Novinky Zpět

Kybernetická bezpečnost ve firmách. Tři pilíře pro efektivní ochranu před kyberútoky

14. 03. 2022
Zpět

Tento článek poskytuje ucelené informace o tom, co je mimořádná událost. Shrnuje vše od definice přes druhy až po její řešení. Podrobně popisuje také hlavní činnost integrovaného záchranného systému (IZS), který je hlavním výkonným orgánem pro vyhodnocení a zásah při mimořádných událostech.

Obsah článku:

Definice kybernetické bezpečnosti

Termín „Kybernetická bezpečnost“ pochází z anglického pojmu „Cyber Security“ a je definicí pro prevenci a ochranu počítačových a informačních systémů, sítí, programů a technologií před digitálními kybernetickými útoky, které jejich pachatelé (hackeři) obvykle zaměřují na prolomení přístupových údajů k citlivým informacím, jejich změnu nebo cílené zničení, ale také k vydírání uživatelů v podobě vymáhání peněz.

Hlavním cílem kybernetické bezpečnosti je nastavení preventivních opatření, která budou chránit digitální systémy organizace, ale i samotné uživatele těchto systémů před neoprávněnými přístupy a kyberútoky. K tomu je bezprostředně nutné vzájemně propojit tři základní pilíře: lidi, procesy a technologie.

Kybernetická bezpečnost se používá v různých kontextech, např. zabezpečení kritické infrastruktury státu, sítě, aplikací a informací, provozní bezpečnost, obnova dat nebo vzdělávání uživatelů.

Zabezpečení kritické infrastruktury (KI) je ochrana počítačových systémů, sítí a dalších aktiv před narušení jeho funkcí, které by měly závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu. Zabezpečení KI je po vybrané subjekty ze zákona povinné. Týká se to zejména subjektů, které poskytují:

Mohlo by vás zajímat: Kybernetická a informační bezpečnost. Legislativa, povinnosti a typy kybernetických útoků

Zabezpečení sítě je postup zabezpečení počítačové sítě před vetřelci, ať už jde o cílené útočníky nebo oportunistický malware.

Zabezpečení aplikací se zaměřuje na udržení softwaru a zařízení bez hrozeb. Kompromitovaná aplikace by mohla poskytnout přístup k datům, která má chránit. Úspěšné zabezpečení začíná ve fázi návrhu, dlouho před nasazením programu nebo zařízení.

Zabezpečení informací chrání integritu a soukromí dat, jak při ukládání, tak při přenosu.

Provozní bezpečnost zahrnuje procesy a rozhodnutí pro manipulaci a ochranu datových aktiv. Oprávnění, která mají uživatelé při přístupu k síti, a postupy, které určují, jak a kde mohou být data uložena nebo sdílena, to vše spadá pod tento segment.

Obnova dat po útoku a kontinuita provozu definují, jak organizace zareaguje na kybernetický bezpečnostní incident nebo jakoukoliv jinou událost, která způsobí ztrátu výpočetních operací nebo dat. Zásady obnovy po havárii určují, jak organizace obnoví své operace a informace, aby se vrátily do stejné provozní kapacity jako před událostí. Kontinuita podnikání je plán, ke kterému se organizace vrátí, zatímco se snaží fungovat bez určitých zdrojů.

Vzdělávání koncových uživatelů se zabývá nejvíce nepředvídatelným faktorem kybernetické bezpečnosti, tedy lidmi. Kdokoliv může nechtěně nahrát virus do jinak zabezpečeného systému tím, že nedodrží správné bezpečnostní postupy. Naučit uživatele odstraňovat podezřelé e-mailové přílohy, nezapojovat neidentifikované USB disky a různé další důležité lekce jsou zásadní pro bezpečnost každé organizace.

Informační bezpečnost

V souvislosti s kybernetickou bezpečností se můžete setkat také s velmi blízkým pojmem informační bezpečnost. Rozdíly jsou následující:

Legislativa v ČR a EU

V České republice jsou v oblasti kybernetické a informační bezpečnosti zásadní:

Na úrovni Evropské unie jsou zásadní:

Dopady a následky kybernetických útoků

Ať už se jedná o malý nebo velký podnik, kybernetická bezpečnost je v dnešní době nutností pro všechny. Je to proto, že převážná část našich aktiv a většina lidí jsou online a sdílí někdy velmi důležité informace. Přestože online prostředí nám usnadňuje život, je třeba si uvědomit také fakt, že to ohrožuje naše soukromé informace. Mohou totiž velmi snadno uniknout a nikdo si toho nemusí ani všimnout. Únik takových informací může mít naprosto zničující dopady.

