Článek
Nedávno jsem v našem podcastu Na grilu mluvil s Lukášem Vejmanem z MyCom Solutions o tom, co dnes musí firmy dělat pro své IT, aby jejich byznys obstál ve světě, kde kyberútoky přicházejí častěji než obchodní nabídky.
S kolegy z naší bezpečnostní divize MyCom Solutions dlouhodobě řešíme penetrační testování, Security Operations Center (SOC), zálohování i způsob, jak nad riziky přemýšlet. SOC přitom není žádné kouzelné tlačítko, ale spíš „velký brácha“, který firmě hlídá záda. Sleduje logy, servery, síťový provoz a když se něco děje, zasáhne dřív, než se problém rozroste do plných rozměrů. Právě tahle proaktivní práce s daty a monitoringem často rozhoduje o tom, jestli firma útok ustojí, nebo se z něj bude měsíce vzpamatovávat.
Když už k incidentu dojde, platí jednoduché pravidlo. Zůstaňte klidní, transparentní a jednejte rychle. Panika je přirozená, ale k ničemu nepomáhá. Důležité je mít plán, komunikovat se zaměstnanci, partnery i zákazníky, a pokud si nejste jistí, obrátit se na odborníky. Není to ostuda, ale důkaz zodpovědnosti. V Algotechu jsme podobných situací viděli dost na to, abychom věděli, že právě otevřenost a rychlá reakce často firmu zachrání.
Co by měly firmy dělat pro své IT
Pokud bych měl být konkrétní, firmy by měly začít u základů. Mít přehled o tom, co ve své IT infrastruktuře vůbec mají. Od serverů až po zapomenuté notebooky. Bez toho se těžko chrání něco, o čem nevíte, že existuje. Druhým krokem je nastavit procesy. Kdo má jaké přístupy, jak se pracuje s hesly, jak se aktualizuje software a jak se zálohují data. Třetím pilířem je pravidelné testování – nechat si udělat penetrační test, vyzkoušet obnovu ze záloh, projít si simulaci útoku. To všechno pomáhá odhalit slabiny dřív, než je někdo zneužije.
Další důležitou oblastí je vzdělávání lidí. Většina útoků nezačíná v serverovně, ale v e-mailu. Stačí jedno neopatrné kliknutí. Proto má smysl budovat kulturu bezpečnosti, mluvit o tom, sdílet zkušenosti, trénovat zaměstnance, aby poznali podvodný e-mail nebo falešnou přílohu. Kyberbezpečnost by měla být součástí každodenního fungování, stejně jako kontrola přístupové karty při vstupu do budovy.
Kyberbezpečnost není o penězích, ale o přístupu
Stále se setkávám s názory typu „stojí to moc peněz“ a „už jsme zabezpečení“, nebo „jsme moc malí, aby nás někdo chtěl hacknout“. Tyhle výmluvy slyším často a všechny jsou mylné. Dnes už nejde o to, kolik investujete, ale jak přemýšlíte o riziku. Většina firem má potřebné technologie dávno k dispozici, jen je nevyužívá naplno. Firewall, záloha, antivir, to všechno jsou už standardní nástroje. Rozdíl je v tom, jestli s nimi aktivně pracujete, nebo je máte „pro jistotu“.
Kyberbezpečnost je podobná jako péče o zdraví nebo trénink na hudební nástroj. Malé, pravidelné kroky, ne jednorázové projekty.
Proč se to vyplatí
Každá hodina, kdy firma kvůli útoku nefunguje, stojí peníze. A to nejen přímé ztráty z provozu, ale i ty nepřímé, tedy poškozenou reputaci, ztracenou důvěru zákazníků, stres zaměstnanců. Když si to spočítáte, rychle zjistíte, že prevence je vždy levnější než hašení požáru.
A pak je tu nová evropská směrnice NIS 2, která přiměje firmy přemýšlet o bezpečnosti systematičtěji. Mnozí ji vnímají jako zbytečnou byrokracii. Já ji vidím spíš jako bezpečnostní airbag, možná vás občas omezí, ale v krizi vám zachrání život. Stejně jako dřív u aut. Nejdřív jsme nadávali na pásy a ABS, dnes si bez nich nedovedeme představit cestu. A s kyberbezpečností to bude podobné.
Bezpečnost není o strachu, ale o disciplíně a zodpovědnosti. Když se o ni budete starat průběžně, snížíte riziko útoku na minimum.
