Kybernetická rizika se stávají obchodními riziky a ohrožují podnikání

Zřejmě nejzásadnější úlohou manažerů pro informační bezpečnost (CISO) je řadit kybernetická rizika podle skutečného dopadu. „To vyžaduje stejnou míru porozumění byznysu a technologiím, ale i smysl pro to, jak se při útoku chovají objekty, které nikdy nebyly navrženy jako bezpečné. Není to snadný úkol, a to nejen z technologických důvodů. Součástí tohoto hodnocení je nutnost pochopení priorit uvnitř hodnotového řetězce organizace a jejich odpovídajícího zabezpečení,“ vysvětluje Ondřej Šťáhlavský, regionální ředitel společnosti Fortinet pro střední a východní Evropu.

Druhým úkolem je podívat se mimo organizaci a zjistit, jak ji mohou ovlivnit vnější síly. „Nové zákony a předpisy jsou nezbytné – chrání lidi, duševní vlastnictví a schopnost vynalézat a inovovat. Z tohoto pohledu jsou požadavky na compliance dobré. Jejich nároky se ale denně zvyšují,“ říká Ondřej Šťáhlavský.

Právě tato dualita, dobrá a složitá, je výzvou pro mnohá IT oddělení. Musí být schopni začlenit právní aspekty do toho, co dříve bylo čistě technologickým bojištěm. Více než kdy jindy je tak dnes klíčové, aby se management riziky kybernetické bezpečnosti zabýval. V minulosti byla odolnost spíše technickým konceptem, dnes je to požadavek zákonný. Vše by mělo být podloženo čtyřmi typy přístupů:

Prioritní obnova: Jakkoli je obtížné pořadí kybernetických rizik stanovit, jedná se o skutečně jedinečný způsob, jak propojit manažery pro informační bezpečnost a tým s byznysem firmy.

Obranné strategie: Méně je v tomto případě více. Po letech neřízeného rozrůstání bezpečnostní infrastruktury si kybernetičtí specialisté uvědomili, že velká změť produktů a dodavatelů není příliš efektivní. Příští éra bezpečnosti se bude odehrávat prostřednictvím konvergence, nikoli dalším přidáváním.

Možnosti nabídky: Součástí práce manažera pro informační bezpečnost je nabízet scénáře jako řadu zdokumentovaných kroků: investice, harmonogram, přínosy a rizika. Může navrhnout i posloupnost jednotlivých kroků. Výběr postupu je ale úkolem vedení organizace.

Výkonné vedení: Manažer pro informační bezpečnost se musí zodpovídat přímo generálnímu řediteli. V sázce je totiž přežití celé společnosti.

„Kybernetická bezpečnost není pouze o vyhýbání se ledovcům. Množství technologií, dodavatelů, procesů a rozsah digitálních transformací volají po zjednodušení. Příliš často se tento chaos mění ve velké incidenty, které fungují jako budíček. Pak se nejedná o jeden milion, který jsme neutratili, ale o 100 milionů, o které jsme právě přišli,“ uzavírá Ondřej Šťáhlavský.

Povědomí o kyberbezpečnosti Vedoucí pracovníci se stále více obávají, že jejich podřízení nemají dostatečné povědomí o bezpečnosti v IT.

Foto: Shutterstock

Neznalost kyberbezpečnosti u zaměstnanců meziročně vzrostla

Nový výzkum společnosti Fortinet, světového lídra v oblasti kybernetické bezpečnosti, ukazuje souvislost mezi zvýšenou informovaností o kybernetických hrozbách v rámci společnosti a snížením jejich rizik. Klíčovou roli přitom mají kyberneticky zdatní zaměstnanci.

„Hackeři využívají nové technologie, jako je umělá inteligence, ke zvýšení sofistikovanosti svých útoků. Je tedy stále důležitější, aby zaměstnanci sloužili jako robustní první linie obrany. Nový výzkum zdůrazňuje důležitost kybernetické ochrany a zavádění bezpečnostního povědomí a školení v rámci celé organizace. Například v našem regionu je 96 procent manažerů přesvědčeno, že by zvýšení povědomí o bezpečnosti pomohlo snížit počet kybernetických útoků,“ říká Ondřej Šťáhlavský, regionální ředitel společnosti Fortinet pro střední a východní Evropu.

