V dnešní digitální době nejsou kybernetické útoky ničím výjimečným. Týkají se stále většího množství nejen lidí, ale také firem, podnikatelů, orgánů a jiných organizací. Jsou součástí nás všech a jejich dopady mohou být zničující. Přečtěte si, co je vlastně kybernetická bezpečnost, jaké dopady mohou mít kybernetické útoky a jak se před nimi efektivně chránit, pokud vlastníte firmu nebo podnikáte a pracujete s citlivými informacemi.
Obsah článku:
Termín „Kybernetická bezpečnost“ pochází z anglického pojmu „Cyber Security“ a je definicí pro prevenci a ochranu počítačových a informačních systémů, sítí, programů a technologií před digitálními kybernetickými útoky, které jejich pachatelé (hackeři) obvykle zaměřují na prolomení přístupových údajů k citlivým informacím, jejich změnu nebo cílené zničení, ale také k vydírání uživatelů v podobě vymáhání peněz.
Hlavním cílem kybernetické bezpečnosti je nastavení preventivních opatření, která budou chránit digitální systémy organizace, ale i samotné uživatele těchto systémů před neoprávněnými přístupy a kyberútoky. K tomu je bezprostředně nutné vzájemně propojit tři základní pilíře: lidi, procesy a technologie.
Kybernetická bezpečnost se používá v různých kontextech, např. zabezpečení kritické infrastruktury státu, sítě, aplikací a informací, provozní bezpečnost, obnova dat nebo vzdělávání uživatelů.
Zabezpečení kritické infrastruktury (KI) je ochrana počítačových systémů, sítí a dalších aktiv před narušení jeho funkcí, které by měly závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu. Zabezpečení KI je po vybrané subjekty ze zákona povinné. Týká se to zejména subjektů, které poskytují:
Mohlo by vás zajímat: Kybernetická a informační bezpečnost. Legislativa, povinnosti a typy kybernetických útoků
Zabezpečení sítě je postup zabezpečení počítačové sítě před vetřelci, ať už jde o cílené útočníky nebo oportunistický malware.
Zabezpečení aplikací se zaměřuje na udržení softwaru a zařízení bez hrozeb. Kompromitovaná aplikace by mohla poskytnout přístup k datům, která má chránit. Úspěšné zabezpečení začíná ve fázi návrhu, dlouho před nasazením programu nebo zařízení.
Zabezpečení informací chrání integritu a soukromí dat, jak při ukládání, tak při přenosu.
Provozní bezpečnost zahrnuje procesy a rozhodnutí pro manipulaci a ochranu datových aktiv. Oprávnění, která mají uživatelé při přístupu k síti, a postupy, které určují, jak a kde mohou být data uložena nebo sdílena, to vše spadá pod tento segment.
Obnova dat po útoku a kontinuita provozu definují, jak organizace zareaguje na kybernetický bezpečnostní incident nebo jakoukoliv jinou událost, která způsobí ztrátu výpočetních operací nebo dat. Zásady obnovy po havárii určují, jak organizace obnoví své operace a informace, aby se vrátily do stejné provozní kapacity jako před událostí. Kontinuita podnikání je plán, ke kterému se organizace vrátí, zatímco se snaží fungovat bez určitých zdrojů.
Vzdělávání koncových uživatelů se zabývá nejvíce nepředvídatelným faktorem kybernetické bezpečnosti, tedy lidmi. Kdokoliv může nechtěně nahrát virus do jinak zabezpečeného systému tím, že nedodrží správné bezpečnostní postupy. Naučit uživatele odstraňovat podezřelé e-mailové přílohy, nezapojovat neidentifikované USB disky a různé další důležité lekce jsou zásadní pro bezpečnost každé organizace.
V souvislosti s kybernetickou bezpečností se můžete setkat také s velmi blízkým pojmem informační bezpečnost. Rozdíly jsou následující:
V České republice jsou v oblasti kybernetické a informační bezpečnosti zásadní:
Na úrovni Evropské unie jsou zásadní:
Ať už se jedná o malý nebo velký podnik, kybernetická bezpečnost je v dnešní době nutností pro všechny. Je to proto, že převážná část našich aktiv a většina lidí jsou online a sdílí někdy velmi důležité informace. Přestože online prostředí nám usnadňuje život, je třeba si uvědomit také fakt, že to ohrožuje naše soukromé informace. Mohou totiž velmi snadno uniknout a nikdo si toho nemusí ani všimnout. Únik takových informací může mít naprosto zničující dopady.
V případě kybernetického útoku na firmu to může znamenat i krach. Zaplatí vysokou cenu, což může způsobit obrovskou ztrátu příjmů a v konečném důsledku přerušení podnikání. Mezi nejčastější dopady patří:
Podstatně horší následky však může mít kybernetický útok na již zmiňovanou kritickou infrastrukturu státu (KI), jako jsou např. banky, nemocnice, vzdělávací a výzkumné organizace, železnice, letecká doprava apod. V takovém případě může dojít až extrémně závažným dopadům.
