Rizika spojená s kyberútoky a výpadky systémů neberou tuzemské podniky dostatečně vážně. „Ačkoliv firma sama nemusí být plně závislá na online prostředí, svět okolo ní už je. Zasažena tak může být každá společnost, bez ohledu na obor, ve kterém podniká,“ říká Zdeněk Grmela, ředitel pro oblast kyberbezpečnosti divize pro firemní zákazníky společnosti T-Mobile.
Grmela proto zve zástupce firem na listopadovou konferenci Future Secured zaměřenou právě na téma kybernetické bezpečnosti. „Soustředili jsme se na to, aby mezi řečníky byli inspirativní lidé s reálnými zkušenostmi v oboru a vytvořili jsme pro účastníky i skvělou příležitost se potkat,“ dodává Grmela.
Proč by firmy měly chránit svá data?
Bezpečnost není jen o ochraně dat, ale také o jejich dostupnosti a zabezpečení informačních systémů. Pokud například přestane fungovat část infrastruktury, celý byznys může být skutečně paralyzován. Firmy si začínají stále více uvědomovat, že ztráta dat nebo přerušení provozu může vést k vážným problémům. Mnoho společností ale plně nechápe dopady podobných situací, dokud se s nimi nesetkají. Teprve poté si uvědomí, o jak vážný problém jde.
Vnímáte, že třeba výrobní firmy, které tolik nepracují online, tato rizika neberou příliš vážně?
To je pravda. Historicky se na kybernetickou bezpečnost zaměřovaly především společnosti, jejichž byznys závisel na technologiích nebo velkou část byznysu prováděly online. Některé výrobní firmy, ale také podniky v retailu nebo distribuci mají často pocit, že IT systémy mají pro ně jen podpůrný charakter a klíčové je například zajištění paliva pro dopravu nebo funkčnost výrobních strojů. Některé z nich skutečně mají velkou část výroby od těchto IT systémů izolovanou, takže se zdá, že se k nim útočník nedostane. Nicméně, jak se stále více využívají cloudové služby a propojování systémů a procesů roste, tato izolace už neplatí. Stále větší část podnikání i výrobních či logistických firem je online, často aniž by si to ve firmě plně uvědomovali.
Co se jim může stát?
Firma sice může nadále vyrábět, ale pokud jim například vypadne logistický systém, výrobky se začnou hromadit na skladě, protože nebudou schopni objednat dopravu. Ačkoliv firma sama nemusí být plně závislá na online prostředí, svět okolo ní už je. Zasažena může být každá firma, bez ohledu na obor. Rizika se nevyhýbají ani jiným odvětvím – například zdravotnictví. Nemusí nutně přestat fungovat nějaký přístroj, ale bohatě stačí, když přestane fungovat centrální systém na vyvolání pacientů a nemocnice je v tu chvíli de facto paralyzovaná.
Posouvá se přece jen vnímání kyberbezpečnostních rizik u firem k lepšímu?
Bohužel, stále platí, že si firmy rizika plně neuvědomují. Rozdíl je hlavně mezi těmi, které už nějaký výpadek nebo kybernetický útok zažily, a těmi, které ne. Když dojde k incidentu, často zavládne chaos a nikdo neví, co dělat. Ochrana není jen o technologiích, ale hlavně o procesech a připravenosti. Bezpečnost se dá přirovnat k pojištění – může se stát, že ho roky nevyužijete, ale když k problému dojde, jste rádi, že jste na něj připraveni.
V jakých částkách se cena ochrany pohybuje?
Cena se velmi liší podle potřeb firmy. U zabezpečení mobilních telefonů můžeme hovořit o korunových částkách za den, třeba o ceně jednoho espresa. U komplexnějších řešení jsou náklady vyšší, ale klíčovou složkou jsou lidé, kteří bezpečnost zajišťují. Technologie jsou důležité, ale náklady na odborníky, kteří systém spravují, jsou často ještě vyšší. Celkové náklady se mohou pohybovat od malých částek až po stovky tisíc korun měsíčně, v závislosti na velikosti firmy a složitosti řešení.
Můžete teď naopak vyčíslit náklady, které firmám přináší výpadek systému?
