Podnikatelská rizika dnes dokáže vyhodnotit každý, nebezpečí při startu nových informačních technologií ovšem jen málokdo. Výsledkem jsou pak obavy z jejich zavádění, ačkoliv může jít o klíčovou výhodu nad konkurencí. To tvrdí průzkum agentury Freeform Dynamics, který si objednala společnost CA zabývající se softwarem pro správu IT. Na otázky agentury odpovídalo přes sedm set IT manažerů napříč Evropou až po střední východ, z České republiky jich bylo zahrnuto třicet.

Kvůli potenciálním rizikům nezavedlo nové technologie až 80 % evropských firem. Trend je jednoznačný. Ztracené či konkurencí odcizené informace jsou nenahraditelné, na rozdíl od krádeží nového automobilu či jiné věci. Zabezpečení firmy by při plánování možných rizik mělo počítat s kybernetickými útoky jak zvenku, tak zevnitř. Ovšem k tomu je nezbytné plánovaní.

„Firmy si musí uvědomit význam IT při naplňování podnikatelských strategií a řídit rizika rovnoměrně ve všech oblastech. Zejména by měly investovat do technologií, které řeší široké spektrum problémů včetně bezpečnosti, ukládání dat a shody se zákonnými požadavky,“ uvedl Pavel Marťák, který je v CA zodpovědný za rozvoj služeb informační bezpečnosti ve střední a východní Evropě.

Výsledky průzkumu v kostce

ztráta důležitých obchodních informací a prostoje způsobené selháním systému patří mezi hlavní sledovaná rizika, 90 % firem je ve svých strategiích výslovně zmiňuje, více než 60 % je uvádí mezi hlavními riziky
největší obavy se stále týkají nedovoleného zacházení s důvěrnými informacemi; 88 % firem řeší problematiku při plánování, 58 % respondentů ji řadí mezi hlavní rizika
80 % podniků při plánování myslí na zavádění zákonných požadavků a norem
60 % respondentů řadí mezi problematické oblasti zálohování dat uložených na různých místech
míra jistoty zabezpečení dat zálohovaných v podniku a mobilních je pod 70 %, z čehož vyplývá, že v jednom ze tří případů jsou tato data ohrožena
55 % respondentů nemá samostatný rozpočet na řízení celkových podnikatelských rizik
jen 30 % firem zapojuje IT ředitele do přípravy příslušných strategií

Mezi nejznámějšími kybernetickými útočníky jsou crackeři, kteří se na sebe snaží jen upozornit a jsou spíše nebezpeční pro pověst firmy. Nabouraná webová prezentace rozhodně není nic, co potěší zákazníky, natož generálního ředitele postižené společnosti. Cílem však může být i získání informací s výhledem na jejich budoucí prodej. Stále častěji se objevují skupiny placené konkurencí, jež mají dopředu stanovený konkrétní cíl. V neposlední řadě existují i frakce crackerů, které prosazují politické zájmy.

Ačkoliv si téměř každý pod útokem crackerů představí nabourání systému zvenku, praxe hovoří o přesně opačném způsobu. „Nejvíce hrozeb je zevnitř organizace, odkud dochází až k 73 % útoků, až zbytek jsou vnější vlivy. Neznamená ale to, že by nebyl nějaký insider, který se nechá zaměstnat v konkurenci, aby se dostal k důležitým datům,“ uvedl Pavel Marťák z CA. Důvodem tohoto poměru je povrchní uvažování při již zmiňovaném plánování. Firmy vydávají miliony korun na zabezpečení proti průniku zvenku, ale podvědomě vnitřnímu prostředí více věří a citlivost ani pozornost na možnost takového nebezpečí není velká.

Můj názor

Albert Einstein pravil: „Jen dvě věci jsou nekonečné – vesmír a lidská hloupost. Tím prvním si ovšem nejsem tak jist.“

Kybernetické útoky mají často největší úspěch, pokud jsou vedené tím nejprimitivnějším a na znalosti nejsnažším způsobem. Vznešeně se mu říká sociální inženýring a jeho průkopníkem je mediálně slavný Kevin Mitnick. Dokud bude nekonečná hloupost trvat, budou zranitelné i nejmoderněji zabezpečené systémy.

Nejznámějším útokem z poslední doby je získání dat ze slovenského Národního bezpečnostního úřadu. Průnik přitom zavinilo zcela triviální pochybení. Jeden z uživatelských účtů měl nastavené heslo nbusr123 (Národní Bezpečnostní Úřad Slovenské Republiky 1 2 3). Podobné naivity je i v podnikové sféře více než dost. „Typicky tyto problémy bývají. Obecně mohu říci, že to jsou skutečně nejzávažnější pochybení a samozřejmě existují. Je to o lidském faktoru, organizace může být výborná, ale jednotlivec poruší závazná pravidla, dá si takové heslo a ještě si ho nalepí na monitor. Pak už je velmi snadné se k informacím dostat,“ doplnil Pavel Marťák.

„Jak se zvyšuje složitost prostředí IT, musí firmy zjednodušovat a modernizovat jednotlivé kroky správy zabezpečení, aby se adekvátním způsobem uchránily před nebezpečími kybernetického světa,“ uvedla Illena Armstrongová, šéfredaktorka časopisu SC Magazine. Dodala, že řešení CA IAM Suite zjednodušuje významnou část těchto úkonů a výrazně omezuje rizika plynoucí ze špatné správy přístupových práv uživatelů.