S ochranou digitálních informací, zařízení a aktiv se setkáváme denně. Zabezpečení osobních mobilních telefonů heslem, gestem, otiskem prstů či skenem obličeje je dnes již nepřekvapivým standardem. Stejně tak je zcela běžné dvoufaktorové ověřování při přihlašování do elektronického bankovnictví pomocí hesla a kódu z SMS či mobilní aplikace.
Zabývá se ale i vaše firma zabezpečením proti možnému zneužití dat a zařízení? Právě malé a střední podniky mohou být často terčem útoků internetových pirátů, protože na jedné straně jsou pro ně jejich digitální data (a nejen ta) nepostradatelným aktivem, a na druhé straně je otázka pravidel kybernetické bezpečnosti pro ně tak trochu španělskou vesnicí.
Základní pravidla kybernetické bezpečnosti
1. Pravidelně a úplně zálohovat, zálohy ukládat odděleně, šifrovat a pravidelně testovat.
2. Pravidelně aktualizovat všechna koncová zařízení (počítače, telefony), ale také servery, routery, tiskárny či jakákoli jiná technická zařízení.
3. Nepoužívat jedno univerzální heslo k přístupu do všech služeb, hesla mít dostatečně silná.
4. Kde to služba umožňuje, vždy používat vícefaktorové zabezpečení.
5. Hesla, PIN kódy, API klíče či jakékoli jiné citlivé informace ukládat v kvalitním password manageru.
6. Pro internetové připojení vždy použít kvalitní modem či router, zabezpečený silným heslem.
7. Wifi síť mít zabezpečenou silným (a nesdíleným) heslem, pro hosty mít oddělenou wifi síť.
8. Nikdy do zařízení nestahovat a neinstalovat nedůvěryhodný SW, aplikace či třeba rozšíření do internetového prohlížeče.
9. Dbát na ochranu svého internetového bankovnictví, přístup nikdy nesdílet a pro internetové platby mít vyhrazenou kartu (či používat jednorázovou kartu, umožňuje-li to vaše banka).
10. Pravidelně a koncepčně vzdělávat sebe i své zaměstnance v oblasti kybernetické bezpečnosti.
Tato základní pravidla jsou sice jednoduchá, ale v praxi z nich pro spoustu z nás vyvstává více otázek či odpovědí. A přiznejme si bez mučení, že právě to nás občas vede k preferenci pštrosí taktiky před faktickým řešením problému.
Ztrácíte se?
Jenže ono je těch otázek skutečně víc, než odpovědí… Jak zajistit, abychom nic neopomněli a v zavedených pravidlech se nevyskytla nějaká bezpečnostní díra? Jak prakticky zavést dvoufaktorové ověření? Kde to zrovna u nás dává smysl a kde by to bylo „s kanónem na vrabce“? Jak prakticky zařídit, aby měl každý zaměstnanec do každé jedné služby jiné heslo? A není nebezpečné mít všechna hesla na jednom místě (v password manageru)? Který password manager je bezpečný? Jak zaměstnance přesvědčit k praktickému a důslednému dodržování pravidel? Jak poznat (a případně zaměstnancům definovat) nedůvěryhodný software?
Anebo také: Jaký je nejbezpečnější způsob komunikace, pokud sdílím (nejen citlivá) data klientů? Kde je nejlepší taková data ukládat? Jak prakticky zajistit pravidelné zálohování a šifrování záloh? Jaká jsou pravidla bezpečné komunikace s AI? Jak by měla vypadat firemní pravidla používání AI zaměstnanci? Jak zajistit, aby i odpůrci začali s AI pracovat? Anebo používání AI raději zakázat? A to určitě nejsou zdaleka všechny.
Jak mají firmy uchopit kybernetickou bezpečnost?
Téma kybernetické bezpečnosti bude navíc stále více aktuální s postupující digitalizací, a to nejen v soukromé sféře, ale i na straně státu (e-občanka, elektronické stavební řízení…). Otázka kybernetického zabezpečení tedy bude s postupem času nabývat na důležitosti. Řešit ji co nejdříve však může přinést kromě klidu a „čistého svědomí“ také konkurenční výhodu.
A protože důležitost kybernetické bezpečnosti bereme vážně, ale nechtěli jsme se jí zabývat pouze „na papíře“, navázali jsme užší spolupráci s profesionálem v oblasti datové analytiky a kybernetické bezpečnosti Štěpánem Horákem.
Společně vám tak nyní umíme otázky spojené se zaváděním kybernetické bezpečnosti ve Vaší společnosti zodpovědět a vyřešit jak po stránce právní (tedy hlavně ošetřit odpovědnost za případné bezpečnostní incidenty), tak i po stránce praktické a funkční.
Se Štěpánem jsme současně za jedno v tom, že funkční řešení by mělo být připravené vždy na míru a také v tom, že nemusí ani malou nebo střední firmu stát neúnosný balík.
Největší slabina kyberbezpečnosti jsou lidé
Protože navíc kybernetická bezpečnost firem stojí hlavně na lidech, věnujeme se v rámci zavádění pravidel kybernetické bezpečnosti do firem také lidem a otázkám, které je v této oblasti zajímají i v soukromé sféře. Výsledkem je, že i ti největší odpůrci si mnohdy vezmou kybernetickou bezpečnost za svou. Tím se nejen zvýší efektivita všech opatření, která ve firmě zavádíte vy, ale jedná se i o velmi užitečný a zcela jistě zajímavý zaměstnanecký benefit, který je současně daňově uznatelný (jako náklad na vzdělávání v souvislosti s výkonem zaměstnání).
Pokud o skutečně efektivním a funkčním zavedení pravidel kybernetické bezpečnosti do své firmy uvažujete, klidně se nám ozvěte a řekněte si o více informací, co a jak můžeme v oblasti kybernetické bezpečnosti udělat přímo pro vaši firmu.
V případě, že byste se chtěli o kybernetické bezpečnosti nejprve dozvědět více sami, pak doporučujeme k prostudování Minimální bezpečnostní standard vydaný NÚKIB anebo v otázkách spíše souvisejících s právní oblastí zajištění kybernetické bezpečnosti Požadavky na smlouvy s dodavateli, rovněž z dílny NÚKIB.
Proč to řešit teď?
Co nevidět začne platit AI Act, nařízení Evropské unie o využívání umělé inteligence. Závazné bude sice až za dva roky, ale důrazně doporučujeme se tématu věnovat raději dříve, než později. Ne kvůli nařízení jako takovému, ale benefitům, které vaší firmě přinese mít tuto agendu pod kontrolou.
Dílčí části AI Actu však budou vymahatelné už zanedlouho. Od února bude platit povinnost školení zaměstnanců v oblasti AI gramotnosti. Účastnit se budou muset jak „kancelářská“ oddělení jako marketing a HR, ale také například oddělení vývoje nebo IT.
Školení má přispět k lepší efektivitě zaměstnanců díky správnému využívání nástrojů umělé inteligence a také k seznámení s pravidly, která se k jejímu využívání vážou. Ta se týkají zejména práce s citlivými údaji, ať už osobního nebo obchodního charakteru, a autorských práv.
Právě kvůli možným rizikům sdílení citlivých údajů s nástroji mimo organizaci velmi doporučujeme řešit pravidla pro využívání AI jako součást směrnic pro kybernetickou bezpečnost. Situaci, kdy není potřeba hacker, ale stačí běžný zaměstnanec, aby se důvěrná data dostala do světa, nechce řešit nikdo z nás.
