Kybernetická bezpečnost se stává klíčovým tématem pro všechny společnosti bez ohledu na jejich velikost. Jak říká Radim Trávníček, CEO a zakladatel společnosti BESECURED, která se na tuto oblast specializuje, firmy se dnes potýkají s několika zásadními výzvami. „Mezi ty největší patří rostoucí sofistikovanost kybernetických útoků – od ransomwaru přes phishing až po DDoS –, dále pak nedostatek kvalifikovaných odborníků a v neposlední řadě nutnost splnit náročné legislativní požadavky, jako jsou směrnice NIS 2 nebo DORA,“ shrnuje Trávníček.
V čem konkrétně BeSecured firmám pomáhá?
Naším cílem je vytvářet pro klienty bezpečné prostředí, ve kterém mohou s důvěrou rozvíjet své podnikání. Pomáháme nastavovat bezpečnostní strategii, procesy i technologie a zároveň školíme zaměstnance. Nabízíme expertní konzultace, bezpečnostní audity (systémové i penetrační testy) a vzdělávání v oblasti kybernetické a informační bezpečnosti – pro běžné pracovníky, management i specialisty. V případě potřeby zajišťujeme také outsourcing bezpečnostní role – specialistu, který v předem dohodnuté časové dotaci bezpečnost řídí a rozvíjí přímo v prostředí klienta.
Specializujeme se na budování bezpečnostní kultury a implementaci bezpečnostních standardů (např. ISO 27001, TISAX, PCI DSS) a zajištění souladu s legislativou (ZKB, NIS2, GDPR, DORA).
Jaké chyby firmy nejčastěji dělají při zavádění kybernetické bezpečnosti a ochraně svých dat a systémů?
Tou nejčastější je podcenění lidského faktoru – většina útoků vzniká kvůli phishingu nebo nedbalosti zaměstnanců. Častým problémem je také slabá podpora ze strany vedení, což znamená nedostatek zdrojů pro rozvoj a řízení bezpečnosti. Firmy také někdy příliš důvěřují dodavatelům, aniž by pravidelně prověřovaly, jak mají bezpečnost skutečně zajištěnou.
Z technického hlediska je častou chybou neaktualizovaný software, absence nástroje pro detekci podezřelých událostí, nesprávné řízení přístupů a podceněné nebo zcela chybějící pravidelné bezpečnostní audity a kontroly.
„Tou nejčastější chybou je podcenění lidského faktoru – většina útoků vzniká kvůli phishingu nebo nedbalosti zaměstnanců.“
Změnily se v poslední době kybernetické hrozby a jakou roli v tom hraje umělá inteligence?
Narůstá počet ransomwarových útoků, sofistikovaných phishingových kampaní i DDoS útoků. Firmy si rizika více uvědomují, ale mnohé stále nepřijaly základní opatření, jako je dvoufaktorová autentizace či segmentace sítě.
AI dnes slouží oběma stranám – útočníkům k vylepšení technik, nám k detekci anomálií, odhalování rizik a rychlé reakci na incidenty.
Mnoho firem dnes řeší, jak se připravit na nové legislativní požadavky, jako je směrnice NIS 2. Umíte jim v tom pomoci?
Ano. Nejprve zanalyzujeme aktuální stav bezpečnosti u klienta, odhalíme nedostatky a pomáháme s implementací potřebných opatření – od dokumentace přes technologická řešení až po procesy jako jsou reakce na incidenty, správné zálohování, postupy obnovy nebo vyhodnocování zkušeností. Při budování bezpečnosti dochází často k vytváření nových činností a procesů, které někdo může označit za zpomalující nebo zbytečně komplikující. Věřte mi, že se jedná o nástroje, které chrání firmu před chybami, které by ji později, v případě kybernetického útoku, mohly stát výrazně více peněz.
Co podle vás budou největší výzvy v oblasti kybernetické bezpečnosti v příštích letech? Na co by se firmy měly připravit?
Z naší zkušenosti, a vidíme to bohužel často, se jedná o zabezpečení OT zařízení, jelikož ta s sebou nesou zpravidla technologický dluh a prakticky nemožnost cokoliv zabezpečit. U novějších OT zařízení jsou možnosti zabezpečení lepší, ale ne každá společnost je ochotna investovat řádově miliony korun na obnovu jen z důvodu bezpečnosti. Dále to bude kvantová kryptografie a výrazně větší rizikovost prolomení šifrovacích algoritmů a v neposlední řadě také rostoucí počet legislativních rámců pro řízení bezpečnosti, což může být pro společnosti matoucí.
Jaký význam přikládáte na vzdělávání zaměstnanců v oblasti kybernetické bezpečnosti a jaké metody se vám osvědčily?
Nesmírný. 95 % všech bezpečnostních incidentů způsobují zaměstnanci. Ne pouze ti řadoví, kteří mohou kliknout na škodlivý odkaz v emailu, ale například také neproškolení nebo nezkušení IT administrátoři nebo vedení. Proto máme připravené vzdělávací programy pro všechny zmíněné skupiny, které obsahují kontinuální připomínání, a hlavně vysvětlování problematiky bezpečnosti a dávají odpověď na to „proč“ musíme dodržovat konkrétní pravidla nebo se chovat určitým způsobem. E-learning jednou za rok jednoduše nestačí.
Pořádáte různá školení pro manažery kybernetické a informační bezpečnosti, které pokrývají širokou škálu regulací a norem. O jaké oblasti je mezi firmami největší zájem a jak jim vaše kurzy pomáhají v praxi?
Aktuálně jsou to kurzy Manažer informační a kybernetické bezpečnosti a Auditor informační a kybernetické bezpečnosti. Díky naší mnohaleté praxi s jednotlivými regulacemi a standardy v bezpečnosti umíme konsolidovat jednotlivé požadavky regulací a norem do tematických bloků a tím školení zefektivnit. Bezpečnost je totiž jen jedna.
„jedná o nástroje, které chrání firmu před chybami, které by ji později, v případě kybernetického útoku, mohly stát výrazně více peněz.“
Máte nějaká nejdůležitější doporučení, která byste firmám dal, aby snížily riziko kybernetických útoků?
V první řadě akceptovat fakt, že dříve nebo později vás nějaký incident postihne. Nemusí mít hned katastrofální následky pro společnost, ale nastane. A proto je potřeba být připravený takové situace včas odhalit, na daný incident reagovat a vyřešit ho, v případně potřeby obnovit data a systémy ze záloh a přijmout vhodné opatření, aby se nám to příště už nestalo. A v době, kdy žádný incident neřeším, pravidelně testovat bezpečnost, vzdělávat zaměstnance a pečlivě řídit rizika nejen dodavatelského řetězce.
Mohl byste sdílet příklad úspěšné implementace bezpečnostního řešení u některého z vašich klientů a jaké byly klíčové faktory tohoto úspěchu?
Za 5 let naší existence jsme už pomohli desítkám společností různých velikostí, od mikropodniků až po nadnárodní korporace. Zpravidla se jednalo se o zajištění souladu s legislativou nebo přípravu na bezpečnostní certifikaci. Oborově nejsme jinak vyhranění. Zákazníky jsou ze všech možných segmentů, od dodavatelů v automotive, přes vývojové a technologické společnosti, výrobní podniky, energetiku, telco providery, finanční instituce jako banky, fondy a pojišťovny až po zdravotnictví a logistiku. Nejdůležitějším faktorem úspěchu u všech našich klientů je chuť a zájem tuto problematiku řešit. To je pak „polovina práce hotová“ ještě dříve, než začneme.
Děkuji za rozhovor.
Zdroj: Radim Trávníček, BESECURED
