„Nespoléhejte se na technologie, ale na lidi“, vzkázal Jiří Vaněk, Senior Security Consultant ze společnosti Unicorn. Upozornil, že útočníci vždy tahají za delší lano, než jejich „oběti“, je jich víc, mají více času a často pracují v etablovaných skupinách či je sponzorují státy. Informace získávají např. z pracovních inzerátů firem a sociálních sítí. Tyto znalosti pak třeba využijí k sepsání důvěryhodného phishingového e-mailu. „Dávno předtím, než svého útočníka potkáte, on si udělá důkladný průzkum vašeho prostředí,“ popsal Vaněk a připomněl, že jen ze sítě LinkedIn bylo ukradeno 160 mil. kontaktů, což z ní dělá potenciální vstupenku do nitra firem a k dalším heslům – protože ne všichni používají sofistikovaná zabezpečení.

Hackeři také klidně využijí např. zaměstnance banky nespokojeného s platovým ohodnocením či nacházejícího se ve složité životní situaci a nabídnou mu dobře placený přivýdělek. Hacker jej pak navádí na dálku k citlivým bodům systému, a když je lup hotov, zaměstnance předá policii a sám mizí. Proto je třeba neustále dělat kybernetická cvičení a simulace útoků a zvyšovat povědomí zaměstnanců o tom, jaké následky může mít jejich rizikové chování. Zároveň je třeba systémy kontrolovat a monitorovat formou sběru logů a jejich vyhodnocování. „Být zabezpečenou organizací je primárně otázkou přístupu každého zaměstnance. Management musí jít příkladem,“ dodal Vaněk.

Jak se chránit

Také Václav Zubr ze společnosti ESET, vidí chování zaměstnanců jako jednu z hrozeb, kterou vedle kybernetických útoků zákazníci řeší. Důležité je mít pod kontrolou také rozmanitost zařízení a zvládnout tlak na provozní efektivitu. Jistou pomoc vidí v umělé inteligenci, protože umožňuje dynamickou ochranu ve chvíli, kdy např. podvodný e-mail pronikne přes bránu. Analýzu a reakci je pak možné zajistit do několika minut. Zatímco na počítačích je nejčastějším zdrojem infekce e-mail, na mobilu jsou to aplikace, a to nejčastěji ty bankovní. To potvrzuje Josef Rech z Raiffeisenbank: „Vidíme trend útoků na klienty přes aplikace, kde je těžší se jim bránit. Dříve se také útočilo na certifikáty v počítačích, dnes jdou hackeři přes autentizační smsky. Plánujeme je proto nahradit třeba mobilními tokeny.“

Josef Rech

Zajímavou variantu ochrany nabídl Pavel Štros ze společnosti Datasys. Jedná se o tzv. video logy, kdy se pomocí nahrávky vzdálených ploch zaznamenávají přístupy do firemních systémů. Výstupem jsou snímky, pokud ale potřebujete nahrávat celé relace na stanicích administrátorů, měli byste mít pracoviště určené jen pro ně, ne pro denní práci. Implementaci takového systému je možné realizovat za 5 až 10 dnů. Jako jednodušší variantu uvádí systém log managementu, jež umožňuje centralizaci logů z různých technologií. Následně je možné v nich snadno vyhledávat jako na Googlu a také si všimnout, když se někdo snaží přihlašovat patnáctkrát za sebou. „Jakýkoliv nástroj typu log management bude ekonomicky přínosný při porovnání nákladů s budoucími přínosy. Hodí se pro rychlé nalezení odpovědí. Získáte centrální konzoli bezpečnostního dohledu,“ shrnuje Pavel Štros, který podobný systém nedávno zaváděl na Ministerstvu spravedlnosti, přičemž nyní se plánuje jeho rozšíření o krajské soudy. Nabídka zahrnuje každý měsíc analytický report.

Jakub Kejval

Bouchnout si na poradách

Podle Jakuba Kejvala ze společnosti Bureau Veritas, kybernetické útoky stále vnímá většina firem jako hrozbu číslo jedna. Potvrzuje zároveň, že to není zdaleka jediné nebezpečí. Doporučuje proto udělat si inventuru, analýzu rizik, prevenci, a pak business continuity management. „Až dojde k nějakému průšvihu, spadne to na vás, budou vám vyčítat, proč jste si na poradách dost nebouchali do stolu. Od vás by měl přijít tlak na řešení a prevenci,“ radí Kejval. Upozornil také na odstrašující příklady z praxe, kdy např. automobilka nechá všechny revizní techniky používat jednu bezpečnostní kartu, či nemocnice se nestará o zastupitelnost hlavních sester a při jejich odchodu z organizace pak měsíc nic nefunguje. Nicméně za poslední roky vidí Kejval v ČR velké zlepšení z hlediska řešení rizik a připisuje to mj. tlaku zahraničních vlastníků v nadnárodních firmách.

