Květnové útoky na kritickou infrastrukturu v USA způsobily nejdříve nedostatek benzinu na severovýchodě země a následně ochromily produkci v závodech na zpracování hovězího masa. Pro případy hackerů ale nemusíme chodit do zámoří, Národní úřad pro kybernetickou a informační bezpečnost před nimi varuje pravidelně, naposledy letos v dubnu. Během dvou let se s útoky hackerů potýkaly například české nemocnice, Národní knihovna nebo Správa železnic.
České firmy spadající do kritické infrastruktury ale na své bezpečnosti intenzivně pracují. "Úroveň jejich zabezpečení je na velmi solidní úrovni," řekl v debatě Hospodářských novin o trendech v bezpečnosti firem a kritické infrastruktuře Martin Bajer, ředitel rozvoje obchodu ve společnosti TTC Marconi, která je dodavatelem komunikačních sítí a specializuje se na provoz a bezpečnost v energetice, telekomunikacích či dopravě. Podle Bajera však existuje řada malých a středních firem, které si myslí, že se jim nemůže nic stát.
Zástupci společnosti ČEZ a státní organizace Správa železnic v debatě zdůraznili, že právě ochrana kyberprostoru je pro ně zásadní. "Je to jedna z hlavních oblastí, které se věnujeme," uvedl ředitel odboru bezpečnosti a krizového řízení Správy železnic Vladimír Abraham.
Svou pozornost dále zaměřují na infrastrukturu, provoz elektráren či nádražních budov, rovněž zajišťují bezpečnost svých zaměstnanců. "Kybernetická ochrana je velké téma. Náš byznys je závislý na informačních a komunikačních technologiích, pokud by došlo k jejich výpadku, ovlivní to celý náš byznys," doplnil bezpečnostní ředitel ČEZ Daniel Rous.
Martin Hromada z Univerzity Tomáše Bati ve Zlíně v debatě zmínil ještě jeden bezpečnostní fenomén, na který by společnost neměla zapomínat, a tedy ochranu člověka a lidských životů. Podle něj je pro útočníky mnohem snazší napadení takzvaných měkkých cílů, tedy například obchodních center či kulturních akcí, než snaha poškodit kritickou infrastrukturu.
"Jsou to cíle s velkou koncentrací lidí, s relativně nízkou mírou zabezpečení a veřejnou dostupností. Synergie vícero hrozeb je stejně tak velký problém," řekl Hromada, který na univerzitě působí v Ústavu bezpečnostního inženýrství.
Sloučení zabezpečení snižuje dopady
Na kterou oblast bezpečnosti se firmy mají zaměřit? Jednou z možností je takzvaná konvergovaná bezpečnost, kdy organizace sloučí jednotlivé druhy zabezpečení do jednoho systému. Výhodou takového přístupu je rychlejší odhalení narušení bezpečnosti, komplexní hodnocení situace a tím minimalizace dopadů.
Účastníci diskuse pak zmínili další možnost, kdy si firmy musí definovat, co je nutné chránit. Pro někoho to mohou být data nebo přenosová síť, pro jiného technologie či lidé. "Musíte řešit, která aktiva jsou pro vás nosná, abyste věděli, že vynakládané investice do bezpečnosti se vám vyplatí," řekl Abraham.
Právě o významu lidské síly se podle ředitele odboru bezpečnosti a krizového řízení přesvědčila Správa železnic během pandemie koronaviru: "Zjistili jsme, že člověk je pro nás ústřední věc. To bylo nové. Do té doby jsme to tak nevnímali. Musíme se připravovat na hrozby, jako je vandalismus, ale také musíme připravovat pracovníky, že může dojít k omezení provozu digitálních nebo provozních aplikací a že na ně bude kladen tlak na vyšší efektivitu," vysvětlil Abraham.
Lidé a především zaměstnanci jsou pak důležitou součástí prevence, na které stojí ochrana firem. "Bezpečnostní ředitel nezajistí ochranu, ten má ostatní naučit, aby věděli, jak se mají v krizi chovat a co mají dělat. Bezpečnost tvoříme všichni dohromady," řekl Rous.
Používání domácího počítače je riziko
Za selháním jednotlivce jde například i březnový útok, kterému čelila Správa železnic. Vladimír Abraham v debatě zmínil, že hackeři využili nezabezpečeného počítače jednoho ze zaměstnanců Českých drah. Ten se kvůli pandemii koronaviru a práci z domova vzdáleně připojoval do podnikové sítě. Vzhledem k tomu, že systémy Českých drah a Správy železnic jsou sdílené, mohli útočníci ohrozit i provoz a bezpečnost na českých tratích. K tomu nakonec nedošlo.
Podle Martina Bajera z TTC Marconi se budou tyto útoky dít i nadále: "Obzvlášť nyní, kdy lidé pracují z domova a kombinují používání domácí techniky a té firemní. Proto je potřeba vysvětlovat zaměstnancům, že pro ně je možná jednodušší použít svůj domácí počítač, ale pro zaměstnavatele je to bezpečnostní zátěž."
V debatě následně zaznělo, jaký význam má edukace a prevence u zaměstnanců od nejnižších pracovních pozic až k nejužšímu vedení firmy. "První na ráně bude při teroristickém útoku asistentka, která zvedne telefon a uslyší výhrůžku. Nečekám, že bude vědět, jak vyřešit teroristický útok, ale musí vědět, jak má postupovat, čeho si všímat, co si zapamatovat a poznamenat," dodal Rous.
Čemu budou v dalších letech firmy čelit v oblasti bezpečnosti? Bajer očekává, že to budou především hybridní hrozby, šíření dezinformací či zneužívání informací. "Vezměte si, jaké osobní údaje se objevují na sociálních sítích. Lidé jsou opatrní a nechtějí na úřadě sdělit rodné číslo, ale na sociální sítě napíšou všechno. Skládání takových informací vytváří základ, aby si útočník udělal komplexní obrázek a mohl cíleně zaútočit."
