Ropa, plyn, zlato, stříbro, cukr, kukuřice. Kdybyste se zeptali v Gordicu, která z těchto komodit je v dnešním světě nejhodnotnější, nevybrali by si. Ukázali by totiž úplně jinam – na data. V jihlavské rodinné firmě Gordic se věnují vývoji softwaru a bezpečnosti v IT už sedmadvacet let, a tak moc dobře vědí, že ochrana dat je stále u většiny firem i jednotlivců zásadně nedostačující. A ostatní kolegové z branže jen přitakávají.

Byť si to na první pohled ani samotní její představitelé nemusí myslet, data mohou být jednoduše to nejcennější, co ve firmě mají. Proto je o ně mezi konkurencí obrovský zájem, a tak stále roste počet kybernetických útoků a skutečnost, že máte něco chráněné heslem, zdaleka nemusí znamenat, že máte vystaráno a nezvaných hostů se nemusíte bát.

„Firma sice může mít dobře fungující IT oddělení a dokáže zabezpečit tisíce kilometrů mezi jednotlivými počítači, nejčastější hrozbou však bývá 50 centimetrů mezi zařízením a jeho uživatelem,“ upozorňuje generální ředitel společnosti Gordic Jaromír Řezáč, jejíž služeb v oblasti digitalizace a bezpečnosti využívá více než šest tisíc organizací.

Silné heslo je pochopitelně základ, ale pokud mluvíme o ochraně podnikových dat, přichází řada na klasické antivirové programy a firewally. Nad nimi je pak ale ještě potřeba vybudovat komplexní nastavení firemních procesů tak, aby se potenciální bezpečnostní hrozby co možná nejvíce eliminovaly. Mnoho firem si myslí, že se jim nemůže nic stát, ale ohrožení je stále vyšší.

„Události kolem nás téměř denně dokazují, že kybernetická bezpečnost je naprostou existenční nutností, kterou by měli vnímat a řešit nejen informatici, ale především manažeři a vedení společnosti,“ apeluje Jaromír Řezáč. Proto se snaží s dalšími kolegy z oboru o důležitých bezpečnostních tématech neustále mluvit a firmy v tomto ohledu vzdělávat.

Strategickou roli ředitelů v nastavování bezpečnostních pravidel nebo školení zaměstnanců považuje Jaromír Řezáč za základní mechanismy, které by už neměly dnes ve firmách chybět. Ostatně podle reportu Underwriting Cyber Claims Statistics 2018 stojí lidský faktor za třetinou případů úniku dat. Celý útok přitom může vypadat nevinně.

„Během pobytu v USA se můj mobilní telefon začal po zapnutí chovat nezvykle. Nevěnoval jsem tomu zvýšenou pozornost až do doby, kdy jsem objevil v internetovém bankovnictví neobvyklý platební příkaz v rozsahu desítek tisíc eur,“ popisuje vlastní nepříjemnou zkušenost Libor Koch ze společnosti K+K Invest Group.

„Ihned jsem kontaktoval naši účetní. Přeposlala mi e-mail, který odešel z mojí adresy. Obsahoval brilantní češtinou napsanou žádost o zaslání peněz z důvodu mé nastalé svízelné situace v zahraničí. Bohužel účetní nezarazil ani fakt, že finance měly zamířit na bankovní účet vedený v Rumunsku,“ upozorňuje Koch.

Pokud nejde o nic jiného, než jsou „jen“ peníze, nemusí to být tak fatální, jako když jde o cílené napadení klíčových organizací a infrastruktury státu. I to je totiž na denním pořádku a nemocnice, finanční instituce či letiště čelí útokům kybernetických zločinců stále více. Takové činy přitom mohou mít dopad na fungování celé společnosti a v krajním případě dokonce ohrozit lidské životy.

V Česku jsme byli jen v poslední době svědky několika kyberútoků na tuzemské nemocnice, které ani s příchodem koronavirové krize neustaly, naopak. Během jarního nouzového stavu hackeři zaútočili na několik nemocnic včetně těch v Benešově, v Brně a Ostravě. Jedním z důvodů mohlo být i to, že lidé více pracovali z domova, kde neměli na svých počítačích takové zabezpečení.

„Jedinou cestou, jak minimalizovat rizika a tím se vyhnout nemalým až likvidačním nákladům, které jsou s touto problematikou spojeny, je zavedení a dlouhodobé dodržování správných procesů,“ říká Michal Řezáč, který v Gordicu řídí strategický rozvoj a kybernetickou bezpečnost.

„Řešit dopady, pokud to vůbec lze, je téměř vždy mnohem složitější a dražší než zajistit přiměřenou systematickou a procesní prevenci. Buďme proto zodpovědní, nečekejme na kroky ostatních, na útoky nebo legislativní povinnosti,“ nabádá Řezáč v zásadě všechny firmy, které s citlivými daty nakládají.

Kybernetické údery mohou být pochopitelně vedené různě. Někdy je hlavním účelem se dat zmocnit a využít je ve svůj prospěch, nebo je třeba prodat nejvyšší nabídce na trhu. Také ale může být cílem data či služby vybrané společnosti zablokovat. Nedávno se s obrovským výpadkem, který trval několik dní, potýkal Garmin a jeho navigační služby. To přitom může být nejen reputační problém.

„Samotný incident nemusí stát tolik peněz jako obnovení provozu, očištění dobrého jména či obnova dat. Příkladem může být strojírenská firma, která byla nedávno napadena. Požadováno bylo výkupné v řádech stovek tisíc korun, zastavení a znovu rozjetí výroby stálo firmu několik desítek milionů korun,“ přitakává na proběhlém webináři o kyberbezpečnosti s ohledem na zkušenosti z praxe Marko Antič z pojišťovny Colonnade.

Podle dat Gordicu mají v České republice zkušenosti s kybernetickým útokem desítky procent společností. U malých a středních firem je to dokonce téměř polovina. Náklady na řešení a obnovu dosahují řádu milionů, někdy až desítek milionů korun, a tak v Gordicu spolu s dalšími firmami nepřestávají prakticky každý den nabádat, ať takové hrozby nepodceňují.