Častější jsou sice přímé útoky formou phishingu a ransomware, ale jsou méně úspěšné, protože u zabezpečených firem narazí na plně funkční ochranný štít. Hackeři tedy hledají cestu, jak tyto štíty přes dodavatelský řetězec obejít. Firmy by si proto měly pečlivě ověřovat, zda mají jejich dodavatelé kvalitně nastavené zabezpečení svých IT ekosystémů. Aby jim mohly důvěřovat a umožnit jim propojení se svými sítěmi.
Ilustrace: Vojtěch Velický
Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) došlo za rok 2024 meziročně k šestiprocentnímu zvýšení počtu kybernetických útoků, které vyšetřoval. Počet narostl na historicky rekordních 268 incidentů. Statistika tak potvrzuje trend nárůstu nebezpečí a ve svém výhledu pro následující roky NÚKIB varuje zejména před kybernetickými útoky přes dodavatelský řetězec. České firmy přitom patří mezi nejčastěji napadané v Evropě. Společnost Check Point Software Technologies uvedla, že na jednu českou firmu směřovalo v polovině roku 2024 průměrně 2 094 kyberútoků týdně, což je o 30 procent nad průměrem Evropy. Evidentně jsou útočníci v Česku aktivnější, protože zřejmě očekávají slabší ochranu firem a organizací. Zejména těch, které nemají certifikované zabezpečení IT sítí a procesů.
Pokud vynakládáte ve vaší firmě miliony korun na obranu svých počítačových sítí, neměli byste zapomenout, že slabinou mohou být dodavatelé, kteří mohou přímo nebo nepřímo selhat. Komunikační kanály s nimi sice bývají zabezpečené a monitorují je antivirové scannery, ale proti sofistikovanosti dnešních útoků to není nikdy stoprocentní ochrana. A s nástupem umělé inteligence bude toto riziko stoupat. Od svých dodavatelů byste proto měli požadovat zabezpečení podle ISO 27001, mezinárodně platné normy o managementu bezpečnosti informací. Protože nejde jen o hrozbu přímých útoků. U dodavatele, který nesplňuje standardy kyberbezpečnosti podle ISO 27001, nemáte jistotu, co se děje s daty, která jste mu svěřili. A jejich následné zneužití se pak může obrátit proti vám.
Po přijetí nového zákona o kyberbezpečnosti se zabezpečení dodavatelského řetězce bude týkat zhruba šesti tisíc firem v Česku. Zatím to velká část z nich neřeší, ale mnoho zákazníků tuto certifikaci již delší dobu vyžaduje a my ji ověřujeme u našich dodavatelů. Firemní kyberbezpečnost totiž začíná právě u nich.
Jakub Zetek, provozní ředitel společnosti M.B.A. Finance
•
