Bezpečnost za všechny peníze: Co všechno je v sázce?

15. 1. 2018

Sdílet

Bezpečnost firemních systémů je nejčastěji vnímána jako čistě IT záležitost. Aktuální zkušenosti ukazují, že by se o ni měli velmi intenzivně zajímat i finanční ředitelé.

Jeden aktuální příklad za všechny: gigantický únik informací až o půl miliardě uživatelských účtů klientů internetové služby Yahoo srazil hodnotu akcií firmy a ohrozil domluvenou transakci, při které má Yahoo převzít telekomunikační operátor Verizon za 4,83 miliardy dolarů. Kvůli skandálu nyní Verizon žádá až miliardovou (v dolarech) slevu z kupní ceny a stále není jisté, jestli z transakce nakonec nevycouvá. Narušení bezpečnosti sítě a odcizení dat z firemních systémů jistě nebudou mít pro každou firmu tak zdrcující následky, ale již dávno neplatí, že by se o bezpečnost mělo starat výhradně IT oddělení.

 

Co všechno je v sázce?

Útoky na firemní systémy přicházejí zvenku i zevnitř sítě a jejich cílem může být například odcizení důležitých dat nebo odstavení klíčových systémů nezbytných pro fungování organizace. Ve všech případech jde o incidenty s přímým nebo nepřímým dopadem na finanční situaci firmy. Přímé dopady lze vyčíslit například při vynucené odstávce systémů. Lze totiž celkem snadno spočítat, kolik firmu stojí nedostupnost e-shopu či jiného objednávkového systému nebo zastavení výroby či poskytování služeb kvůli narušení funkčnosti interních IT systémů. Podobně lze vyčíslit například i cenu odcizení nebo zničení dat spojených s interním vývojem či obchodním tajemstvím firmy (projekty či jiná dokumentace). Nepřímé finanční dopady vycházejí ze ztráty dobré pověsti firmy, které byly odcizeny citlivá data o klientech a možného postihu ze strany regulačních orgánů. Pro případ nemusíme chodit daleko: V loňském roce byl český T-Mobile Úřadem pro ochranu osobních údajů potrestán pokutou ve výši 3,6 milionu korun za to, že dostatečně nezabezpečil data svých klientů. Osobní data 1,2 milionu klientů vynesl ze systémů telekomunikačního operátora dnes již bývalý zaměstnanec, který je pak nabízel k prodeji.

 

bitcoin_skoleni

Přísné bezpečnostní zákony

Česká republika je díky zákonu č. 181/2014 Sb. jednou z mála zemí na světě, které pamatují na bezpečnost kritické informační infrastruktury státu a významných informačních systémů spravujících osobní data velkého množství osob. Firmy a organizace, které spadají do dikce zákona o kybernetické bezpečnosti, specifikuje předpis č. 432/2010 Sb. Zjednodušeně jde o organizace z oblasti veřejné správy, zdravotnictví, dopravy, energetiky, finančních služeb i provozovatele dalších komunikačních a informačních systémů. Tyto firmy a organizace musejí zavést preventivní opatření proti kybernetickým útokům a mají rovněž povinnost kybernetické útoky hlásit a v souladu se zákonem na ně reagovat. Pokud by povinnosti stanovené zákonem o kybernetické bezpečnosti nesplňovaly (například nebyly schopné monitorovat a hlásit bezpečnostní incidenty), hrozila by jim (opakovaně) pokuta do výše 100.000 korun. Opět se tedy dostáváme z roviny praktického řešení zabezpečení IT k hrozbě nemalého finančního postihu, který následuje ve chvíli, kdy firma nemá nastaveny zákonem požadované bezpečnostní mechanismy.