Kolik stojí kybernetická bezpečnost?
Že se vás to netýká? Využíváte cloudových služeb, jako je sdílené úložiště dat, správu emailů, serverů nebo webových stránek? Víte, jak to dnes ve světě funguje? Šéf odjíždí na dovolenou. Několik hodin po jeho odjezdu přijde jeho sekretářce email, že šéf byl okraden a je potřeba poslat „jistou částku na konkrétní číslo účtu“. Šéf ale okraden nebyl. Tedy byl, ale až po odeslání oné částky jeho snaživou sekretářkou. Nebo situaci, kdy obdržíte fakturu, ale časem se ukáže, že vaše platba šla na jiný účet a váš dodavatel o ničem neví. Ne, není to nic, co by vás nemohlo potkat. Buďte proto stále obezřetní.
Informační a komunikační technologie jsou nervovou soustavou každé společnosti. Způsob nakládání s informacemi do značné míry ovlivňuje efektivitu podniku. Systém kontroly a zabezpečení dat jsou poté špičkou pyramidy odbornosti IT.
Proč se vůbec zabývat kybernetickou bezpečností? Požadavky k bezpečnosti jsou nejen ze zákona (ZoKB, GDPR, eIDAS atd.), ale i čistě pragmatické. Například ochrana firemního know-how. Nebo splnění a získání certifikací (ISO). Zejména však funkční IT. Málokdo si totiž uvědomuje, že bezpečné a zabezpečené znamená fungující. Například vám nepadají servery, nechodí spamy, sami je nerozesíláte, tudíž nejste na blacklistu. Nemusíte omezovat velikosti příloh v e-mailu. A nejen to.
Náklady vs. příjmy
Manažer si vždycky spočítá, kolik ho jaká aktivita stojí. K tomu pak poměřuje přínosy a nakonec zjistí, zda má smysl (srovnání cena – výkon). Pokud se bavíme o kybernetické bezpečnosti, je potřeba mít vhodné nástroje například na sběr dat, jejich analýzu a vyhodnocení. Zde jde o jednorázové výdaje na několik málo let. Kromě investičních výdajů je potřeba zajistit kybernetickou bezpečnost personálně, což činí zpravidla jednoho až tři expertní pracovníky s platem kolem 80 tisíc hrubého pro každého. Tento výdaj je však čistě provozního rázu.
Investiční výdaje do kybernetické bezpečnosti se pohybují v rozmezí od 300 000 Kč až po desítky miliónů. Vždy záleží na velikosti firmy a oboru, ve kterém působí. Velká výrobní firma s malým počtem počítačů a vlastní vnitřní sítí nepotřebuje ke svému zabezpečení velmi nákladný hardware a software. Oproti tomu malá decentralizovaná společnost (několik poboček), která poskytuje například finanční služby = pracuje s citlivými daty klientů, by měla být zabezpečena velmi precizně (nejen z hlediska zákonných požadavků).
Nejzranitelnějšími obory jsou energetika a vodohospodářství (tzv. kritická infrastruktura), finančnictví, organizace státní správy, zdravotní a sociální péče, logistika, advokacie, farmacie a chemický průmysl, velkoobchod, vzdělávání a mediální služby (televize a rozhlas). Výrobní podniky či maloobchod také potřebují, aby jejich IT bylo bezpečné a funkční. Zabezpečení těchto oborů zpravidla nevyžaduje tak velké náklady. O to více je zabezpečení opomíjeno, neboť v těchto oborech nehraje IT důležitou roli z hlediska jejich hodnotového řetězce, byť je stále jejich nervovou soustavou.
Špatně se však srovnává něco, čemu nerozumíte. Manažer je homo multifunctionicus – tedy člověk multifunkční. Obor kybernetické bezpečnosti však patří k nejsofistikovanějším oborům dnešní doby a rozumí mu jen pár zasvěcených, kteří mu musí nepřetržitě věnovat spoustu času.
Manažer však ví, že nemůže srovnávat jen explicitní (účetní) náklady. Ví, že vždy bere v potaz náklady implicitní (skryté) a náklady obětované příležitosti. A těch je v IT hned několik. Jejich vyčíslení je vždy problematické, ne-li nemožné.
Ztráty způsobené narušením IT
Pokud IT v podniku není řádně zabezpečeno a nefunguje optimálním způsobem, zpravidla dochází ke třem typům škod:
- ztráty efektivity u zaměstnanců;
Ztrátou efektivity u zaměstnanců je myšleno nemožnost jejich práce, když „IT“ nefunguje. Jedná se jak o běžné zaměstnance, tak i o administrátory. U běžných zaměstnanců hrozí i časové ztráty z hlediska využívání nežádoucích aplikací, sledování videí atd. Další ztráta přichází v podobě ztráty zájmu o práci v důsledku dlouhého čekání na nápravu některého z neduhů IT sítě.
