Firmy jsou terčem kyberútoků čím dál častěji. Ať už je to phising nebo malwarové případně DDoS útoky, mohou se jejich následky vyšplhat do mnohamilionových nákladů. Do platnosti navíc brzy vstoupí evropská směrnice NIS2, která na společnosti klade vyšší nároky. Jak ve firmě „řešit" kybernetickou bezpečnost? Nejlépe za pomoci vlastního odborníka.
Bezpečnostních incidentů se děje víc, než se veřejně přiznává. „Z mých zkušeností je to tak, že o řadě útoků se neví. Terčem se staly i velké a známé české firmy," komentoval pro DVTV Adam Koudela, expert na kyberbezpečnost ze společnosti XEVOS, statistiku, že v Česku došlo v červnu k 22 napadením. Terčem se stávají firmy vhodné k vydírání. Národní úřad pro kybernetickou bezpečnost oficiálně upozornil na zvýšené riziko ransomwarových útoků na Česko.
Jedním z historicky nejvýraznějších incidentů bylo napadení benešovské nemocnice Rudolfa a Stefanie, kde celkové škody následně dosáhly hranice 59 milionů korun. Posledním „hitem" se stala zbrojařská společnost Omnipol. Hackerům se podařilo získat citlivá data, která potom nabízeli na darkwebu a požadovali za ně výkupné.
Problém existuje a zdá se, že je na vzestupu i v souvislosti s probíhajícím válečným konfliktem na Ukrajině. Jaká řešení ale mají české firmy k dispozici? Prvním, které se nabízí, je delegovat odpovědnost na externího dodavatele. Firmě tím odpadnou starosti s vlastním řešením. I v tomto případě je ale dobré mít v in-house IT týmu někoho, kdo problematice rozumí, a může tak s poskytovatelem služby navázat efektivní spolupráci.
Jak najít toho pravého?
Řada firem ale sází na úplně vlastní koně. Důležitost expertů na kybernetickou bezpečnost pro úspěšné podnikání bude patrně jenom růst, a vlastní specialista se proto může do budoucna vyplatit. Problém je, že takoví odborníci jsou doslova nedostatkovým zbožím. Musí toho hodně umět a na jejich schopnosti budou kladeny stále větší nároky, třeba i díky směrnici NIS2, která si má najít cestu mezi české zákony ve druhém kvartále příštího roku.
Dobrý kyberexpert nebo CISO (Chief information security officer), jak se pozice v korporátním prostředí často nazývá, musí mít řadu dovedností. Vedle těch takzvaně „měkkých", bez kterých se obejde málokterá profese, jsou to nepřekvapivě znalosti informatiky. Co všechno by tedy v dobrém „kybersekuriťákovi" měli majitelé firem očekávat?
1. Vzdělání
Výhodou a pro mnoho zaměstnavatelů nezbytným požadavkem je vzdělání v oboru. I když formální vzdělání není automaticky známkou kvalitního profesionála, je například bakalářský titul z informatiky jistou garancí, že uchazeč svému oboru rozumí. Vzdělávání kyberbezpečnostního experta nicméně nikdy nekončí. Každý den se musí učit nové věci a ty staré leckdy zapomínat.
2. Řízení rizik
Zásadní součástí práce odborníka v tomto segmentu je schopnost identifikovat, monitorovat a posuzovat rizika. Ta souvisejí s firemními systémy, ale i zaměstnanci nebo externími poskytovateli služeb. Jejich správné vyhodnocení umožňuje předem navrhnout optimální řešení a zmírňovat jejich dopady
3. Compliance
Znát a dodržovat právní předpisy a interní směrnice je jednou z důležitých schopností správného CISO. S kyberbezpečnostní je spojená specifická legislativa, která navíc samozřejmě prochází změnami. Jednou takovou je směrnicí zmiňovaná NIS2, která začne platit příští rok.
4. Analytické dovednosti
K rozpoznávání potenciálních rizik a jejich trendů je potřeba precizní analýza dostupných dat. A právě schopnost práce s daty je proto klíčová. Jedná se zejména o znalost a ovládání různých nástrojů a také o schopnost o datech správně přemýšlet i je zasazovat do kontextu.
5. Komunikační a organizační schopnosti
Expert na kyberbezpečnost pracuje i s lidmi. Je pro něj důležité umět svým nadřízeným i spolupracovníkům vysvětlit někdy složité koncepty. Často se také stává, že musí komunikovat s lidmi bez technických znalostí, kterým je potřeba situaci vysvětlit jednoduše. Často také prezentuje složitá data a musí je umět podat srozumitelně. Stejně tak je pro něj nezbytná organizovanost a spolehlivost, zejména při práci s citlivými daty.