Největší slabinou firem není technologie, ale lidé. Hackeři jsou vždy o krok napřed, varují odborníci
Jaromír a Anna Tvrzníkovi z firmy Top Solutions a Terezie Tománková (uprostřed). Zdroj: CNN
Kybernetické útoky už nejsou problémem pouze velkých korporací. Terčem se dnes může stát prakticky kdokoliv – od nadnárodní společnosti až po malou rodinnou firmu nebo živnostníka. Odborníci na firemní bezpečnost upozorňují, že správně nastavené procesy a systém řízení nejsou zbytečnou administrativou, ale mohou firmám doslova zachránit provoz.
Když se řekne ISO nebo IT compliance, většina lidí si představí především šanony, audity, kontroly a nekonečné formuláře. Ve skutečnosti ale mohou dobře nastavené procesy představovat jednu z nejúčinnějších obran proti rostoucím kybernetickým hrozbám.
„IT compliance zní možná nudně, ale ve finále je to něco, co firmám může skutečně pomoci. Dokáže zlepšit a zefektivnit jejich provoz a zároveň je ochránit před kyberhrozbami a útoky, kterých stále přibývá,“ vysvětluje Jaromír Tvrzník, jednatel společnosti Top Solutions, která se dlouhodobě věnuje systémům řízení kvality, informační a kybernetické bezpečnosti a zavádění ISO standardů do firemní praxe.
Podle jeho manželky a kolegyně Anny Tvrzníkové, jednatelky společnosti Top Solutions, se navíc změnilo samotné vnímání rizik. „Dnes už otázka nezní, jestli se to stane i nám, ale kdy se to stane i nám. Čteme o napadených městech, e-shopech, o ukradených databázích klientů a citlivých údajích. Děje se to malým i velkým firmám,“ upozorňuje.
Malá pekárna bývá připravenější než velká firma
Mnoho podnikatelů stále věří, že jsou pro hackery příliš malým cílem. Podle odborníků jde o jeden z největších omylů. „I fyzické osoby a živnostníci jsou pro útočníky zajímaví. Mají bankovní účet, komunikují e-mailem, se státní správou, mají svá data. Představa, že jsem příliš malý, aby mě někdo napadl, platila možná před patnácti lety. Dnes rozhodně ne,“ říká Jaromír Tvrzník.
Paradoxně se přitom často setkává s překvapivými situacemi. „Malá pekárna, která má minimální rizika, chce mít vše připravené na špičkové úrovni a investuje do zabezpečení. Naopak velká personální agentura, která pracuje s obrovským množstvím osobních údajů, může mít systémy děravé tak, že jsem se nestačil divit,“ popisuje své zkušenosti.
Antivir nestačí. Data opouštějí firmu každý den
Řada manažerů argumentuje tím, že mají schopné IT oddělení a kvalitní antivirové programy. To ale podle expertů zdaleka nestačí. „Dnes se naprostá většina věcí odehrává v kyberprostoru. Data firmu neustále opouštějí, komunikujeme s klienty, dodavateli i státní správou. Už to není jen libůstka IT oddělení. Problematika je tak komplexní, že ji jeden nebo dva IT manažeři sami neřídí,“ vysvětluje Jaromír Tvrzník.
Anna Tvrzníková zároveň připomíná význam nezávislého pohledu. „Každý dobrý manažer ví, že když je dlouho uvnitř firmy, začne mu chybět objektivní pohled zvenčí. I perfektní IT manažer nemůže mít zkušenosti úplně se vším. Platí, že více hlav ví více.“
Nejslabším článkem nejsou technologie
Podle odborníků dnes hackeři stále častěji útočí nikoliv na technologie, ale na zaměstnance. „Náš kolega, který působí jako etický hacker, říká, že je dnes mnohem jednodušší útočit na uživatele než na technologie. Uživatel je bohužel nejslabší článek. Snadno podlehne phishingovému e-mailu nebo jiné formě útoku,“ varuje Jaromír Tvrzník.
Firmy podle něj stále podceňují vzdělávání zaměstnanců. „Často si řeknou, že udělají online školení a tím je splněno. Ale mnohem důležitější je lidem vysvětlit, proč mají určitá pravidla dodržovat a co se může stát, když je ignorují.“
Školení navíc podle něj často přesahují i do soukromého života zaměstnanců. „Lidé se nás potom ptají i na to, jak chránit sebe a své rodiny doma.“
Nejhorší je změna oznámená jedním e-mailem
Zavádění nových pravidel ale často naráží na odpor zaměstnanců. Důvodem bývá špatná komunikace. „Nejhorší je, když se pošle e-mail, že od určitého data bude platit nová norma. Lidé si řeknou: další práce, další problémy a nikdo nám nevysvětlil proč,“ popisuje Anna Tvrzníková.
Podle ní je klíčové dát změnám smysl. „Manažeři musí zaměstnancům vysvětlit, proč se změna zavádí. Může jít o požadavek odběratelů nebo o nutnost přizpůsobit se trhu. Když lidé pochopí smysl a vidí užitek, přestávají změny vnímat jako přítěž.“
Lidskost a kyberbezpečnost? Jde to dohromady
Moto společnosti Top Solutions zní: „Vnášíme lidskost do informační a kybernetické bezpečnosti.“ Na první pohled možná neobvyklé spojení.
„Firmy tvoří lidé. Na každé židli sedí člověk, který má vlastní starosti, rodinu a další povinnosti. A najednou dostane úkol zavést ISO nebo řešit kyberbezpečnost. Naším cílem je být partnerem, který mu pomůže tak, aby ho to netrápilo a aby u toho neztratil úsměv na tváři,“ říká Anna Tvrzníková.
Podle ní jsou právě kvalitní vztahy uvnitř firmy často nejlepším základem bezpečnosti. „Čím lépe firma pracuje se svými lidmi a čím lepší má vztahy, tím jsou zaměstnanci angažovanější i v dobách změn nebo krizí. Pokud komunikace a vztahy nefungují, lidé od problémů dávají ruce pryč.“
Hackeři budou vždy o krok napřed
Absolutní bezpečnost podle odborníků neexistuje. „Dá se říct, že hackeři zvládnou téměř cokoliv. Naším úkolem je rizika maximálně snižovat a útoky jim co nejvíce ztěžovat. Bohužel jsou ale vždycky o krok před námi,“ uzavírá Jaromír Tvrzník.
Právě proto už dnes nejsou systémy řízení, kybernetické audity nebo ISO normy pouhou formalitou. Stávají se jedním ze základních předpokladů, aby firmy dokázaly obstát ve světě, kde digitální hrozby přibývají prakticky každý den. Celý rozhovor najdete ve videu.