Podle bezpečnostních expertů (Czech Point) proběhlo na české firmy v roce 2021 přes 1000 kybernetických útoků týdně. Celosvětový průměr byl pak 900 útoků na organizaci. Vysokému tlaku hackerů čelilo v posledních letech také české zdravotnictví:
Povinnosti v oblasti kybernetické a informační bezpečnosti mají pouze vybrané orgány a osoby uvedené v § 3 zákona č. 181/2014 Sb. Ostatní osoby a subjekty (firmy, podnikatelé a jiné organizace) žádné zákonné povinnosti sice nemají, ale riziko kyberútoku a následného vydírání, které může mít ekonomicky devastující účinky, se týká i jich. Proto důrazně doporučujeme všem firmám bez rozdílu jejich velikosti nebo počtu zaměstnanců, které nakládají s citlivými informacemi, aby smysluplně investovali do prevence a ochrany proti kybernetickým útokům. Základními pilíři jsou v této oblasti: znalost problematiky, školení zaměstnanců a kontrola.
Znalost problematiky kybernetické bezpečnosti je základním předpokladem pro efektivní ochranu před útočníky. Každý, komu na bezpečnosti záleží, musí vědět:
Znalost problematiky kybernetického světa do určité míry závisí na výši rizika daného subjektu. Úplně jiné znalosti musí mít bankéř, správce IT sítí nebo vývojář webových systémů než sekretářka či operátor telefonní linky. Základy musí mít ale všichni stejné.
Zodpovědná firma ví, že jedním z nejkritičtějších faktorů v oblasti kybernetické bezpečnosti je lidská chyba a neznalost. Právě člověk, v tomto případě zaměstnanec firmy, představuje jednu z nejzávažnějších hrozeb, protože mnoha útokům může zabránit. Zaměstnanec nemá zkušenosti, ani útok nepozná, někdy ho dokonce potvrdí. Je to způsobeno tím, že neví, protože ho na to nikdo neupozornil. V konečném důsledku je to však chyba zaměstnavatele. Neproškolil, neseznámil!
S vysokou naléhavostí proto doporučujeme všem firmám, podnikatelům a ostatním organizacím, které disponují, pracují nebo jinak nakládají s důležitými a citlivými informacemi, které by mohly ohrozit jejich podnikatelskou činnost, aby vzdělávali své zaměstnance v oblasti kyberbezpečnosti. Oproti škodám, které mohou vzniknout v důsledku zdařeného útoku, je investice do kyber vzdělanosti vašich zaměstnanců naprosto zanedbatelná.
Vzdělávání zaměstnanců v oblasti kybernetiky má samozřejmně více úrovní podle toho, s jak citlivými daty pracujete a jak vysoké je riziko ohrožení. Správci informačních sítí budou potřebovat podstatně složitější a detailnější školení než řadový administrativní pracovník. Proto se při hledání správné vzdělávací platformy zaměřte na druh znalostí, které jsou pro vaše zaměstnance potřeba. Obecně lze úroveň znalostí rozdělit na tři kategorie: základní, pokročilá a vysoká. Některé specifické profese pak mohou mít ještě speciální profesní doplňky.
Pro administrativní pracovníky základní úrovně lze využít např. naše online školení informační a kybernetické bezpečnosti s profesním doplňkem pro bezpečné ukládání souborů. Toto školení seznámí vaše zaměstnance se základními bezpečnostními pravidly. Obsahuje např. tyto lekce:
Více informací se dočtete na stránce Školení informační a kybernetické bezpečnosti.
Protože kybernetický prostor se neustále vyvíjí a hackeři přichází se stále sofistikovanějšími útoky, je naprosto zásadní držet krok, tzn.: pravidelně kontrolovat funkčnost bezpečnostních systémů a přijatých opatření a v případě potřeby nebo doporučení provádět aktualizace týkající se nejen softwarových a hardwarových řešení, ale samozřejmě také vzdělávání.
Kontrolu funkčnosti bezpečnostních systémů (např. antivir, firewall) a dalších přijatých opatření, které mohou představovat např. dodržování interních postupů, je dobré provádět nezávislým auditorem, který se specializuje na kybernetickou ochranu a bezpečnost. V mnoha případech na tuto práci stačí správci IT sítí a podobní specialisté. Otázkou je, do jaké míry jsou k těmto úkonům oprávněni. Záleží na složitosti provozu a bezpečnostních požadavcích daného subjektu.
Aktualizace ochranných softwarových systémů, jako jsou antiviry, lze většinou provádět na uživatelské úrovni. Nicméně opět záleží na rizikovosti a požadavcích bezpečnosti. V každém případě kontrolujte a aktualizujte své systémy.
V brzké době vás budeme kontaktovat.
Přidejte se k nám
Potřebujete doplňující informace o službách BOZP a PO či zpracovat konkrétní nabídku? Rádi vám odpovíme na jakýkoli dotaz, případně zpracujeme cenovou nabídku. Na dotazy či poptávky odpovídáme obratem, nejpozději do 24 hodin.
obecný dotaz
poptávka po komplexních službách
V brzké době vás budeme kontaktovat.
Přidejte se k nám
V brzké době vás budeme kontaktovat.
Přidejte se k nám
Společnost CRDR s.r.o. je pojištěna u Pojišťovny VZP, a.s. na pojištění odpovědnosti za škodu z provozní činnosti v oblasti BOZP a PO, pod číslem smlouvy 1200112441, se základním pojistným limitem 20 000 000,- Kč. Certifikát o pojištění poskytneme na vyžádání.
Vyberte ze seznamu:
● Jsem zaměstnavatel
● Jsem živnostník (mám-li zaměstnance)
● Jsem majitel objektu
● Jsem developer/investor
Přidejte se k nám
