Společnost České Radiokomunikace (CRA), jeden z největších tuzemských poskytovatelů IT a digitálních služeb a subjekt kritické infrastruktury státu, nabízí zejména malým a středním podnikům nejen kvalitní produkty k jejich kybernetické ochraně, ale i konzultace a poradenský servis v oblasti čerpání dotací. U senior product managera CRA Martina Pavelky jsme se proto zajímali, jaká opatření by jim v oblasti cyber security aktuálně doporučil.
Malé a střední firmy jsou vůči kybernetickým útokům nejzranitelnější. O jaké druhy útoků jde?
Typy kybernetických útoků, které firmy stále nejvíce ohrožují, jsou phishing, ransomware a útoky na dodavatelský řetězec.
Můžete je krátce popsat?
V případě phishingu se jedná o podvodné e-maily, zprávy nebo webové stránky snažící se oklamat zaměstnance organizace, aby poskytli citlivé informace nebo otevřeli škodlivé přílohy. Právě phishing je častou metodou, kterou útočníci získávají přístup do jejich firemních systémů.
Ransomware je typ malwaru, který zašifruje data společnosti, a útočníci pak požadují výkupné za jejich obnovení. Je jednou z největších hrozeb pro tuto kategorii organizací, protože jim často chybí dostatečné zálohování a ochrana citlivých dat.
Co se týká útoků na dodavatelský řetězec, malé a střední podniky často spolupracují s většími společnostmi a útočníci mohou využít jejich slabin v rámci dodavatelského řetězce k napadení větších podnikatelských subjektů.
Právě u menších organizací často narážíme na nedostatečné zabezpečení. Nemívají dedikované IT týmy nebo specialisty na kybernetickou bezpečnost, což je činí zranitelnějšími vůči útokům na nezabezpečené servery nebo aplikace s bezpečnostními chybami. V poslední době jsou to ale i DDoS útoky, jimž nyní věnujeme velkou pozornost.
Jaké škody mohou firmám tyto útoky způsobit?
Útoky mohou vést k přímým finančním ztrátám v podobě výkupného (u ransomwaru), krádežím finančních informací nebo nákladům na obnovu systémů a dat. Pro některé organizace menší velikosti může být výše těchto ztrát až likvidační.
Pokud dojde k úniku dat nebo k narušení služeb, mohou zákazníci ztratit důvěru v bezpečnost dané společnosti, což může vést ke snížení objemu zakázek a ztrátě klientely. Potenciálních dopadů je samozřejmě daleko víc.
Jak se mohou subjekty s omezenými finančními prostředky bránit účelně a přiměřeně svým možnostem?
Za bezpečnostní minimum, které nemusí být vůbec drahé, považuji pravidelné zálohování dat, aktualizovaný software, silná hesla a dvoufaktorovou autentizaci.
Všechny společnosti by měly pravidelně zálohovat data na externí úložiště, aby se vyhnuly úplné ztrátě dat v případě ransomwarového útoku. Pravidelné aktualizace systémů a instalace bezpečnostního softwaru (antivirus, firewall) jsou zase klíčové pro minimalizaci rizik. Zavedení politik pro silná hesla a dvoufaktorovou autentizaci může výrazně snížit riziko neoprávněného přístupu. Velmi důležité je také školení zaměstnanců. Lidský faktor hraje v otázce kyberbezpečnosti velkou roli, proto by zaměstnanci měli být pravidelně školeni, aby rozpoznali phishing a další podvodné praktiky.
Můžete malým a středním podnikům poradit, jak a kde čerpat peníze z externích zdrojů?
Při každé nabídce vždycky vyhodnocujeme, zda se pro danou realizaci nedá použít dotační titul od Ministerstva průmyslu a obchodu. Na první pohled se žadateli může dotace jevit jako dostupná, ale po podrobnějším prostudování zjistí, že některé podmínky nejsou pro ni ve finále aplikovatelné nebo na dotaci prostě nemá nárok. Například se při konzultaci ukáže, že firma má matku v zahraničí, a už nesplňuje definici velikosti podniku a podobně.
Transpoziční lhůta na zavedení směrnice EP o nových pravidlech kybernetické bezpečnosti, tzv. NIS2, do národních legislativ činila jedenadvacet měsíců a skončila letos v listopadu. Příslušným tiskem se zabývala Poslanecká sněmovna devatenáctého listopadu, tedy nadoraz. Máte povědomí, jak se na tuto celoevropsky důležitou právní normu připravují naše firmy?
V poslední době se mediální prostor plní různými statistikami připravenosti. Z naší zkušenosti je to tak čtyřicet ku šedesáti. Jsou organizace, které poměrně jasně vědí, co potřebují. Pak je tu ale větší skupina firem, které buď o tom, co se chystá, nevědí, nebo spoléhají na to, že se účinnost zákona zatím odkládá, a mají tak na všechno relativně dost času. Musíme si ale uvědomit, že implementace nových opatření je běh na dlouhou trať, a naše praxe ukazuje, že trvá rok i déle. Když přihlédneme k tomu, že odborníků, kteří vám mohou poradit, na trhu moc není, tak ten dopad může být fatální.
Osobně se na problematiku bezpečnosti dívám optikou dobrého hospodáře. Mít zabezpečenou firmu bez ohledu na platnou legislativu je přece v mém zájmu. Na druhou stranu chápu, že lidi a budgety organizací jsou omezené. Proto se snažíme vždycky najít dobrý kompromis, dělat jen to nejnutnější a pomoci zákazníkům investovat efektivně. Rozhodně však nesouzním s tvrzením, že se mě to jako firmy netýká.
Mohou jim CRA nabídnout pomocnou ruku při přípravách na aplikaci NIS2 a zkvalitňování kyberbezpečnostních opatření?
Určitě ano. Jsme ICT poskytovatel, který kromě v současné době již standardních služeb typu telco, datová centra nebo cloud nabízí i služby kybernetické bezpečnosti. Dokážeme pomoci s celou řadou organizačních i technických opatření, která vyplývají nejen z NIS2/ZoKB, ale i dalších norem, jež pomohou zlepšit stav kybernetické bezpečnosti těchto společností.
Za rozhovor děkuje Věra Vortelová
Foto: archiv CRA
Určitě jste si všimli, že u nás ani za čtení celých článků nic neúčtujeme a že vás neobtěžujeme vyskakovacími okny personalizované reklamy.
Velmi bychom ocenili, kdybyste nás na oplátku podpořili peněžitým darem na tento účet:
2021853028/5500
QR kód obsahuje údaje k platbě. Výše částky je na vás, budeme si vážit všech darovaných plateb.
Děkujeme 😊
Za obsah inzerce zodpovídá inzerent. Žádné části textu nebo fotografie z Trade News nebo www.itradenews.cz nesmí být používány, kopírovány nebo jinak šířeny v jakékoliv formě či jakýmkoliv způsobem bez písemného souhlasu vydavatele.