- Josef Javora
„Nemocnice se nikdy nedokáže dobře připravit a dobře se ubránit kybernetickému útoku…“ Souhlasíte?
Aktualizováno: 23. 1. 2020
Slova technického ředitele benešovské nemocnice, která zazněla v Událostech České televize (1'44"):
Lidsky je toto konstatování samozřejmě pochopitelné – pro subjekt zpracování, jakým se cítím být, těžko akceptovatelné. Kdyby na informační bezpečnost takto rezignovaly banky, asi bychom přicházeli o své úspory denně.
Celý TV vstup skutečně vyznívá rezignovaně: …s útoky je třeba počítat, nedá se jim ubránit, je to prostě smůla a skutečnost, na kterou si musíme zvyknout. V daném případě je dnes odhadovaná škoda již přes 50 mil. Kč.
Co z toho vyplývá? Pokud se bránit neumíme (riziko evidentně existuje, a finanční částka je vysoká) pak máme za povinnost toto riziko ohodnotit a jeho možné dopady popsat a patřičně vyčíslit ve výroční zprávě společnosti. Dochází totiž v podstatě k akceptaci vysokého rizika.
Statutár společnosti by se tím měl vážně zabývat. Hledat za pomocí odborníků technické a organizační opatření, aby riziko snížil. Auditoři nemocnic by se měli řízením tohoto rizika zabývat v auditní zprávě.
Statutární odpovědnost, do které bezpochyby informační bezpečnost patří, je možné delegovat na odpovědného pracovníka. Je však nutné si uvědomit, že tím odpovědnost v žádném případě nekončí. Bohužel jsme často svědky snaze o její přesunutí na technicky zdatnějšího kolegu – nejčastěji na IT manažera. Je to asi podobné, jako bychom nechali odpovědnost za bezpečnost budovy a majetku na vedoucího oddělení zámečníků. Ten sice zámkům a jejich bezpečnosti rozumí nejlépe. Je však logické, že nemůže správně rozhodnout, kdo bude mít od čeho klíče, jaké budou vnitřní směrnice o pohybu osob a kolik prostředků investujeme do bezpečnosti.
Pokud budeme takto jednat, dá se chápat povzdech takového zámečníka, že se ve firmě, jako je ta jejich, prakticky nedá krádežím zabránit – vždyť lepší zámky už na trhu nejsou a více zámků se na jedny dveře nedá nainstalovat.
Zní to absurdně? Ano, ale bohužel je takový stav ve firmách a organizacích běžný. Když se budeme bezpečností zabývat s patřičnou odpovědností dojdeme k názoru, že je vhodné najít někoho zvenčí, kdo netrpí naší provozní slepotou, kdo se s rizikem, kterému čelíme, již setkal, kdo zhodnotí rizika a navrhne opatření. A je jistě rozumné si takového odborníka čas od času pozvat na kontrolu, zda se uvnitř firmy dodržuje, co jsme si nastavili a porovnal minulý stav bezpečnosti s výzvami dnešní doby.
Zajímavé je, že v oblasti daňové problematiky, pojištění, bezpečnosti práce, požární bezpečnosti a práva jsme si na takový způsob práce zvykli.
Kolik ztrát a průšvihů nás čeká, než si toto uvědomíme?
Můžeme se mylně domnívat, že benešovská nemocnice je výjimkou. Že ta naše firma je patřičně zabezpečena (vždyť IT kolega je pověstný svými znalostmi, schopnostmi i loajalitou). To však bohužel nestačí.
Vzpomeňte si na příklad šikovného zámečníka. A nenechte se hacknout!
Máme řešení pro malé i velké subjekty, které rozhodně nevyjde draho: Malý zlomek oproti hrozícím ztrátám z kyberútoku. Od jednotlivé licence až po banky a korporace.
Thor Foresight Enterprise firmy Heimdal Security získal cenu Antiransomware of the year 2018.
U nás pak cenu „Pozoruhodný produkt pro rok 2020“ od redakce Business IT.
Stejnou cenu získal produkt Mailsentry od Heimdal Security, který účinně chrání proti podvrženým e-mailům i tzv. CEO fraudům, kdy se útočník vydává za manažera oprávněného zadávat platby.
Tato kombinace postačí na vysoké procento ochrany proti takovým hrozbám! Zatímco záchyt ransomwaru antiviry nové generace je blízký nule, v případě proaktivní ochrany Heimdal Security se pohybuje kolem 95%.
