V uplynulých měsících se počítačoví teroristé dostali k záznamům 21,5 milionů amerických zaměstnanců statní správy, infiltrovali síť německého Parlamentu a zablokovali francouzskému národnímu poskytovateli televizního vysílání 11 televizních kanálů po dobu několika hodin.
Po mnoho let svět těžil z rozvoje v oblasti informačních technologií. Zlepšila se produktivita v téměř v každém odvětví – v bankovnictví, zdravotnictví, technologiích, maloobchodu, dopravě a energetice. Nicméně stále nedoceňujeme odvrácenou stranu této mince. S rostoucí závislostí na informačních technologiiích se totiž bezprecedentním způsobem zvyšuje počet kybernetickcých útoků.
Více než 30 zemí včetně Německa, Itálie, Francie, Velké Británie, USA, Japonska nebo Kanady zavádí strategie kybernetické bezpečnosti. Regulátoři finančních trhů spolupracují s největšími bankami, aby zlepšili řízení kybernetického rizika. Německo schvaluje kybernetické zákony, které by měly po firmách zapojených v kritické infrastruktuře, vyžadovat bezodkladné oznámení kybernetických incidenců státním orgánům. Během Litevského předsednictví Radě EU bylo 29. července 2015 dosaženo dohody o hlavních zásadách kybernetické bezpečnosti. Ty mají být zahrnuty do návrhu směrnice o bezpečnosti sítí a informací (NIS)a později do právních směrnic pro předpisy EU k ochraně kritické IT infrastruktury.
Eskalace kybernetických hrozeb
Palčivou skutečností ale je, že rostoucí strategický význam dat a potenciální dopad na společnosti v případě jejich úniků či narušení již tyto iniciativy překonává. Podle zprávy o nejnovějších globálních rizicích, kterou vydalo Světové ekonomické fórum, patří kybernetické útoky do top 10 rizik, které pravděpodobně způsobí globální krize.
Světová energetická rada, se ve svém fóru pro ministry energetiky a veřejných služeb domnívá, že kybernetické hrozby patří mezi pět největších rizik zejména pro světové energetické infrastruktury. Důvodem především je, že průmyslové řídicí systémy, které využívají dodavatelé elektrické energie, ropné a plynárenské společnosti nebo rafinerie, jsou stále více vystavovány vnějším hrozbám, když se stále více spoléhají na digitální datové sítě.
Díky prudkému nárůstu různých nových platebních technologií a systémů pro měnové transakce se neustále rozšiřují potenciální body pro vniknutí do globálních bankovních systémů. Rovněž výrobní a strojírenský průmysl vstupují do nového světa kybernetické odpovědnosti ochrany produktů a ochrany dat. Firmy a spolupracující společnosti sdílejí globálně technologie a výrobní zařízení nebo do svých vlastních výrobků nasazují technologie od dalších výrobců.
Podle odhadů společnosti Marsh Global Analytics s obratem více než 1 miliarda USD zvýšily firmy od roku 2015 globálně své kybernetické pojistné limity v průměru o 42 procent. Za stejné období společnosti zaměřené na zdravotní péči navýšili kybernetické pojištění o 178 % a společnosti ze segmentu energie a utility navýšili své pokrytí o 98 %.
Aby státy udržely krok s eskalací kybernetických rizik a ochránily svoje kritické systémy včetně energetiky, měly by podle názorů specialistů zřizovat systémy podobné Integrovaným systémům vzdušné obrany. To samé platí i pro jiná průmyslová odvětví.
Kybernetická rizika musíme vnímat stejně jako operační rizika
Co se tedy ještě musí udělat? Především by firmy měly kybernetická rizika vnímat jako permanentní ohrožení jejich každodenního působení a nikoliv jen jako izolované IT incidenty. Oproti dalším strategickým, operačním nebo finančním rizikům jsou totiž kybernetická rizika často vnímána s podivně nižší prioritou a odděleně od ostatního provozu společností.
Výsledkem je vystavení firmy kybernetickému nebezpečí, které často bez povšimnutí vrcholného managementu a boardu přejde do značného ohrožení firmy. Kybernetická rizika jsou také zřídka kvalifikována a spojována s jejich potenciálními dopady na firemní finance. Díky tomu je takřka nemožné provádět analýzy firemních nákladů a výnosů nebo dělat strategická rozhodnutí. IT sekce firem často nasazují nová technická řešení s minimálním přispěním top managementu a bez komplexního vyhodnocení rizik pro chod společnosti. Firmy pak jednají reaktivně případ od případu místo nasazení vyváženého portfolia prevencí a inciativ, které jsou účinné z pohledu ohrožení chodu celé společnosti.
Společnosti by místo toho měli cíleně nasadit vyšší úrovně kybernetické bezpečnosti pro jejich kritické systémy a sítě. Zároveň by také měly zohlednit jejich vlastní ochotu a možnosti riskovat, podobně jako zacházejí s operačním riskem. To by mělo být pochopitelně spojeno v těsném vztahu s financováním, které je společnost ještě schopna unést. Tím firma musí zajistit, aby kontroly a nápravy pokryly nedostatky, které budou odpovídajícím způsobem upřednostněny při odstraňování, podle toho jak kritické jsou. Například potenciální ekonomická škoda bude při ztrátě dokumentace nového inovativního produktu významně větší, než zastaralého produktu s ukončenou výrobou.
Cyber risk management jako druhá přirozenost
Top manageři potřebují vyvinout firemní kulturu řízení cyber rizika do té úrovně, aby to bylo vnímáno jako přirozená vlastnost. Cíle, jako je ochrana důležitých zákaznických dat nebo preventivní ochrana kritických systémů před neautorizovaným přístupem, musí být vetknuty přímo do výkonnostních cílů, incentiv (pobídek), pravidelných reportů a klíčových výkonných procesů a diskuzí.
Když manažeři vyhodnocují jejich toleranci k ohrožením, které mohou poškodit pověst jejich společnosti, ohrozit zdraví, bezpečnost a životní prostředí, měly by kybernetická ohrožení, která mohou zasáhnout jejich obchodní, výrobní a další systémy, brát v úvahu vždy v první řadě.
V opačném případě, stejně jako jiná pomalu rostoucí rizika, která lidi berou jako samozřejmost, tak i hrozby kybernetických útoků mohou v nepřipravené společnosti způsobit plnohodnotnou krizi. Prosím zvažte: 81 procent velkých firem v Anglii utrpělo v uplynulém roce narušení kybernetické bezpečnosti a průměrná škoda z narušení se oproti 2013 téměř zdvojnásobila. Takhle totiž musí firmy počítat a z kybernetické bezpečnosti udělat svoji nejvyšší prioritu.
Petr Moláček, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.