- Globálně koordinovaný útok viru WannaCry 12. května 2017 podtrhl nutnost změny ve způsobu, jímž organizace nahlížejí na kybernetickou bezpečnost.
- Závažnost, povaha a rozsah kybernetických hrozeb dosahují takového měřítka, že je nutno je řešit na úrovni nejvyššího vedení. Manažeři se musejí otázkám kybernetické bezpečnosti aktivně věnovat a vyčlenit dostatek prostředků pro identifikaci a efektivní zvládání počítačových rizik. Představenstvo odpovídá za ochranu proti hrozbám, jejich rozpoznávání a řešení a za zotavení organizace.
- Zvýšení odolnosti organizací vůči kybernetickým hrozbám je úkolem jejich vedení: znamená to víc, než jen programy zaměřené na změnu chování pracovníků a technická opatření na straně oddělení IT.
Útok z minulého pátku vyšel z nedostatečně chráněných počítačů. To ukazuje, že školení personálu je nutné, samo již ale nestačí. Většina vedoucích pracovníků si plně neuvědomuje, jak jsou dnes kybernetické hrozby závažné. Firmy sice investují do zabezpečovacích technologií, ty jsou však neustále napadány novými a odlišnými způsoby.
„Bohužel nejzranitelnějším článkem firem bývá lidský faktor. Většina manažerů i zaměstnanců dnes pro řízení a běžný chod firem používá různá mobilní zařízení, která stále častěji představují potenciální bránu pro útoky nebo komerční špionáž,“ říká Tomáš Kubíček, partner společnosti BDO IT.
Tradiční metody zabezpečení informací již počítačové zločince na uzdě neudrží. Závažnost, povaha a rozsah kybernetických hrozeb dosahují takového měřítka, že je nutno je řešit na úrovni nejvyššího vedení. Zde je možné se dohodnout na strategickém kybernetickém modelu, který vychází z obranné doktríny, jež posouvá tradiční model „ochrany“ o krok dále.
„Z pohledu zkušeností na českém trhu se domnívám, že se firmy a státní instituce často spoléhají na to, že samotný nákup technologií je pro zajištění kybernetické bezpečnosti dostačující. Často ale s těmito technologiemi nesprávně pracují. Například opomíjí odchozí datový provoz, což je z hlediska bezpečnosti stejné klíčové jako útoky z vnějšího světa,” uvádí Tomáš Kubíček z BDO IT.
Shahryar Shaghaghi, vedoucí mezinárodního týmu skupiny BDO pro bezpečnost IT, prohlásil: „Ransomware představuje rostoucí hrozbu pro všechny obory, obzvlášť zranitelná jsou však zdravotnická zařízení. Digitální transformací prošla pozdě a faktem je, že při zřizování mnoha systémů IT se na jejich zabezpečení příliš nemyslelo. Řada nemocnic používá zařízení na konci životnosti a místo bezpečnosti dat dává přednost jejich okamžité dostupnosti. Jejich systémy jsou tak pro počítačové zločince relativně snadnou kořistí. Nemocnice kromě toho nemají času nazbyt: infekce ransomwarem, která zablokuje přístup k životně důležitým lékařským datům, ohrožuje i životy pacientů. V situaci, kdy jde o lidské životy, představuje jediná schůdná cesta, tedy rozhodování, zda zaplatit či ne, mimořádně těžké dilema.“
Ophir Zilbiger, partner v izraelském centru společnosti BDO pro kybernetickou bezpečnost, uvedl: „Zabezpečené prostředí je takové, kde výkonné vedení přiděluje finanční prostředky a dává manažerům nástroje k rozpoznávání kybernetických rizik a jejich zmírňování. Vedení, které se k počítačové bezpečnosti staví zodpovědně, nejen kontroluje předpisy, ale také zavádí a prověřuje bezpečnostní opatření, aby byla zajištěna jejich účinnost.“
„Řada firem i státních organizací dnes řeší nové legislativní požadavky v oblasti kybernetické bezpečnosti nebo ochrany osobních údajů známé jako GDPR. Snažíme se našim klientům doporučovat, aby tyto regulatorní požadavky nebrali jen jako formální záležitost, ale využili je k důkladné inventuře zajištění kybernetické bezpečnosti a posunuli tuto oblast na agendu nejvyššího vedení společnosti. Není to jen kvůli potenciálním sankcím v případě úniku citlivých dat, ale i kvůli ochraně vlastních obchodních zájmů. S těmito výzvami našim klientům pomáhá seniorní tým bezpečnostních expertů za využití mezinárodních zkušeností, specializovaných postupů a nástrojů,“ přibližuje Tomáš Kubíček z BDO IT.
Globální tým počítačové bezpečnosti skupiny BDO nabízí několik vlastních modelů rozvoje a zvyšování kybernetické bezpečnosti v organizacích. S našimi klienty pracujeme komplexně od nastavení systémů compliance a budování proaktivního přístupu přes průběžný vývoj funkcí až po efektivní řízení rizik tak, aby rychle dosáhli zvýšení úrovně vyzrálosti a odolnosti.