Začínající podnikatelé se potýkají s celou řadou administrativních i technických záležitostí, které musí vyřešit, aby jim živnost prosperovala. S narůstajícím tempem digitální transformace prostupují moderní technologie stále více oblastí podnikání.

Tyto změny se týkají způsobu, jakým společnosti fungují, komunikují a spolupracují se svými klienty, partnery a zaměstnanci. Nové technologie s sebou ale kromě usnadnění rutinních činností přinášejí i vyšší nároky na svou správu a zabezpečení. Aby počítače a IoT technologie sloužily svým pánům, musí mít zajištěný pravidelný servis, aktualizace svých systémů a ochranu před všemi kybernetickými hrozbami. O tom, jak zabezpečit firmu po kybernetické stránce, jsme si popovídali s Petrem Kubošem, regionálním obchodním manažerem ve společnosti Kaspersky LAB Czech Republic s.r.o.

Představují vůbec v praxi malé a střední podniky lákavé cíle pro kyberzločince?

Menší firmy si mohou připadat jako nezajímavý cíl, ale realita je často jiná. Pracují totiž s obchodními daty, která jsou velmi atraktivní. Navíc pro ně představují pootevřené dveře do počítačů a systémů firemních zákazníků a partnerů. Samotní kyberzločinci pak často pracují s faktem, že malé a střední podniky zřídkakdy věnují své IT bezpečnosti dostatečnou pozornost. Oproti velkým firmám implementují méně nebo hůře vybavené IT bezpečnostní prvky.
Nezájem o bezpečnost nebo nedostatečná ochrana může mít vážné následky pro chod firmy, bez ohledu na její velikost. V současnosti se průměrné náklady spojené se zotavením z kybernetického útoku pohybují okolo 2 736 000 Kč. Většinou se škody spojené s kyberútokem netýkají pouze financí, ale i poškození pověsti firmy nebo ztráty zaměstnanců.

Co by tedy měly firmy pro svou bezpečnost udělat především?

Jedním z prvních a nejdůležitějších kroků by mělo být nastavení a zavedení firemních pravidel IT bezpečnosti. S tímto kodexem je důležité všechny zaměstnance seznámit a zajistit jim odpovídající školení zaměřené na problematiku IT hrozeb a bezpečnosti. V těsném závěsu by mělo následovat implementování a využívání specializovaného bezpečnostního řešení, které ochrání digitální zařízení a celou infrastrukturu.

Jaký mají pravidla IT bezpečnosti pro firmu význam?

I když jejich vytvoření často představuje zdrojově náročný proces, v dnešní době jde o určitou nutnost. Zaměstnanci díky nim získají přehled o pravidlech a očekáváních ohledně bezpečnosti hesel nebo zjistí, jak chránit soukromí zákazníků. Chyby nebo nedopatření na straně zaměstnanců jsou totiž jednou z nejčastějších příčin firemních IT bezpečnostních incidentů.
Nejspolehlivějším nástrojem, jak se chyb zaměstnanců vyvarovat, jsou pravidelná IT školení přímo ve firmě. Díky nim se minimalizuje riziko nezaviněných chyb, ale také ohrožení ze strany hackerů, kteří se technikami sociálního inženýrství snaží zneužívat lidskou nepozornost nebo softwarovou zranitelnost.

A jak můžeme účinně chránit firemní zařízení?

Ať už jde o servery, počítače, nebo další připojená zařízení, nastavte na nich ochranné systémy a pravidelně je aktualizujte. Bezpečnostní software od Kaspersky LAB pro malé firmy představuje ekonomickou volbu, která chrání notebooky, stolní počítače a servery, ale také zařízení s Androidem proti škodlivým softwarům – phishingu, ransomwaru a dalším internetovým hrozbám. V neposlední řadě také poskytuje vyšší ochranu internetovému bankovnictví a finančním transakcím. Nainstalování, nastavení a správu tohoto řešení zvládnou i zaměstnanci bez větších zkušeností s IT bezpečností. Jeho provoz je ale možné i celkově outsourcovat.

Firmy a jejich zaměstnanci často pracují s cennými daty. Co udělat pro jejich spolehlivé zabezpečení?

V praxi znamená zabezpečení nejenom zabránění přístupu pro kyberzločince, ale také pravidelné zálohování všech dat a souborů. Pokud firma není pro tyto účely vybavena dostatečnými technologickými možnostmi nebo personálem, je vhodné pro zmíněné důležité úkony využít služeb specializovaných firem.
Dále je nutné všechny počítače a mobilní zařízení chránit silnými hesly. Jedním z hlavních pravidel IT bezpečnosti je používání silných bezpečnostních hesel a kódů. Nastavte také 90denní lhůtu na vypršení hesla – tímto způsobem si uživatelé budou muset měnit hesla každý čtvrtrok.

Platí obdobné zásady i pro práci s osobními údaji?

Velmi podobné. Zásady firemní IT bezpečnosti dnes musí být v souladu s přísnými standardy nařízení GDPR. Ujistěte se proto, že uchováváte pouze nezbytně nutné množství osobních údajů svých zaměstnanců a zákazníků. Ty by měly být uloženy v heslem chráněných složkách a přístup k nim mají mít pouze vybrané osoby. Data rovněž pravidelně zálohujte. Svá zařízení navíc zabezpečte také fyzicky – eliminujete tím možnost útoku, kdy firemní zařízení vynese mimo pracoviště zaměstnanec, zákazník nebo zcela cizí člověk.

Často slyšíme o ransomwaru, spamu nebo o počítačových virech. Na jaké méně známé kybernetické hrozby by si malé firmy měly dávat pozor?

Malé a střední podniky jsou nejčastěji vystaveny hrozbám s nižší úrovní sofistikovanosti jako jsou viry nebo software shromažďující data bez povolení. V současnosti ale útok může přijít z mnoha směrů. Cloudová úložiště, čím dál častější využívání chytrých mobilů a dalších digitálních kanálů nabízí hackerům široké možnosti. Ti navíc využívají techniky sociálního inženýrství k tomu, aby zneužili slabé stránky lidského faktoru – nepozornost nebo nevědomost zaměstnanců.
Někdy až nečekanou hrozbu může představovat i ta nejzákladnější IT infrastruktura, jakou jsou špatně zabezpečené Wi-Fi sítě. Kvůli jejich rádiovému připojení stačí k proniknutí do sítě několik poměrně lehce dostupných softwarových nástrojů. Ačkoliv jsou
Wi-Fi zařízení vybavena funkcemi zabezpečení, které zabraňují nechtěným útokům, většina z nich má tyto funkce ve výchozím nastavení vypnuty pro usnadnění práce. Při používání bezdrátových přístupů se proto ujistěte, že máte zabezpečení aktivované. Tímto způsobem můžete omezit možnost připojení k Wi-Fi síti pouze v pracovní době, a zabránit tak nočním útokům hackerů. Podobně zabráníte přístupu kolemjdoucích k vašemu připojení, a to nastavením sítě pro přístupové body specifických počítačů.

za rozhovor poděkoval Pavel Kačer