Permanentní pořádek

V případě problému musí organizace dokázat, co systémově udělala pro to, aby se vyhnula hrozbě. Na to se policie ptá jako první. „Musím být zpětně schopen prokázat, že jsem opatření dělal,“ potvrdil Petr Krejčí ze společnosti Bisnode. Podle něj jsou základní komoditou ve firmách data a ta je třeba chránit. Zároveň musí firmy uvažovat o rizicích protistran, tedy vědět, s kým obchodují. Ekonomika sice roste, prostředí je ale nestabilní, letos nejspíš zanikne nejvíc firem za posledních sedm let, tedy od hypoteční krize. Jen za první pololetí to bylo téměř 6 tisíc kapitálových podniků. Nikdo jistě nechce, aby si na takové firmy jeho obchodníci vypisovali schůzky. Častým problémem v databázích jsou také duplikace, může to být až 30 %, nebo chybějící adresa, což může být přitom zásadní údaj svědčící o důvěryhodnosti firmy. Jak doporučuje Petr Krejčí, monitoring velkých objemů firemních dat je třeba provádět na denní bázi, nikoliv jednorázově. Jen tak můžete mít permanentní pořádek v datech a generovat kvalitnějších obchodní příležitosti ve správný čas.

„ICT není nástroj byznysu, ale jeho jádro. Společnost bez něj nefunguje,“ vyjasnil hned na úvod své přednášky Michal Zedníček ze společnosti Alef Nula. Považuje bezpečnostní audit za nezbytný pro řízení rizik, cenově přitom začíná na půl milionu korun. „Pokud není audit, nemůžete posoudit rizika, protože neznáte zranitelnost,“ dodal. Doporučil také pracovat se standardy typu ISO tak, že nemusíte aplikovat všechny jejich požadavky, pokud zdůvodníte, že se vás konkrétní rizika netýkají.

Michal Zedníček

Čím dřív, tím levněji

„Hodně firem už investovalo do zařízení, která když se propojí, vyjde z toho dost dat použitelných při zvýšení bezpečnosti a business continuity,“ myslí si Tomáš Poslušný ze společnosti Simac Technik. Realizovat interní změny pouze interními lidmi je podle něj většinou pomalé a nedostatečné – externí partner je zpravidla mnohem efektivnější. Zároveň připomněl, že mnoho technologií určených pro sledování a lokaci objektů (osob, vozidel, manipulační a skladové techniky) má přímé využití v bezpečnosti a ochraně zdraví při práci. Třeba technologie rozpoznání obličeje vznikla jako bezpečnostní aparát, kdy kamery sdělily hasičům, kolik lidí se nachází v hořící budově. Chytré systémy pro bezpečnost práce doporučuje stavět interně hned – tak máte šanci nastavit si řešení přesně na míru. Až se z něj stane komodita, budete muset akceptovat řešení definované někým jiným nebo zaplatit mnohem více za customizaci.

My a oni

Příkladem firmy s vlastními interními IT systémy je Alza. Tady také mají vyzkoušené, že IT oddělení nesmí být v izolaci od zbytku firmy. Její ředitel vývoje informačního systému Jiří Schejbal popsal IT jako katalyzátor byznysu. Manažeři z různých oddělení včetně těch na vedoucích pozicích si sem jdou třeba na dva týdny zkusit pracovat a učí se programovat. Výsledkem takové rotace pak je, že získají ponětí o firemním systému a dovedou lépe využít jeho funkcionality, ale také se pak více baví lidi z byznysu s kolegy z IT. Mohou pak vznikat inovační projekty, kterým Alza říká „generační“, a letos jich stihla šest. Příkladem je třeba prodejna budoucnosti bez obsluhy, nebo již dříve zavedení platby bitcoiny. „Když nabíráme nové programátory, jdeme po znalosti IT jako řemesla, ne po tom, zda umí konkrétní program,“ dodává Schejbal, jaké nároky klade na nové auťáky, které vždy nejprve musí zasvětit do interního systému.