Hybridní firemní hrozby: Prevence především

Česká republika patří k nejohroženějším státům vůči hackerských útokům. Jen v Evropě je Česko pátým nejčastějším terčem kybernetických útoků. Mediálně nejviditelnější jsou útoky na státní organizace, nemocnice, vysoké školy, výzkumné ústavy nebo finanční instituce. Skoro v polovině všech útoků ale hackeři cílí i na malé a střední firmy.

I kvůli tomu se Svaz průmyslu a dopravy ČR rozhodl pokračovat v další osvětové akci kulatým stolem na téma Hybridní hrozby ekonomickým subjektům. Vystupující v tomto směru otevřeli čím dál důležitější kapitolu současného byznysu, tedy vědomí o možných kybernetických útocích a možnosti jak se jim bránit, s cílem posílit firemní odolnost.

Prevence, prevence, prevence

Leitmotivem setkání byla nutnost majitelů firem uvědomit si, že jde o reálné riziko, které se navíc zvětšuje, protože útoků přibývá a stávají se navíc sofistikovanější. Většina mluvčích se proto shodla na nutnosti a výhodách prevence před napadením. „Základním krokem je opravdu prevence. Výchozí je pak manažerské rozhodnutí jestli ve firmě budete chtít zvýšit odolnost proti kybernetickým útokům nebo jakémukoliv vlivovému působení. Pokud ano, máte možnost ta rizika řídit. Pokud ne, spoléháte na náhodou a štěstí, že se zrovna vám nic nestane,“ říká Petr Bílý, Vrchní ministerský rada, Odboru bezpečnostní politiky Ministerstvo vnitra ČR, který připomněl, že neexistuje jednoduché nebo zázračné řešení a ve složitějších případech proto doporučuje kontaktovat k tomu určenou emailovou adresu Bezpečnostní informační služby: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.. Ministerstvo vnitra také připravilo protivlivový manuál pro akademické prostředí.

Hybridní hrozby ale nejsou jen ty, které na podniky míří z internetu. Infiltrace do struktury firem může nastat i při zahraniční spolupráci nebo zahraniční investici. Odborníci z Ministerstva průmyslu a dopravy ČR proto ve své práci posuzují právě bezpečnost investic do českých podniků ze třetích zemí mimo EU. „Všeobecná charakteristika rizikového investora je, že není veden čistě ekonomickými zájmy, jeho cíle mohou být politické. Investor má taky nejasnou vlastnickou strukturu a samozřejmě je potenciálně velmi riziková úzká vazba na vládu cizího státu,“ říká Petr Lang z Odboru obchodní politiky a mezinárodních ekonomických organizací MPO.

Skutečným cílem takových investic pak může být přístup k bezpečnostně důležité technologii, výrobě nebo know-how. Dále pak přístup nebo možná kontrola kritické infrastruktury, stejně jako ovlivňování veřejného mínění nebo sběr citlivých osobních dat pro zpravodajské účely (profilace, vydírání). K prověřování konkrétních investic nabízí MPO konzultace, které jsou dobrovolné, a investor při nich získává jistotu, že neohrožuje bezpečnost ČR a nebude prověřována z moci úřední. V případě investice do větších mediálních domů jsou pak povinné. Rozcestník, který se týká bezpečnosti zahraničních investic včetně kontaktů, na koho se obrátit, MPO plánuje brzy uveřejnit.

Základ cyber security

I když mnoho podniků na nějaké úrovni svou kybernetickou bezpečnost řeší, může to být nedostatečné. Kybernetická bezpečnost totiž podle odborníků stojí na třech pilířích, kdy se jeden bez druhého neobejde: technologie, procesy a lidé. „Útočníci cílí primárně na aplikace a systémy dostupné z internetu a zaměstnance firem. I když mohou být technologie i procesy dobře nastavené, ve chvíli kdy do hry vstupuje lidský faktor, je třeba neustále své zaměstnance vzdělávat a nastavené procesy taky hlídat,“ říká Jan Kopřiva, Senior Security Consultant ze společnosti ALEF.

Hackeři si totiž dobře uvědomují, že právě lidé mohou být tím nejslabším článkem kybernetické obrany a stále častěji používají klamné taktiky, aby zneužili zaměstnance firem. Ti se mohou nevědomky stát obětí phishingového útoku, které se snaží přes různé podvodné emaily, dokumenty nebo formuláře vylákat z uživatelů citlivá data, včetně nejen osobních, ale i firemních přístupových hesel a dat, a proto i jedno malé kliknutí může zničit celou firmu. „U phisingových kampaní je vždycky nějaká úspěšnost, je jich totiž obrovské množství, které navíc roste, a bývají propracovanější. Dopady takových útoků mohou být velmi citelné, výsledkem mohou být zašifrované počítače a jejich data nebo napadená celá síť, ve které se škodlivý kód může skrývat a působit i měsíce nebo roky. Dopady takových útoků pak můžeme pocítit i v reálném světě,“ vysvětluje Jan Kopřiva s tím, že výsledkem pak nejsou jen ekonomické a reputační dopady na firmu ale i na svět mimo firemní prostředí - omezení fungování dopravy, výpadky elektrické energie, ohrožení zdravotnické péče apod. Na toto, pro firmy čím dál důležitější téma, reaguje i aktuální finalizace širší regulace v oblasti kybernetické bezpečnosti na úrovni EU (NISd2). Tím se o několik desítek procent zvýší počet subjektů, které budou muset kybernetickou bezpečnost povinně řešit (nově např. organizace v likvidaci odpadů, distribuce potravin apod.). Pro všechny úrovně znalosti firem může v této oblasti pro inspiraci dobře posloužit publikace osvědčených postupů pro počítačovou bezpečnost CIS Critical Security Controls.

Dezinformace a byznys

Český byznys může poškodit nejen přímé napadení firemních počítačů ze strany hackerů, ale i ovlivňování veřejného mínění skrze nejrůznější dezinformace. Jejich reálné dopady a rizika pro ekonomiku i společnost zmínila Adéla Klečková odbornice na informační a kybernetické operace z German Marshall Fund.

„V minulosti i u nás proběhly konkrétní dezinformační kampaně proti 5G sítím. Velkou dezinformační odezvu taky měla snaha jednoho významného oděvního řetězce upozornit na realitu nevyhovujících podmínek pro zaměstnance v čínských textilních továrnách v Ujgurské autonomní oblasti. Dezinformace obecně rozdělují společnost a znejišťují ji v názorech, a ta se tak stává snadno ovladatelná,“ vysvětluje Adéla Klečková. Existují ale preventivní způsoby, jak těmto problémům čelit - zamezit inzerci na dezinformačních webech, přidat do arzenálu organizace odborníka na strategickou komunikaci a propagovat kvalitní a důvěryhodné zpravodajské zdroje. I proto se Svaz průmyslu a dopravy ČR jako první zaměstnavatelská organizace stal podporovatelem iniciativy NELEŽ, která bojuje proti dezinformačním webům. Mezi své členy proto Svaz šíří osvětu, aby byli zodpovědnými zadavateli reklamy, nepodporovali weby šířící nepravdivý obsah a chránili svou značku.

Akce Hybridní hrozby ekonomickým subjektům se zúčastnili IT/bezpečnostní/generální/strategičtí ředitelé, jednatelé, podnikoví právníci, IT a kybernetičtí specialisté a další zástupci členských firem SP ČR (ČEZ, T-MOBILE, ORLEN UNIPETROL, SOLEK, …), státních institucí (Ministerstvo obrany, NÚKIB, NAKIT, České dráhy, … ) a dalších organizací a proběhla v rámci regionálního zastoupení SP ČR.