V případě kybernetického útoku na firmu to může znamenat i krach. Zaplatí vysokou cenu, což může způsobit obrovskou ztrátu příjmů a v konečném důsledku přerušení podnikání. Mezi nejčastější dopady patří:

Podstatně horší následky však může mít kybernetický útok na již zmiňovanou kritickou infrastrukturu státu (KI), jako jsou např. banky, nemocnice, vzdělávací a výzkumné organizace, železnice, letecká doprava apod. V takovém případě může dojít až extrémně závažným dopadům.

Podle bezpečnostních expertů (Czech Point) proběhlo na české firmy v roce 2021 přes 1000 kybernetických útoků týdně. Celosvětový průměr byl pak 900 útoků na organizaci. Vysokému tlaku hackerů čelilo v posledních letech také české zdravotnictví:

Ochrana proti kybernetickým útokům

Povinnosti v oblasti kybernetické a informační bezpečnosti mají pouze vybrané orgány a osoby uvedené v § 3 zákona č. 181/2014 Sb. Ostatní osoby a subjekty (firmy, podnikatelé a jiné organizace) žádné zákonné povinnosti sice nemají, ale riziko kyberútoku a následného vydírání, které může mít ekonomicky devastující účinky, se týká i jich. Proto důrazně doporučujeme všem firmám bez rozdílu jejich velikosti nebo počtu zaměstnanců, které nakládají s citlivými informacemi, aby smysluplně investovali do prevence a ochrany proti kybernetickým útokům. Základními pilíři jsou v této oblasti: znalost problematiky, školení zaměstnanců a kontrola.

1. Znalost problematiky

Znalost problematiky kybernetické bezpečnosti je základním předpokladem pro efektivní ochranu před útočníky. Každý, komu na bezpečnosti záleží, musí vědět:

Znalost problematiky kybernetického světa do určité míry závisí na výši rizika daného subjektu. Úplně jiné znalosti musí mít bankéř, správce IT sítí nebo vývojář webových systémů než sekretářka či operátor telefonní linky. Základy musí mít ale všichni stejné.

2. Školení zaměstnanců

Zodpovědná firma ví, že jedním z nejkritičtějších faktorů v oblasti kybernetické bezpečnosti je lidská chyba a neznalost. Právě člověk, v tomto případě zaměstnanec firmy, představuje jednu z nejzávažnějších hrozeb, protože mnoha útokům může zabránit. Zaměstnanec nemá zkušenosti, ani útok nepozná, někdy ho dokonce potvrdí. Je to způsobeno tím, že neví, protože ho na to nikdo neupozornil. V konečném důsledku je to však chyba zaměstnavatele. Neproškolil, neseznámil!

S vysokou naléhavostí proto doporučujeme všem firmám, podnikatelům a ostatním organizacím, které disponují, pracují nebo jinak nakládají s důležitými a citlivými informacemi, které by mohly ohrozit jejich podnikatelskou činnost, aby vzdělávali své zaměstnance v oblasti kyberbezpečnosti. Oproti škodám, které mohou vzniknout v důsledku zdařeného útoku, je investice do kyber vzdělanosti vašich zaměstnanců naprosto zanedbatelná.

Vzdělávání zaměstnanců v oblasti kybernetiky má samozřejmně více úrovní podle toho, s jak citlivými daty pracujete a jak vysoké je riziko ohrožení. Správci informačních sítí budou potřebovat podstatně složitější a detailnější školení než řadový administrativní pracovník. Proto se při hledání správné vzdělávací platformy zaměřte na druh znalostí, které jsou pro vaše zaměstnance potřeba. Obecně lze úroveň znalostí rozdělit na tři kategorie: základní, pokročilá a vysoká. Některé specifické profese pak mohou mít ještě speciální profesní doplňky.

Pro administrativní pracovníky základní úrovně lze využít např. naše online školení informační a kybernetické bezpečnosti s profesním doplňkem pro bezpečné ukládání souborů. Toto školení seznámí vaše zaměstnance se základními bezpečnostními pravidly. Obsahuje např. tyto lekce:

Více informací se dočtete na stránce Školení informační a kybernetické bezpečnosti.