- ztráty hmotné povahy;
Ztráty hmotné povahy se projevují jako vyšší náklady na připojení – podnik může nevědomky stahovat a rozesílat data, a to kvůli napadeným počítačům. Pokud není efektivní dohled nad IT sítí, je velmi těžké dodržování a reklamace SLA dohod, kdy může podnik vynakládat nemalé částky na zajištění minimální úrovně služeb (častá odpověď providera služeb – chyba není u nás, ale ve Vaší síti).
- ostatní škody a ztráty dat.
Ostatní škody jsou kategorií nejvíce obávanou. Sem patří velmi těžko vyčíslitelné škody, jako je ztráta dobrého jména (např. neúmyslným rozesíláním spamů), používání nelegálního softwaru (trestní sazba), ztráty dat, které mohou být spojené s průmyslovou špionáží.
Konkrétní – z manažerského hlediska – utopené náklady, spojené s kybernetickou bezpečností, tedy situací, kdy síť není zabezpečená a nefunguje efektivně, jsou:
- vyšší náklady na připojení – provozní náklad, často „zažitý“;
- delší doba odezvy – začátek prokrastinace;
- snížení produktivity pracovní síly – pokračování prokrastinace zaměstnanců;
- průmyslová špionáž – velký problém;
- zpomalení provozu počítačové sítě – skrytá neefektivnost;
- sociální inženýrství – závažný problém;
- náklady na odstranění následků kybernetického útoku – mzdy IT na pohotovostní činnosti;
- reinstalace PC – nutný čas na opravy či provozuschopnost;
- úniky informací – závažný problém;
- hacking webu – závažný problém ve zneužití služby;
- snížená produktivita práce (např. využívání tzv. peer-to-peer sítí, stahování dat, sociální sítě, online hry) – skrytá neefektivnost;
- narušení konfigurace sítě – nutný čas na opravy;
- kanál pro šíření malwaru – závažný problém ve zneužití služby;
- utopené náklady na školení zaměstnanců – skrytá neefektivnost;
- ztráta firemních dat – interpretační náskok rivalů nebo konkurence;
- poškození dobrého jména firmy – interpretační lahůdka pro média, právní služby a PR agentury.
Jaké nešvary v IT číhají? Nepřehlednost síťového provozu, útoky z vnitřní sítě, útoky z vnější sítě, nekontrolovatelný odchozí provoz ze sítě, zneužívání sítě k nežádoucím aktivitám, nákladný provoz a údržba sítě, špatná kontrolovatelnost administrátorů, výpadky sítě, eliminace nežádoucích aplikací, aktivity v síti pod zcizenou identitou, zavirované vnitřní počítače, útoky z vnitřní sítě do okolního světa, počty síťových licencí neodpovídající aktuálním potřebám, zpoždění síťových služeb a aplikací, špatná konfigurace síťových zařízení a aplikací včetně záplatování, sdílení nelegálního obsahu, používání nelegálního software, obtížný monitoring virtualizovaných serverů a další.
Kybernetická bezpečnost jako provozní náklad
Existuje několik řešení, jak síť zabezpečit. Nejčastější zabezpečovací systémy, kterými organizace disponují, jsou tyto: firewall, access control, identity management, log management, behaviorální analýza sítě (NBA), IDS/IPS systémy, asset management, systémy proti virům, spamu, reklamě, botům a spywaru až po dohledově analytické nástroje SIEM.
Kromě technického zabezpečení se bavíme i o personálním zajištění. IT oddělení se často kromě běžné operativní činnosti stará i o bezpečnost. Tam je však zapotřebí mít expertní tým, což je drahé. Navíc podle ČSÚ mělo až 29 % velkých firem v roce 2016 volné pracovní pozice, pro které bylo těžké najít IT odborníky.
Pokud nechcete nakupovat několik různých nástrojů, najímat (a hlavně dnes pracně hledat) experty kybernetické bezpečnosti, můžete využít způsobu zabezpečení firemní sítě, který je dnes již běžný v celém informačně rozvinutém světě. Využijete služeb, které nabízí Security Operation Centrum (SOC365). Funguje stejně jako externí účetní firma nebo správa vozového parku. Nemusíte řešit investiční rozpočet. Za měsíční sazbu získáte jistotu, že je vaše síť bezpečná neboli plně funkční. Vaši IT pracovníci získají přehled o síťovém provozu, chování sítě a včas proaktivně veškeré informace potřebné k eliminaci nežádoucích situací. Vaše síť je pod dohledem v režimu 24/7. Můžete se tedy naplno věnovat svému podnikání a nedělat si starosti s kybernetickou bezpečností. A co je hlavní, nemusíte odkládat oblast kybernetické bezpečnosti ve vaší organizaci, neboť řešení je rychlé a dostupné. Navíc získáte i pravidelný manažerský report o chování vaší sítě (a vašich zaměstnanců v síti). Využití Security Operation Centra navíc stojí mnohem méně než zajištění kybernetické bezpečnosti vlastními silami. Stejně jako když využíváte služeb jiných outsourcovaných služeb. Kybernetická bezpečnost v rukou odborníků. To dává smysl.
Autorem článku je Karel Šimeček působící ve společnosti Visitech jako expert kybernetické bezpečnosti.