Máme příklady firem, které opravdu několik dnů nefungovaly, a v takovém případě se škody mohou vyšplhat až na desítky milionů korun. Čas od času se o různých incidentech dočtete i v médiích – příkladů jsou desítky napříč sektory. Většina společností si ale nedokáže finanční dopad přesně spočítat. Neuvědomí si, že jim možná nebude fungovat celá výroba jen kvůli tomu, že jim spadl jeden systém. I když si můžete připravit různé simulace, přesně předpovědět všechny následky je velmi obtížné. Záleží například i na době, kdy k výpadku dojde – je rozdíl, pokud vám e-shop spadne v pátek odpoledne v létě, nebo těsně před Vánoci. Ochrana by proto měla fungovat dlouhodobě, aby byla efektivní a v konečném důsledku může pak být i méně nákladná.
Jaká řešení dnes klientům nabízíte?
Nabízíme široké spektrum řešení, od ochrany mobilních telefonů až po firemní systémy. Zaměřujeme se na největší rizika, tedy ochranu koncových stanic, uživatelů, konektivit, infrastruktury a webových aplikací. Zároveň nabízíme bezpečnostní dohled, což zahrnuje specializovaný tým, který monitoruje bezpečnostní události a v případě potřeby zákazníkům pomáhá s jejich řešením.
Snažíme se řešení standardizovat, abychom zajistili jejich vysokou kvalitu, rychlost a zároveň umožnili jejich cenovou dostupnost. Pokud bychom se zaměřili na individuální nadstandardy, riskovali bychom, že řešení bude příliš složité a pro zákazníka nakonec i zbytečně drahé.
Zákazníci navíc mohou využít možnost ochrany dat ve vašich datacentrech. Na co by v tomto případě měli dbát?
Například by kvůli diverzifikaci rizik měli mít svá data uložena alespoň ve dvou datacentrech. Je důležité mít zálohy na různých místech, protože výpadky někdy ovlivňuje člověk, ale někdy příroda, například přírodní katastrofy jako nedávné povodně. Pokud máte data jen na jednom místě, například v oblasti zasažené povodní, může být zajištění dostupnosti dat a kontinuity provozu složité.
Jak se kvůli stále větší digitalizaci v posledních letech zvýšila zranitelnost byznysu?
Digitalizace přináší velké výhody – urychluje procesy, zvyšuje efektivitu a zjednodušuje mnoho věcí. Téměř každý má dnes chytrý telefon, počítač, a i v rámci byznysu jsou dnes technologie nedílnou součástí všech procesů a většina věcí se řeší online. Dá se říct, že větší zranitelnost je v určitém smyslu daní za pokrok.
Kybernetickou bezpečnost řeší i řada vyhlášek. Jaký máte názor na regulaci v této oblasti?
Regulace mohou být užitečné, ale někdy mají na firmy opačný efekt. Některé třeba nemají prostředky na zavedení všech opatření, která regulace požadují, a řeší je proto formálně, jen aby si odškrtly splnění povinnosti. Tím se však nesoustředí na skutečnou podstatu ochrany. Namísto smysluplných opatření a ochrany dat se firmy zaměřují na splnění regulací a certifikací, což často neodpovídá jejich reálným potřebám. Regulace jsou psány obecně, přestože každá firma má svá specifika, a tím i různé potřeby. Správným přístupem by mělo být přizpůsobení bezpečnostních opatření konkrétním potřebám firmy, a ne pouhé naplňování obecných pravidel.
Ochrana dat bude hlavním tématem listopadové konference Future Secured, kterou T-Mobile uspořádá v pražském Karlíně. Proč by podnikatelé měli na akci dorazit?
Konferenci jsme se rozhodli uspořádat, protože v regionu střední a východní Evropy je podobných akcí s opravdu kvalitním obsahem relativně málo. Soustředili jsme se na to, aby mezi řečníky byli inspirativní lidé s reálnými zkušenostmi v oboru a vytvořili jsme pro účastníky i skvělou příležitost se potkat.
Na konferenci budou zástupci státních organizací, neziskovek i byznysu – lidé, kteří buď sami zažili kybernetické útoky, nebo se podíleli na ochraně klíčové infrastruktury v různých zemích. Chceme přinést jejich cenné zkušenosti. Naším cílem není firmy děsit, ale realisticky ukázat, s čím se mohou setkat a jak se na to připravit. Není to o tom, jestli se stanete terčem kybernetického útoku, ale kdy. Může se to navíc stát komukoliv z nás.
Přidejte si Hospodářské noviny mezi své oblíbené tituly na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist