Zatímco legislativa jako směrnice NIS2 nastavuje rámec a technologická řešení poskytují nástroje, skutečná odolnost firem proti kybernetickým hrozbám stojí a padá s lidským faktorem a proaktivní prevencí. Investice do těchto oblastí jsou řádově nižší než náklady spojené s řešením úspěšného útoku, který může mít pro nepřipravenou firmu až likvidační následky. Jak tedy budovat efektivní obranu a jakou roli hraje vzdělávání a správný přístup vedení? Podle Martina Trávníčka ze společnosti Zimestic Solutions je klíčová kontinuita a pochopení, že bezpečnost se týká všech.
Zkušenosti ukazují, že firmy, které prošly bezpečnostním incidentem, často paradoxně posílí svou reputaci, pokud situaci zvládnou transparentně a prokáží, že se poučily a zavedly robustnější opatření. „Tyto společnosti v reálu pochopily, co to vlastně znamená, když jsou napadeni, když přicházejí o data nebo jsou vydíráni,“ říká Trávníček. Právě tato bolestná zkušenost často vede k výraznému posunu ve vnímání kybernetické bezpečnosti na všech úrovních firmy.
Zásadní roli však hraje proaktivní přístup, který nemusí čekat na krizi. „Vždycky to závisí od vedení firmy, od jednotlivých osob, které se podílejí na tom, jak budovat kybernetickou bezpečnost,“ zdůrazňuje Trávníček. Pokud má vedení vizi, vnímá kybernetická rizika vážně a obklopí se odborníky (nejen IT specialisty, ale i manažery kybernetické bezpečnosti, architekty či auditory), je prvotním úspěchem už jen samotná snaha zmapovat aktuální stav a identifikovat rizika.
Práce na snižování selhání lidského faktoru je podle Trávníčka kontinuální proces. Začíná obvykle rozdílovou (gap) analýzou, která porovnává současný stav s požadovaným (legislativním i praktickým). Z ní vyplynou návrhy na technická i procesní opatření. „Snažíme se jim samozřejmě pomoci i s dodávkami, ale zároveň toho klienta (…) se snažíme dále udržovat v aktuálnosti těch informací, pomáhat mu, aby se dovzdělávali jeho zaměstnanci,“ popisuje přístup své firmy. Není to jednorázová akce, ale budování partnerství a podpora živého ekosystému bezpečnosti ve firmě. To zahrnuje interaktivní kurzy, testování zaměstnanců (např. simulovaným phishingem, ale s důrazem na vysvětlení a poučení, nikoli trestání) a podporu účasti na odborných konferencích.
Investice do této prevence se jednoznačně vyplácí. Trávníček používá příměr s požárem: „Prevence stojí řádově méně než řešení nebo hašení požáru.“ Mít funkční „hasičský přístroj“ (zavedená opatření, proškolené lidi) a pravidelně ho kontrolovat (revize, audity) dává firmě šanci incident zvládnout s minimálními škodami. Náklady na řešení rozsáhlého útoku, například ransomwarového, mohou být astronomické.
Trávníček ilustruje dva scénáře pro firmu čelící ransomwarovému útoku: Pokud firma investovala do prevence a má zajištěnou vysokou dostupnost a plány obnovy, může se přepnout do záložní lokality a obnovit provoz během hodin s náklady v řádu desítek či stovek tisíc korun. Pokud však firma připravena nebyla, čelí škodám v řádech statisíců až milionů korun, obrovskému reputačnímu riziku v dodavatelském řetězci a v krajním případě i úplné likvidaci podnikání. „Může vás to stát i to podnikání,“ varuje. Ztráta nezálohovaných dat, zákaznických informací či firemního know-how může být fatální.
Důležité je si uvědomit, že kybernetická bezpečnost se netýká jen velkých korporací nebo státní správy. „Investovat do obrany (…) by měl každý,“ tvrdí Trávníček a dodává, že nástroje pro obranu (firewally, antiviry, monitoring) jsou dnes mnohem dostupnější i pro menší a střední podniky (SME). Opět se ale vrací k lidskému faktoru a přístupu vedení jako klíčovému elementu.
Při pohledu do budoucna vidí Trávníček největší potenciál v systémech monitoringu a včasného varování (např. služby typu SOC – Security Operation Center), detekci anomálií a samozřejmě v pokračujícím vzdělávání. Jako základní poučku pro každého uživatele internetu zmiňuje potřebu základní digitální gramotnosti, jakési „autoškoly pro internet“. Navrhuje myšlenku „řidičáku pro brouzdání na internetu“ a zdůrazňuje, že firmy by měly školení v oblasti kyberbezpečnosti a ochrany dat brát stejně vážně jako BOZP nebo školení řidičů. Technologický pokrok a s ním spojená rizika si to podle něj jednoznačně vyžadují.
