Jen necelá desetina firem v Česku si loni sjednala pojištění proti kyberútokům na počítačovou infrastrukturu. Lépe na tom jsou v této věci velké firmy. A zejména pak firmy v sektoru informačních a komunikačních činností [ICT] a v telekomunikacích.
Proti incidentům v oblasti bezpečnosti ICT může mít firma sjednané takzvané pojištění proti kyberútokům. V případě, kdy dojde ke kybernetickému útoku, pojištění firmě kryje škody na datech, nefunkčnost systému nebo třeba odpovědnost za újmu způsobenou únikem dat.
Pojištění proti kyberútokům ale měla loni podle Českého statistického úřadu [ČSÚ] sjednaná jen necelá desetina firem v ČR. Častěji měli pojištění kybernetických rizik velké subjekty [17 %] nebo středně velké firmy s 50 až 250 zaměstnanci [14 %].
Podle odvětví měl o pojištění proti kyberútokům a dalším bezpečnostním incidentům relativně největší zájem sektor Informační a komunikační činnosti, zejména pak činnosti v oblasti IT [32 %], případně telekomunikační firmy [19 %].
Rizika digitální revoluce
Podle odborníků zajištění firemních počítačových systémů a dat nabírá stále na významu. Podle Pavla Kysilky z poradenské firmy 6D současná digitální revoluce a transformace již nyní mění ekonomiku i společnost.
„Společnost má tendenci přeceňovat pozitivní efekty digitalizace, ale zapomíná na ty negativní. To je například cybercrime, cyberšikana a podobně. To nás může velice překvapit a zaskočit,“ upozorňuje ve zmíněné souvislosti.
S rozšiřováním informačních a komunikačních technologií vzrůstá i riziko jejich napadení. Loni toto řešila například společnost OKD nebo krajská nemocnice v Benešově. Firem a subjektů, které se setkávají s kyberútoky je ale mnohem více.
„Nově byla v roce 2019 zjišťována bezpečnost ICT v podnikatelském sektoru. S alespoň jedním bezpečnostním incidentem se v průběhu roku 2018 setkala více než pětina firem v Česku, tedy více než 20 procent. Z velkých firem to bylo 39 procent. Nejčastěji se jednalo o nedostupnost služeb ICT, například útok typu Denial of Service či ransomware,“ říká Eva Myšková Skarlandtová z odboru statistik rozvoje společnosti ČSÚ.
Firmy s 10 a více zaměstnanci v ČR se zkušeností s kyberútoky v roce 2018
Zdroj: ČSÚ
Dodává, že s nedostupností ICT služeb se v roce 2018 setkala téměř třetina velkých firem, čtvrtina středně velkých a 14 procent malých subjektů s deseti až 49 zaměstnanci.
Jaké jsou typy kyberútoků
Denial of Service [DoS – odepření služby] je typ útoku na internetové služby nebo stránky, jehož cílem je cílovou službu znefunkčnit a znepřístupnit ostatním uživatelům. Může k tomu dojít přehlcením požadavků či využitím nějaké chyby, která sice útočníkovi neumožní službu ovládnout, ale umožní ji rozbít. Podtypem útoku DoS je takzvaný Distributed Denial of Service [DDoS], při kterém je pro přehlcení cílové služby požadavky využito velké množství rozptýlených počítačů.
Ransomware [rogueware nebo scareware] omezuje uživatelům přístup k jejich počítačovému systému nebo souborům. Za obnovení přístupu požaduje program zaplacení výkupného. Nejnebezpečnější útoky tohoto typu má na svědomí ransomware WannaCry, Pety, Cerber, CryptoLocker a Locky.
Mezi méně časté bezpečnostní incidenty patřilo v roce 2018 zničení nebo poškození firemních dat. Setkala se s ním desetina firem v ČR, téměř pětina velkých subjektů [17 %]. Ke zničení nebo poškození dat firmy může dojít např. kvůli nakažení škodlivým softwarem nebo neoprávněnému vniknutí [útok hackerů]. S tímto typem bezpečnostního útoku se setkaly nejčastěji firmy v audiovizuálním sektoru [19 %], v elektrotechnickém či strojírenském průmyslu nebo v činnostech v oblasti IT [14 %].
Podle ČSÚ v českém podnikatelském sektoru byl v průběhu roku 2018 útok způsobující prozrazení důvěrných údajů poměrně vzácný. Zkušenost s ním přiznalo pouhé jedno procento všech firem s více než 10 zaměstnanci, z velkých subjektů to bylo pět procent. Jde o moderní formy podvodů, které cílí většinou na zaměstnance s cílem získat citlivé informace. Patří sem například phishing, pharming, kdy se útočník prostřednictvím falešné identity snaží získat důvěrné informace.