3. Kontrola a aktualizace

Protože kybernetický prostor se neustále vyvíjí a hackeři přichází se stále sofistikovanějšími útoky, je naprosto zásadní držet krok, tzn.: pravidelně kontrolovat funkčnost bezpečnostních systémů a přijatých opatření a v případě potřeby nebo doporučení provádět aktualizace týkající se nejen softwarových a hardwarových řešení, ale samozřejmě také vzdělávání.

Kontrolu funkčnosti bezpečnostních systémů (např. antivir, firewall) a dalších přijatých opatření, které mohou představovat např. dodržování interních postupů, je dobré provádět nezávislým auditorem, který se specializuje na kybernetickou ochranu a bezpečnost. V mnoha případech na tuto práci stačí správci IT sítí a podobní specialisté. Otázkou je, do jaké míry jsou k těmto úkonům oprávněni. Záleží na složitosti provozu a bezpečnostních požadavcích daného subjektu.

Aktualizace ochranných softwarových systémů, jako jsou antiviry, lze většinou provádět na uživatelské úrovni. Nicméně opět záleží na rizikovosti a požadavcích bezpečnosti. V každém případě kontrolujte a aktualizujte své systémy.

Kybernetická bezpečnost ve firmách. Tři pilíře pro efektivní ochranu před kyberútoky
Naši nejvýznamnější klienti
ERU Tesla Toyota Slevomat Yamaha Xella Xiaomi Colas Iveco Geberit Smarty Breno VGP Dodo Oyster Ruukki RWE Berlitz Casale Project Philip Morris Operátor ICT Ford Saint Gobain CMI Becher Budvar Cemex Vcelka Mironet Run Czech Wolt Dell Feri NPU Solitea Skechers Hueppe Dedoles accace Arriva Asklepion Avast Grada CHUBB Tipli Michelin Schneider electric Vinted Vivantis YTONG Favi Generali Česká Pojišťovna Marelli Monneo Bühler Žamberk Hanák nábytek GLP Hyundai Kara LG Raynet Panasonic Peugeot Roltechnic Státní tiskárna cenin TON Student Agency Shoptet Windy.com Georg Fischer AK Císař, Češka, Smutný Altron Audiotéka Azelis Pilulka Neeco Českomoravský cement Dekra Exponea productboard Rehau SFPI spaceti wikimedia jrd - bydlení nové generace Goodyear Pro Doma stavebniny Eisai AGC Briggs & Stratton Erste Greenpeace Richter & Frenzel Slovenské elektrarne Sizmek Somfy TÜV Wistron ZAT SmartWings Lindström ČNB Hanibal Jura LL-C Auto Jarov Egap IceWrap knihovna Akademie věd Medical technologies Mitas Success ČZU ČVUT MŠMT MUNI Zomato VFS global Columbia Fincentrum Mediatel NH Prague city Reedog Storyous Futured Apps Best Communications CCS EATON Tonino Lamborghini Caffe Lotus Melitta O2 Urgo Aqua Angels Aranea Beko Benu lékárny Bode Panzer Kuoni group Omron Photon Energy Saunia Swardman Twisto Zonky Inloop eMan Cyient EYElevel Fuji Koyo Klosterfrau Adacta Bosal Nonstop recruiment Pharm Olam Pietro Filipi Potrefená husa Profimedia Subway Unileasing VZP Vistra Notino Žabka ITW Globa Load Control Arthur D. Litte Creative Dock Samsonite Remax Proximity PSJ Invest Savencia Le Premier Kiwi webhelp Divadlo Archa Auffer design AVL ISIC Linde STOPKA - exclusive living Wegg Go STRV PSA traiding Eurowag Crown Worldwide CIEE Telly Monet plus Baumax Národní galerie Top Estates Rebuy Stars Ferring pharmaceuticals Apogeo Newe První klubová ZZMV Knihy Dobrovský HACH Komora KHK Julius Meinl Manuel caffé Primeros hotel Hilton Topmonks Starez sport Náš grunt Nestlé Bulovka Fio Banka Helika Tutor Top Vision Tarsago AXA CBRE Česká poštaDáme jídlo Ferratum Loccitane Meopta PPAS Raiff Allianz sport5 Tesco Schrack Speed CarsB-Tech Ergo Eurest IAC Orion Pharma UE.cz Ulož.to Zoot Codeco Konsepti MSA Albatros Arena Hermes Parexel Junker Lumen Huck rohlik.cz Korona
Ověřit reference