Manažeři se domnívají, že hrozby budou pro jejich zaměstnance obtížněji rozpoznatelné, jelikož útočníci využívají umělou inteligenci (AI) ke zvýšení objemu a rychlosti svých útoků. „Konkrétně v našem regionu je dobře vidět, jak naplno do oblasti kyberbezpečnosti umělá inteligence proniká. 92 procent společností využívá, implementuje nebo zkoumá řešení využívající umělou inteligenci, aby zabránily kyberútokům. A 61 procent manažerů zase očekává, že se naopak zaměstnanci stanou obětí útoků, při nichž kyberzločinci používají umělou inteligenci,“ říká Šťáhlavský.

„Navzdory všem těmto obavám ale 37 procent organizací neřídí ani nesleduje, jak zaměstnanci používají aplikace, které umělou inteligenci využívají,“ doplňuje Šťáhlavský. Dobrou zprávou však je, že většina respondentů (80 procent) také tvrdí, že celopodnikové znalosti o útocích využívajících AI přiměly jejich organizace k větší podpoře zavádění bezpečnostních školení.

Zaměstnanci mohou být v první linii ochrany společnosti, ale vedoucí pracovníci se stále více obávají, že pracovníci nemají dostatečné povědomí o bezpečnosti. Téměř 70 procent dotázaných se domnívá, že jejich zaměstnancům chybí kritické znalosti v oblasti kybernetické bezpečnosti, přičemž v roce 2023 to bylo 56 procent.

Koncoví uživatelé dle výzkumu zůstávají atraktivním cílem. Více než 80 procent organizací čelilo v loňském roce útokům, jako je malware, phishing a útoky na hesla, které byly přímo zaměřeny na jednotlivce. S vývojem útoků bude povědomí o bezpečnosti a školení stále důležitější. Téměř všichni (96 procent) dotázaní tvrdí, že jejich vedoucí tým podporuje školení zaměstnanců v oblasti bezpečnostního povědomí. Téměř všichni respondenti (98 procent) uvádějí, že prevence phishingu je součástí jejich školicích programů a plánů. Mezi další hlavní priority školení patří bezpečnost dat (48 procent) a ochrana soukromí (41 procent).

Vzdělávání zaměstnanců v oblasti kyberbezpečnosti je klíčové, Fortinet chce zaškolit milion lidí

Prostředí kybernetické bezpečnosti se stává stále složitějším, poptávka po kvalifikovaných zaměstnancích stále roste a odhaduje se, že k řešení nedostatku pracovních sil v tomto odvětví je celosvětově zapotřebí 4,8 milionu odborníků. Přístup společnosti Fortinet k tomuto problému odhaluje Ondřej Šťáhlavský, její regionální ředitel pro střední a východní Evropu.

Jak se do řešení tohoto problému Fortinet zapojil?

Fortinet řeší nedostatek kvalifikovaných lidí napříč společností tak, že nabízí oceněné vzdělávací a certifikační osnovy, které mají jednotlivce vybavit potřebnými dovednostmi a znalostmi k efektivnějšímu zmírnění kybernetických rizik. Zavázali jsme se, že do konce roku 2026 vyškolíme v oblasti kybernetické bezpečnosti na celém světě jeden milion lidí. Zatím jich našimi školeními prošlo více než půl milionu, takže jsme na dobré cestě tento závazek splnit.

Jak je to s běžnými zaměstnanci firem a institucí?

Zatímco bezpečnostní a IT týmy jsou klíčové pro ochranu organizací před kybernetickými hrozbami, důležitou roli v prevenci narušení hrají také zaměstnanci podniku. Ti mohou sloužit jako silná první linie obrany proti kyberútokům. Naštěstí pracovníci jsou zvyšování povědomí o kybernetické bezpečnosti a školením na toto téma otevření.

Článek byl publikován ve speciální příloze HN Kybernetická bezpečnost.