odborníky na kybernetickou bezpečnost nouze a tento stav podle názoru Jaroslava Otcovského ještě pár let potrvá. Situace se podle něj začne zlepšovat až s uvědoměním managementu firem a změnou jejich přístupu k zabezpečení.

„Proto si myslím, že je vhodné investovat do vzdělávání vlastních IT pracovníků a budovat si vlastní tým,“ říká Jaroslav Otcovský a závěrem dodává: „V této souvislosti si dovoluji poradit manažerům a majitelům firem: Změňte svůj pohled na IT bezpečnost vaší společnosti. Vezměte to jako součást vaší cesty při rozvoji firmy. Společně s vaším IT týmem analyzujte rizika, prioritizujte si je dle kritičnosti a následně postupně realizujte jejich zabezpečení. Ideálně si k tomu nasmlouvejte společnost, která tuto problematiku dlouhodobě řeší. Má zkušenost, povede vás metodicky a provede primární penetrační a vulnerability testy k doplnění vaší interní analýzy. A pozor ‒ nezapomeňte na mobilní zařízení.“