Tento článek vznikl pro zpravodaj Asociace malých a středních podniků v rámci jejího Roku digitálního podnikání. Asociace se letos intenzivně zaměřuje na podporu digitalizace malého a středního podnikání. Zároveň plánuje témata bezpečného digitalizovaného podnikání v příštím roce dále rozvíjet. Zde si můžete přečíst celé zářijové vydání: - ZPRAVODAJ AMSP - RDP 2019 Září
Není týden, kdy by se v médiích neobjevily zprávy o kybernetických incidentech či o zákeřné počítačové kriminalitě. Možná si řeknete, že jde vesměs o události, které se vás jako majitele českého malého či středního podniku zpravidla moc netýkají. Postižena byla přeci vzdálená globální firma, korporace či organizace. Tak proč se tím tedy zabývat.
Musíme vás ale zklamat, je to přesně naopak. Kybernetická rizika a s nimi spojené události a incidenty se týkají opravdu každé firmy, která byť jen používá běžné komunikační prostředky jako je třeba e-mail. Ale i v malém a středním podniku se dnes kromě e-mailu pracuje s mnoha dalšími aplikacemi: s obchodními a marketingovými systémy, aplikacemi pro řízení výroby a skladů, účetnictvím, různými cloudovými řešeními apod. A tak rizika přirozeně rostou s tím, jak se digitalizace firemního businessu rozšiřuje.
Denně slýcháme typické reakce na debatu o kybernetických rizicích pro malé a střední firmy. Nejčastěji majitelé těchto firem argumentují nezajímavou velikostí svého podniku oproti velkým firmám. K tomu často doplňují, že se přece musí soustředit na svůj denní chleba, který je živí. Na nějaká kybernetická rizika jim tak nezbývá čas, finance nebo dokonce lidi. Problémy chápeme, jsme také firma podobné velikosti. Na druhou stranu se ptáme, co pan majitel bude dělat, až kybernetická událost v jeho firmě bude mít dopad i na jeho odběratele nebo klienty? V horším případě, když jeho firmu použijí útočníci jako vstupní bránu k útoku na velkého odběratele? Můžeme majitele opravdu ubezpečit, že pokud se něco takového stane, dodavatelem napadeného podniku už dlouho nebude.
Stejně často posloucháme, že prý firma zpracovává nezajímavé informace, které jsou navíc veřejně dostupné. To sice může být pravda, ale každá firma zpracovává data, které jsou nějakým způsobem zneužitelná a pro zločince jsou proto lukrativní. A to nejen kvůli přímým důsledkům ohrožení zajímavých obchodních nabídek nebo zadávacích řízení, ale také proto, že každá informace je pro útočníky střípkem v mozaice, který útočník někdy v budoucnu pro svůj cíl využije.
Jednoduše řečeno, pro malé a střední podniky kybernetická bezpečnost prioritou prostě není. Především je to investice, která negeneruje zisky a nemá primární vliv na efektivitu obchodu. Navíc pokud bezpečnostní opatření vyžaduje povinná legislativa, je vnímána jako nutné zlo. Zářným případem je nedávné povinné zavedení požadavků GDPR k ochraně práv subjektů osobních údajů. V tomto případě se opatření pro snížení kybernetických rizik často změnila ve slohová, administrativní a právní cvičení.
Ale trochu vážněji. Opomíjení kybernetických rizik a jejich dopadů je skutečným přímým ohrožením růstu každé firmy a počtu jejich spokojených zákazníků. Případů, kdy tuzemská firma naletí falešné technické podpoře, zaplatí fakturu nastrčenému prostředníkovi nebo je vydírána po zašifrování firemní sítě, opravdu přibývá. Odhady říkají, že až 60 % malých a středních firem má reálné zkušenost z nějaké kybernetické události a výše přímé finanční škody pro jednotlivý podnik je i v řádu miliónů korun za případ.
Toto můžete pro svoji kybernetickou bezpečnost udělat hned teď!
