Kyberútoky ve firmách usnadňují zaměstnanci. Účinnou obranou je pravidelné školení

Vedoucí IT oddělení ve společnosti Asseco Solutions Jaroslav Otcovský vysvětluje, jaká jsou největší rizika kybernetických útoků pro firmy v době, kdy se stále více rozšiřuje digitalizace byznysu a svět je zároveň geopoliticky stále méně stabilní.

Často se upozorňuje na to, že vojenský konflikt na Ukrajině, který je největším ozbrojeným střetem v Evropě po roce 1945, aktivizoval zejména ruské hackerské skupiny. V souvislosti s tím se zvyšuje i riziko kybernetických útoků na firmy v zemích, které podporují ukrajinské obránce.

„V dnešní době už neexistuje něco, čemu říkáme klasická válka, setkáváme se více a více s pojmem hybridní válka. To už ze své vlastní definice kybernetický prostor a kybernetické útoky v sobě obsahuje,“ řekl k tomu Jaroslav Otcovský s tím, že i konflikt na východě Evropy přispívá k vyššímu riziku kyberútoků obecně.

S tím, jak postupuje digitalizace firemního prostředí i celé společnosti, je v ohrožení stále větší počet citlivých dat. Mohou být napadeny i nemocnice nebo elektrárny, jak na to opakovaně upozorňuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Poddimenzovaná ochrana

„Kyberbezpečnost v těchto odvětvích a sektorech je výrazně poddimenzovaná. Souvisí to nejenom s tím, jak se rozšiřují digitální služby, které jsou těmito zařízeními poskytovány, tak i s vybavením, které v tuto chvíli samy používají. Dnes si zdravotnictví bez elektronických robotů nebo různých evidencí ani nedovedeme představit. A zde právě vidím jeden z problémů poddimenzování kybernetické ochrany,“ varoval.

Největším problémem nicméně stále zůstává chování samotných zaměstnanců firem a dalších organizací, protože podle statistik je minimálně 90 procent útoků provedeno zevnitř organizace.

„Vždycky jde o nejslabší článek tohoto řetězce. Spousta IT oddělení vystaví kolem firmy pomyslný perimetr ochrany, ale přece jenom uživatel-zaměstnanec je zpravidla tím nejsnáze ovlivnitelným článkem, kde dochází k chybě. Někdy se uvádí i číslo více než 90 procent útoků právě zevnitř,“ vysvětlil šéf IT oddělení ve společnosti Asseco Solutions.
 

Nutnost edukace zaměstnanců

V drtivé většině se jedná o nezaviněné nebo neúmyslné jednání zaměstnance: „Zabránit se tomu dá v podstatě skutečně jedině edukací lidí a vysvětlováním toho, co může nastat.“

A jaké jsou nejčastější chyby v chování zaměstnanců, jež ohrožují kybernetickou bezpečnost firem?

Lepítka na monitorech a pod klávesnicí s heslem pro odemykání počítačů, phishingové útoky a otevírání odkazů v zasílaných e-mailech a následné zatajování skutečnosti, že došlo k rizikovému chování. „To je velmi častou příčinou problémů, které následně vznikají,“ varoval Otcovský.

Trendem posledních let je také mnohem větší využívání možnosti home office. V tomto případě záleží na tom, zda zaměstnanci používají firemní počítač, nebo ne. „Většina společností používá pro práci z domova nějaké VPN připojení, aby to bylo, pokud možno, zabezpečeno. Ale už málokdy se dohlíží na skutečně koncové zařízení uživatele,“ upozornil na slabinu v kyberbezpečnosti šéf IT oddělení Asseco Solutions.

I když má firemní IT oddělení přehled o tom, jaké zařízení a kdy se připojilo, často nemá kontrolu na samotným soukromým zařízením: „To může být velký problém a řekněme nechtěný trojský kůň do dané společnosti. Protože už nemáte informaci o tom, jestli je to zařízení chráněno nějakým antivirem a dalšími systémy.“

Další potenciální slabinou je používání mobilních telefonů pro čtení firemních e-mailů. Počet kybernetických útoků provedených prostřednictvím chytrých telefonů roste každým rokem o desítky procent. Jedinou účinnou ochranou je pravidelné školení zaměstnanců, aby co nejlépe dokázali poznat podvodný e-mail. Ze 30 procent detekcí, kdy uživatel skutečně klikne na závadný obsah, se dá pravidelným školením snížit tento podíl až na tři procenta.