Jedným z najčastejších útokov na malé a stredné firmy je v súčasnosti ransomvér. A aj reálnou hrozbou na Slovensku. Príbehy Telekomu, Nitrianskej nemocnice, Malaciek, košického VÚC, Datalanu, Mäspomy, Štátnych lesov, kúpeľov Dudince, výrobcu nábytku na strednom Slovensku či aktuálne Univerzity Mateja Bela poznáte? Už sú dostatočne známe, aby si ohrozenie uvedomili aj slovenské firmy. A primerane sa obávajú.
Cena za naivitu
Pri ransomvérových útokoch útočníci väčšinou prispôsobujú výšku výkupného primerane tržbám spoločnosti, ktoré sú verejne dostupné. „Výška je zvyčajne volená tak, aby si ju firma mohla dovoliť zaplatiť a nebola zároveň likvidačná,“ vysvetľuje Jozef Bálint z Alison Slovakia.
Vtedy firmy robia najväčšiu chybu, že sa k incidentu nepriznajú. Ak aj zaplatia, dáta im vrátia poškodené alebo si útočníci nechajú „zadné vrátka“ v sieti. A navyše prispievajú k falošnému pocitu bezpečia.
Počítajme však ďalej. Cena za odstránenie bezpečnostného incidentu sa často stanovuje podľa jeho rozsahu a veľkosti napadnutej infraštruktúry. O sumách nechcú hovoriť napadnuté organizácie ani dodávatelia, ale už aj v prípade menšieho incidentu si treba pripraviť aspoň desaťtisíc eur.
Bojíte sa incidentu?
Dobre sa obávate, ale máme pre vás ešte horšiu správu. Kyberbezpečnosť sa najčastejšie zrúti na ľudských chybách. Ešte zrozumiteľnejšie? Zamestnanci kliknú na phishingový mail, posťahujú súbory kade-tade, používajú rovnaké heslá a nemenia si ich. Útoky zvonka sú postavené na neznalosti používateľov.
Ak necháme zvyšovanie bezpečnostného povedomia dlhodobo stagnovať, následkom je, že zostaneme jednými z najzraniteľnejších. Takže automaticky budeme atraktívnejším cieľom. Najmä ak ostatné okolie s touto témou účinne pracuje. „Pamätajte si, že útočníci vždy hľadajú najľahšiu cestu,“ varuje bezpečnostný konzultant Richard Kiškováč.
Bariéra je mega
Paradoxom je, že vieme, kde je problém. Malé a stredné podniky si uvedomujú, že najväčšou bariérou pri zvyšovaní úrovne kyberbezpečnosti je nedostatok digitálnych zručností zamestnancov. V aktuálnom prieskume agentúry AKO o tom hovorili štatutári či zodpovední zamestnanci.
Podľa odpovedí však školia zamestnancov v kyberbezpečnosti iba v štyroch prípadoch z desiatich. A aj to iba „podľa potreby a iba pre vybraných zamestnancov“.
Nie sú ani tam, ani tam
Obdobnú skúsenosť má aj Kompetenčné a certifikačné centrum kybernetickej bezpečnosti. Čo sa týka vzdelávania zamestnancov, tak záujem „emespečiek“ je opäť na bode mrazu.
Miroslav Havelka počíta, koľko manažérov kyberbezpečnosti vyškolili za tri roky pre malé a stredné firmy, a vychádza mu, že – dvoch. Do kurzov posielajú účastníkov veľké organizácie a štátna správa, alebo, naopak – mikropodniky, ktoré dodávajú kyberbezpečnostné služby.
Povedzme si pravdu
Bezpečnosť je pre firmy veľmi abstraktný a technicky pojem, preto sa často uspokoja so svojím „ajťákom“, ktorý primárne opravuje tlačiarne a WiFi.
Karol Suchánek, vedúci oddelenia bezpečnosti a ochrany osobných údajov z Websupportu, má ďalší príklad: „Keď ide o desaťtisíc eur, bojím sa, že marketing získa prednosť, lebo sa očakáva zvýšenie predaja či návštevnosti webových stránok. Investícia do bezpečnosti však nie je na prvý pohľad zrejmá.“
Dodávateľská idyla
Chybou malých a stredných podnikov je spoliehať sa, že návrhy riešenia v prípade riadenia kybernetických rizík „prídu“ z externého prostredia.
Ešte horšou správou je, že implementácii opatrení sa začnú venovať až po negatívnej skúsenosti s incidentom. Zanedbávajú výsledky analýzy rizík a odporúčania auditu kybernetickej bezpečnosti alebo sa na ne nedostatočne spoliehajú.
Čo na to zákon
Kyberbezpečnostný profesionál Roman Čupka hovorí o tom, že väčšina firiem nevníma ešte kybernetickú tému ako ťažiskovú pre budúce fungovanie či stabilitu podnikania. A regulácie a legislatívne požiadavky? „Tie berú podniky len ako zaťaženie svojej agendy s už aj tak poddimenzovanými zdrojmi.“
Úprava zákona o kyberbezpečnosti sa však blíži a mnohé podniky čaká zmena. Budú musieť reflektovať požiadavky na zvýšenie bezpečnosti, aby predišli aj potenciálnym sankciám.
Ukážte pochopenie
Iba máloktorý štatutár si dostatočne uvedomuje životne dôležité prepojenie technológií s biznisom. Niet sa však čomu čudovať, pretože ich primárnym cieľom je vytvárať zisk v silne konkurenčnom prostredí.
„Myslím, že to nie je primárne nezáujem, ale skôr nevedomosť,“ hovorí Richard Kiškováč. A nevedomosť čiastočne vyplýva aj z nedostatku odborníkov, ktorí dokážu efektívne túto tému tlmočiť či riešiť. Preto aj Roman Čupka uznáva, že aj bezpečáci musia v prvom rade pochopiť, ako táto ťažisková a chrbticová časť národnej ekonomiky funguje a ako im problematiku prezentovať. Zodpovednosť v digitálnom priestore by mala byť na rovnakej úrovni ako klasické BOZP. To poznáme všetci.
Urobte krok vpred
Keď je podpora manažmentu, ktorý berie bezpečnosť ako prioritu, je aj ochota do nej investovať. Potom to ide už naozaj ľahko a dá sa začať aj s menším rozpočtom. Väčšie firmy zvyčajne majú pozície, kde sa následne riadi bezpečnosť, menšie si to môžu outsourcovať.
Vo Websupporte hovoria, že ak je niekto lídrom na trhu, musí byť príkladom. Svoju bezpečnosť majú poskladanú z viacerých vrstiev, podobne ako cibuľa. Pomyselnými vrstvami sú rôzne technické prostriedky, neustále vzdelávanie zamestnancov a klientov, ako aj nezávislé bezpečnostné testy a audity.
„Čím viac vrstiev je medzi nami a útočníkmi, tým viac sme v bezpečí my, naše systémy aj naši klienti,“ prízvukuje Karol Suchánek.
Ako z toho von
Ak sú ľudia súčasťou problému, musia byť aj súčasťou riešenia. Technológie sú aj napriek skvelému marketingu dobré, ale nie sú všemocné.
Po rokoch skúseností vo vzdelávaní už Richard Kiškováč vie, že z každého používateľa nemôže byť špecialista na kyberbezpečnosť. „Na začiatok však úplne postačuje, keď dokážeme vyvolať takú zmenu v správaní, že sa človek zamyslí pred tým, ako vykoná nejakú akciu.“
