Vzdáleně se připojuje každý druhý pracovník. Pro SME podnik je to cesta k potenciální kybernetické katastrofě

Pic_remoteAccess1Pracovníci, kteří pracují mimo firmu přes vzdálené připojení k firemnímu prostředí, mohou být pro vlastní podnik významnou hrozbou. Bohužel vlastníci těchto firem dostatečně tyto hrozby nezmírňují ani nechrání zaměstnanecká prostředí a pracovní platformy. Ke zmírnění těchto rizik přitom může pomoci systematické uplatnění několika základních opatření včetně pojištění kybernetických rizik.

Tak jak se neustále vyvíjí propojení technologií, práce a osobního života, roste i počet společností, které ve snaze udržet si stávající a najít nové pracovníky, práci z domova „WFH – Work From Home“  nabízejí jako jeden z firemních benefitů. Dalším faktorem oblíbené práce z domova může být i snaha vlastníků ušetřit a mít ze svých kancelářských prostor spíše co-workingová centra. Zaměstnanci tyto možnosti často a rádi využívají při práci nejen z domova, ale také z dalších míst s veřejným připojením jako jsou obchodní centra, restaurace, vlaky, letiště a další. A právě to zvyšuje firemní riziko kybernetického útoku.

Zajímavý je z tohoto pohledu nejnovější průzkum (Nationwide’s fifth annual Business Owner Survey)  finanční společnosti Nationwide, který se v USA na celostátní úrovni věnoval monitorování SME firem a potřebám jejich majitelů.

Z našeho pohledu nás průzkum zaujal, protože hodnotí podobné trendy, jejichž projevy vidíme i u firem a organizací v segmentu SME a působících v našem regionu.

Z průzkumu Nationwide tedy vyplývá, že 83 procent z těchto společností umožňuje a nabízí zaměstnancům v případě potřeby možnost vzdálené práce. U mladších majitelů firem (ve věku 18 – 34 let) dosahuje tento podíl až 95 %. Na druhou stranu zatím jen okolo 50 % z těchto vlastníků SME firem podniklo kroky k aktualizaci bezpečnostních politik s ohledem na práci mimo firmu přes vzdálené připojení. Podobně pouze jedna pětina podniků poskytovala svým pracovníkům školení v oblasti kybernetické bezpečnosti. A pouze 4 % ze všech dotazovaných uvedlo, že realizovali doporučená opatření a postupy Americké asociace malých podniků (SBA).  A tak díky zvětšování firemního digitálního pracovního prostoru bez příslušných opatření majitelé těchto firem zvyšují riziko kybernetické události. Jen na okraj podotkněme, že u nás se různé profesní asociace soustředí primárně na usnadnění a podporu tvorby zisku společností, ale rizika a specificky kybernetická naprosto opomíjejí.

V praxi se tedy velmi často stává, že připojení uživatelů přes veřejnou Wi-Fi, která se se na první pohled zdá neškodná, může nakonec představovat pro firmy vážné problémy. Pracovníci, kteří potřebné školení neabsolvovali, si tak rizika mnohdy ani neuvědomují. A velmi varující je, že jsou i takové případy, kdy si majitelé rizika pro své firmy sice uvědomují, a přesto z různých důvodů potřebná opatření nezavedou. Příkladem z tuzemské praxe může být tvrzení pracovníků firem, že jejich data, co mají ve firemních počítačích jsou stejně veřejná. Neuvědomují si ovšem že pro útočníky tvoří esenciální prvek mozaiky, která jim umožňí firmu kompletně vyhackovat resp. připravit o finanční prostředky.

Hlavní zjištění průzkumu:

  • 65 % z vlastníků firem přiznalo, že se již stali obětí kybernetického útoku; z toho počítačový virus zaútočil ve 33 procentech, phishing s 29 procenty je na druhém místě.
  • 86 procent z majitelů firem věří, že digitální riziko nadále poroste.
  • 30 procent z podniků s 11-50 zaměstnanci neposkytují jakýkoli typ a formální školení o kybernetické bezpečnosti.
  • Aktualizace softwaru je poměrně jednoduchý úkon, přesto 7 % z dotazovaných firem se toto opatření nedaří realizovat.
  • Reputační riziko je jeden z největších důvodů (45 %), proč by podnikatelé měli zvážit investice do dalších opatření.
  • 35 procent z vlastníků, kteří kybernetický útok zatím nezažili, nemají představu o finančních nákladech na obnovu. To poukazuje na nebezpečné mezery ve znalostech.

A jako praktický příklad, Asociace malých podniků US SBA doporučuje nejen svým členům mimo jiné tyto osvědčené postupy:

  • Stanovte bezpečnostní postupy a zásady pro ochranu citlivých informací
  • Vzdělávejte zaměstnance o kybernetických hrozbách a veďte je k odpovědnosti
  • Vyžadujte od zaměstnanců, aby používali silná hesla a často je měnili
  • Využijte osvědčených bezpečnostních postupů v oblasti ochrany údajů platebních karet
  • Zálohujte důležitá obchodní data a informace. Nacvičte si obnovu dat ze záloh
  • Vytvořte pravidla pro bezpečné používání mobilních zařízení
  • Nasaďte šifrování jak komunikace, tak i ukládaných dat
  • Zabezpečte všechny vaše veřejně dostupné webové stránky, nejen ty, kde se provádí registrace nebo přihlašování

I když jsou v České republice SME subjekty  a organizace podporovány v rozvoji digitalizace, podobné průzkumy a doporučení ke zvýšení kybernetické bezpečnosti pro SME firmy a organizace zatím nejsou moc k dispozici. Určitě by tato aktivita a veřejná publicita v širším měřítku prospěla firmám a organizacím jednak ke zvýšení povědomí o kybernetických rizicích a zároveň by snížila jejich současná kybernetická rizika.

Petr Moláček, petr.molacek@principal.cz
Daniel Konečný, daniel.konecny@principal.cz