Kybernetické bezpečnosti by jistě významně prospělo, aby se tedy i malé a střední podniky více věnovaly snižování svých kybernetických rizik. Není se třeba obávat toho, že firma musí vynakládat horentní úsilí, které citelně odčerpá její finance a pracovníky. Poradíme vám čtyři základní kroky, které by měl malý a střední podnik udělat, aby svoji kybernetickou bezpečnost skutečně posílil:
1/ Dbejte na proškolení vašich zaměstnanců
Zaměstnanci (obecně lidský prvek) opravdu stojí v první obranné linii proti počítačovým záškodníkům. To, že v podniku nemáte pro své pracovníky sepsány alespoň základní pracovní postupy k bezpečné práci s počítači a k ochraně podnikových informací, ukazuje na vaše slabiny a může to být zárodek vážné bezpečnostní události. Bezpečnostní povědomí pracovníků je opravdu klíčové. Trvale a trpělivě učte vaše zaměstnance, aby měli základní návyky „kybernetické hygieny“. To významně pomůže vašemu podniku zvýšit ochranu proti rizikům z narůstající digitalizace.
2/ Organizujte pravidelné tréninky
Počítačoví záškodníci s oblibou zkouší na běžné počítačové uživatele různé lsti, finty a úskoky, aby od nich získali peníze nebo potřebné informace. Útočníci jsou také velmi vynalézaví a svoje podvody často mění nebo vymýšlejí nové. Jako zaměstnavatelé byste měli usilovat o to, aby vaši pracovníci byli schopni různé typy těchto počítačových podvodů včas rozpoznat. Paní účetní by se pak nemělo stát, že pošle bez prověření peníze na fakturu s falešným číslem účtu, kterou dostane v podvodném emailu. Pravidelné tréninky a školení, kdy se zaměstnanci učí reagovat na různé typy počítačových podvodů, pomůže poznat příznaky nekalého jednání dříve, než je pozdě.
3/ Nebojte se hodnotit svoje kybernetická rizika
Každá firma může čelit různým rizikům například podle toho, v jaké oblasti podnikání působí. Různá rizika bude mít například výrobní podnik, zemědělská farma, účetní firma nebo specializovaná ordinace. Pokud nemáte odborné znalosti, obraťte se na odborníky, kteří vám s hodnocením vašich kybernetických rizik poradí, Rovněž vám navrhnou rozumná technická a organizační opatření, která pomohou kybernetická rizika snížit a posílit bezpečnost vašich dat a informací. Doporučí i možnosti pojištění některých rizik, jako je třeba přerušení provozu při výpadku IT systémů nebo poškození dobré pověsti při úniku osobních dat klientů.
4/ Připravte se na to, jak se budete chovat v krizi:
Připravte si alespoň jednoduchý postup (tzv. krizový plán), co budete dělat v případě, kdy dojde k nejhoršímu. Může například nastat výpadek hlavních IT systémů nebo dojde k odcizení nebo poškození vašich provozních dat. A v důsledku toho se business vaší firmy může významně zpomalit nebo dokonce zcela zastavit. Krizový plán by měl obsahovat role a odpovědnosti za jednotlivé kroky v případě takové krize. Dotyčné osoby by také měli vědět, jak postupovat při komunikaci k veřejnosti, partnerům a podobně. Opět vám s tím pomůžou odborníci, specializovaní na krizové řízení nebo krizovou komunikaci při kybernetickém incidentu.
Digitalizace podnikání vám přináší vyšší výkon ale i rizika
A proč je třeba začít už nyní? Ne náhodou je rok 2019 vyhlášen Asociací malých a středních podniků a živnostníků České republiky (AMSP ČR) jako Rok digitálního podnikání. Vidíme okolo sebe, že takzvaná digitální transformace probíhá na všech úrovních a segmentech ekonomiky, tedy jak ve firmách, tak i v chování spotřebitelů. Stejně rychle (ne-li rychleji) se ale mění a vyvíjí jak možnosti používaných IT technologií, tak i rizika a prostředí kybernetické bezpečnosti. Útočníci jsou totiž vždy o krok napřed. Dobrou zprávou je, že malé a střední podniky jsou flexibilní a jsou schopné na reálné ohrožení rychle zareagovat. A proto pouze jen ty podniky, které si nová rizika uvědomují a umí na ně adekvátně reagovat, budou v digitální transformaci úspěšné.
Daniel Konečný, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Petr Moláček, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.