Antivir a firewall už nestačí

Podnikání zcela závisí na spolehlivém fungování počítačů. Posilování kybernetické bezpečnosti není módou, ale nutností.

Společnost Asseco Solutions vstoupila do nové oblasti služeb navazujících na úspěšný projekt ERPORT – informační systém v cloudu. Stejný tým nabízí sadu produktů v oblasti kybernetické bezpečnosti. Plánování podnikových zdrojů (ERP řešení) poskytuje 30 let a samozřejmou součástí každodenního fungování je garance, že systémy klientům fungují a mají data v bezpečí. Výrazem této strategie je i bezpečnostní certifikace ISO 27001. „Kyberbezpečnost je naše každodenní rutina. Nastavení bezpečnostních pravidel v Assecu je dlouhodobě nadstandardní. Proto jsme se i pod vlivem zvýšeného ohrožení rozhodli sdílet své know-how a zkušenosti s klienty,“ vysvětlil novou strategii Jaroslav Šufajzl, vedoucí obchodního týmu.

Nepříznivé statistiky

Nutnost posilovat kybernetickou bezpečnost dokládají nepříznivé statistiky. Už v roce 2021 vzrostl v Česku počet kybernetických útoků o 20 procent. Loni v říjnu byl podle Národního úřadu pro kybernetickou bezpečnost (NÚKIB) počet DDoS útoků na české subjekty stejný jako za prvních devět měsíců minulého roku. Souvisí to také s tím, že na Ukrajině probíhá válka a členské země Evropské unie a Severo­atlantické aliance včetně Česka podporují Kyjev v konfliktu s Moskvou. Jeho součástí je i moderní hybridní válka.

„V dnešní době je kyberprostor součástí digitalizace, je úplně všude kolem nás a stále se zvětšuje. Citlivá data jsou tou první, snadno napadnutelnou částí. Takové útoky jsou docela levné oproti tradičním složkám války a velmi dobře se anonymizují,“ zdůrazňuje Jaroslav Otcovský, vedoucí IT oddělení ve společnosti Asseco Solutions. A varuje, že české firmy nejsou dobře zabezpečené například proti hacker­ským útokům, jež mohou způsobit výpadky proudu.

Phishingové útoky

Ve firemní sféře jsou zdaleka nejčastější hrozbou phishingové útoky. Formou podvržené zprávy se útočník snaží získat přístup k datům, ovládnout síť nebo získat kontrolu nad bankovním účtem. Prvním preventivním krokem může být základní phishingový test. Společnost Asseco Solutions poskytuje zákazníkům simulované phishingové kampaně, kterým jsou vystaveni zaměstnanci firmy. Různými, z praxe odvozenými „návnadami“ se zaměstnanci učí rozpoznat hrozbu a předejít rizikovému chování, průměrně se jich nechá nachytat 30 procent.

Konečným cílem není zjistit, jak je firemní zákazník na útok připraven, ale vzdělávání celé firmy, protože za 90 procenty kybernetických útoků stojí samotní zaměstnanci.

„Vždy jde o nejslabší článek řetězce. Spousta IT oddělení vystaví kolem firmy pomyslný perimetr ochrany, ale uživatel, zaměstnanec, je zpravidla tím nejsnáze ovlivnitelným článkem, který chybuje. Někdy se uvádí, že i více než 90 procent útoků je právě zevnitř firmy,“ vysvětluje Otcovský. I když jde v drtivé většině případů o nezaviněné nebo neúmyslné jednání, nejúčinnější obranou je vzdělávání lidí a vysvětlování, co může nastat.

Testy zranitelnosti

Další službou z dílny společnosti Asseco Solutions jsou Smart Vulnerability Analysis, které testují úroveň ochrany celé sítě. Testy zranitelnosti poskytují komplexní pohled na bezpečnost všech prvků firemní sítě. V nadnárodních společnostech, ve státní správě i ve zdravotnictví, zejména pokud spadají pod NÚKIB, probíhají bezpečnostní audity pravidelně. Testování zranitelnosti se stává standardním procesem v každé zodpovědné společnosti. V praxi se testuje vnější i vnitřní ohrožení sítě, zabezpečení serverů, aktuál­nost programů, koncová zařízení či síťové prvky.

Testu zranitelnosti předchází úvodní analýza, ve které zákazník definuje velikost infrastruktury a konkrétní části, které se budou testovat. Výstupem testu je technická zpráva detailně popisující rizika včetně míry ohrožení. Odhaluje kritická místa a zároveň navrhuje nápravná opatření. Kybernetická bezpečnost se stane mimořádně sledovaným tématem. Evropská komise chystá zpřísnit legislativu v oblasti počítačové bezpečnosti. V Česku se účinnost nové směrnice (NIS2) očekává v polovině roku 2024.

Přečtěte si také