Růst a povaha rizik přitom dobře ilustruje, jak firmy a organizace, které procházejí digitální transformací, jednak zvětšují jak svoje obchodní a konkurenční schopnosti, tak především rozšiřují prostor pro případné vnitřní a vnější útoky. Jinými slovy díky rychlému vylepšování a neustálým změnám v používaných technologiích exponenciálně roste počet průnikových bodů, které mohou kybernetičtí útočníci v rámci podniku získat.

Proto se i hodnocení kybernetických rizik začíná poměrně pomalu z historicky převážně technického pohledu obracet na hodnocení rizik a dopadů na vlastní činnosti a finance, a to i napříč firmami, organizacemi, sektory nebo ekonomikami států.

Vnímání kybernetických rizik je třeba posunout i v rámci podniků a organizací z dosavadní převážně technické úrovně do oblasti businessu, zabezpečení provozu a financí. Doposud je kybernetická bezpečnost organizací a podniků hlavní úlohou managerů IT nebo kybernetické bezpečnosti, kteří odpovídají za všechny aspekty bezpečnosti. Od nastavení politik, ochrany perimetru především ze strategických směrů, výběr a provoz nástrojů a technologií pro správu a ochranu vnitřního prostředí podniku či organizace. O rizicích a jejich dopadech na firemní business a finance je ale třeba se dnes bavit především s dalšími členy managementu.

Doposud fungovalo ošetřování kybernetických rizik tím způsobem, že byla potřeba osoba s dostatečnou odbornou autoritou, která by dokázala nastavit a hlídat kybernetickou bezpečnost po technické stránce. To však ve většině firem frustruje obchod, který má hledat nové způsoby příjmů a podporovat zvyšování konkurenceschopnosti. Proto také dnes firmy a organizace přicházejí s tím, že je třeba odpovědnost za rizika a bezpečnost rozdělit i mezi vedoucí pracovníky, kteří odpovídají za obchod, finance, provoz, logistiku apod. Člověk odpovědný za kybernetickou bezpečnost prostě nemůže z principu odpovídat za to, jak budou rizika z pohledu obchodního fungování celého podniku ošetřena a jaký bude celkový risk apetit k jejich přijetí.

Z tohoto pohledu je také třeba zdůraznit, že managementy firem a organizací musí mít funkční potřebu pro vzájemné sdílení informací o rizicích nejen v rámci svého vlastního prostředí, ale i v rámci bližšího i vzdálenějšího okolí. Taková opatření pak rovněž zvyšují připravenost všech stran na „inevitable day“, kdy prostě jednou k narušení dojde.

S ošetřením kybernetických rizik by pak managementům firem a organizací měli pomoci jak techničtí odborníci, tak i risk manageři a pojišťovací makléři spolu s pojišťovnami, které dokážou kybernetická rizika účelně a odpovědně pojistit.

Petr Moláček
Autor článku působí ve společnosti Principal engineering.