Jak se firmy chrání před hackery a viry
Podle ČSÚ nejběžnějšími opatřeními k zajištění bezpečnosti ICT byly na začátku roku 2019 pravidelné aktualizace programového vybavení. Dále používání silného hesla a zálohování firemních dat na externí uložiště. Každé z těchto tří opatření využívá více než 80 % firem v ČR s více než 10 zaměstnanci. Velkých firem je dokonce více než 95 procent.
Rozpoznávání a ověřování uživatelů pomocí biometrických metod není zatím v českém podnikatelském prostředí příliš rozšířené. V roce 2019 toto opatření používalo jedenáct procent firem, nejčastěji šlo o velké subjekty [28 %].
Více než 60 % firem používá řízení přístupu uživatelů a zařízení do podnikové sítě. Kontrolování oprávnění k přístupu do objektu nebo k firemním datům se výrazně liší v závislosti na velikosti subjektů. Správu přístupu používá 54 % malých firem, středně velkých subjektů je 85 % a velkých 96 %.
Jak firmy přistupují ke svým systémům
Téměř polovina firem v ČR [49 %] používá virtuální privátní síť [VPN], která zprostředkovává zabezpečený vzdálený přístup z jakéhokoli místa prostřednictvím internetu do firemní počítačové sítě. Používání VPN se liší podle velikosti firem. Vzdálený přístup pomocí VPN používá 93 % velkých subjektů, tři čtvrtiny středně velkých firem a dvě pětiny malých firem.
Přibližně dvě pětiny subjektů s 10 a více zaměstnanci v ČR provádějí pravidelné testy bezpečnosti ICT [39 %]. Podobný podíl firem pravidelně vyhodnocuje ICT rizika, resp. pravděpodobnost výskytu bezpečnostních incidentů [37 % firem].
Dvě pětiny subjektů s deseti a více zaměstnanci uchovávají tzv. logy [informace sítě a bezpečnostních zařízení] pro následnou analýzu proběhlých bezpečnostních incidentů. Ve všech zmíněných případech platí, že tato opatření praktikují mnohem častěji velké firmy s více než 250 zaměstnanci než malé subjekty.
Více než třetina firem v ČR používala v roce 2019 nástroje pro šifrování dat, dokumentů nebo e-mailové komunikace. Šifrovanou komunikaci využívá 30 % malých subjektů, více než 51 % středně velkých a více než 71 % velkých firem.
[U všech výše popsaných opatření platí, že jejich používání je typické pro subjekty v IT odvětví, telekomunikacích a audiovizuálním sektoru, pozn. red.]
Jak firmy pracují se svými systémy
Úkony související s bezpečností ICT vykonávali v roce 2019 častěji externisté [66 %] než vlastní zaměstnanci firem [37 %]. V případě velkých subjektů s více než 250 zaměstnanci je poměr obrácený. Ve velkých firmách provádějí činnosti související s bezpečností ICT častěji vlastní zaměstnanci firmy [79 %] než externisté [60 %], i když ani jejich podíl není rozhodně zanedbatelný.
Zajišťování povědomí o povinnostech zaměstnanců souvisejících s bezpečností ICT se ve firmách v ČR děje nejčastěji dobrovolným školením zaměstnanců, např. zveřejněním informací na intranetu. Tímto způsobem to provádí polovina firem, dvě třetiny středně velkých a 77 % velkých subjektů.
Dalších 31 % podniků seznamuje své zaměstnance s bezpečností ICT na povinných kurzech nebo pomocí povinného prostudování materiálů. Povinné školení zaměstnanců praktikují dvě třetiny velkých firem v ČR.
Zajištění povědomí o povinnostech souvisejících s bezpečností ICT se dají zakotvit například do pracovní smlouvy. Tuto možnost využívá třetina subjektů v ČR, téměř polovina středně velkých firem a 52 % velkých firem.
Bezpečnostní dokumentaci týkající se bezpečnosti ICT měla v roce 2019 třetina firem s 10 a více zaměstnanci v ČR. Šlo o čtvrtinu malých subjektů, více než polovinu středně velkých a 74 % velkých subjektů. Osm firem z deseti má bezpečnostní dokumentaci vytvořenou nebo naposledy aktualizovanou v posledních 12 měsících.
–DNA–