Nejlepší ochranou před útoky v kyberprostoru je proto prevence, tedy včasné zavedení pravidel, která zabezpečí jak pracovní procesy, tak samotné technologie a data. Aby byla ale taková pravidla skutečně účinná, je nezbytná vnitřní analýza společnosti, která identifikuje slabiny. Doporučujeme proto pravidelné penetrační bezpečnostní testy, kdy specialisté provedou ve firmě řízený hacking, jenž simuluje jak útoky z vnějšku firmy, tak i útoky zevnitř společnosti.
Preventivní opatření jako základ
Odhalené nedostatky je následně potřeba ošetřit v rámci systému digitální ochrany, který by měl stanovit jasná a srozumitelná pravidla pro zaměstnance. Měli by například respektovat, že nemají navštěvovat rizikové stránky, pracovní mobil dávat do ruky dětem nebo se připojovat na wifi síť v kavárnách nebo restauracích.
Kromě eliminace rizikového chování zaměstnanců je ale také třeba pamatovat na náležité technické zabezpečení systémů a dat a předcházet jejich případným ztrátám (což je dokonce častější než jejich skutečné zneužití) správným nastavením managementu zálohování.
Důležitá jsou všechna zmíněná pravidla právě teď, kdy řada lidí pracuje ze svých domovů. I v rámci home-office by přitom měli dodržovat několik zásad, které možná zní triviálně, ale nejsou vždy standardem – například že mají zaměstnanci komunikovat výhradně přes firemní e-mailový účet nebo využívat důvěryhodné sítě a bezpečné připojení přes VPN atd.
Taková preventivní pravidla je navíc potřeba neustále aktualizovat, prověřovat a zaměstnance náležitě školit tak, aby je skutečně dodržovali. Jedině tak je možné útokům předcházet. Když ale přes veškerá bezpečnostní opatření k samotnému útoku nakonec skutečně dojde, měli by zaměstnanci také přesně vědět, co mají v takové situaci dělat. Ideální je proto vytvořit ve firmě krizový plán, který stanoví jasný postup, který co nejrychleji zamezí vzniku dalších škod.
Nastavte správně smlouvy
Důležitou otázkou jsou ale také právní hlediska kyberbezpečnosti. Například správné nastavení smluv od těch se zaměstnanci, s pojišťovnami až po smlouvy s dodavateli IT systémů. Ty by měly vždy jasně definovat, kdo má jakou zodpovědnost a povinnosti, protože to je potom klíčové při řešení následků reálného útoku.
Smlouvy by proto měly podrobně upravovat povinnosti související s ochranou dat, šifrováním, zálohováním dat nebo reportováním. Doporučujeme také, aby smlouvy s IT dodavateli zaručovaly, že systémy dodavatel pravidelně aktualizuje tak, aby se v reakci na aktuální vývoj neustále zvyšovala úroveň jejich zabezpečení. Smlouva by měla také jasně říkat, že je za to dodavatel odpovědný.
V neposlední řadě také radíme věnovat potřebnou pozornost smlouvám s pojišťovnami. Běžné pojistky sice rizika útoků nekryjí, je ale možné uzavřít speciální pojištění proti kybernetickým rizikům. U těch je ale potřeba ověřit, zda pojistka pokrývá nejen škody způsobené útoky na počítačové sítě a systémy pojištěného, ale také škody na systémech, které sice firma používá, ale provozuje je někdo jiný, například cloudové služby.
Řádný hospodář pamatuje na bezpečí v kyberprostoru
Podle průzkumu mezinárodní korporace Allianz Global Corporate & Specialty (AGCS), který zjišťoval, jaké jsou největší reálné hrozby pro firmy, označili experti z více než stovky zemí světa kybernetické útoky za největší nebezpečí. Dostaly se dokonce i před riziko přerušení provozu nebo dopadů legislativních změn.
Stále více obchodních společností si proto uvědomuje, že případný kyberútok může být pro firmu zejména v současné obtížné době zásadní. Vedení firem by proto nemělo spoléhat na to, že se jim kybernetický útok prostě vyhne, protože v konečném důsledku je to právě statutární orgán, který je odpovědný za vzniklé škody a který je povinen přijmout dostatečná opatření pro předcházení kyberútokům, aby neporušil péči řádného hospodáře.
