Středa 24. dubna 2024
ikona hodiny26. 2. 2024 12:14

Nic něco stojí

Česko je vnímáno jako bezpečná země, ale to neznamená, že se nám bezpečnostní incidenty vyhýbají. A nevyhýbají se ani firmám. Možná překvapivá je v tomto směru statistika FBI, která říká, že z incidentů s aktivním střelcem se více než 40 % týká firem. Bezpečí (zatím) vnímáme jako samozřejmost, ale měli bychom si uvědomit, že je to hodnota, o kterou musíme pečovat. I proto se tomuto tématu v minulém týdnu věnoval další díl ze seriálu expertních snídaní, které již více než deset let pořádá komunikační agentura COT group.

Petr Karban Petr Karban autor

šéfredaktor portálu KomoraPlus, měsíčníku Komora a magazínu Be the Best
Dlouhodobě se orientuje na ekonomická a společenská témata, podnikání, personalistiku, komunikaci, reklamu a marketing. V komunikační agentuře COT group působí také jako marketingový stratég a kreativní ředitel.

Foto: Petr Manuel Ulrych Panelová diskuse na téma Bezpečnost je komplexní pojem Foto: Petr Manuel Ulrych

Realita ukazuje, že si to neuvědomujeme, což hned v úvodu potvrdila z Izraele Gabriela Ben David: „Každý incident je trochu jiný, ale pokud bych měla zobecnit, tak platí jedno pravidlo: Pokud vidím nebo slyším něco, co je podezřelé, tak to nebudu bagatelizovat. A pokud by to něco mohlo být skutečnou hrozbou, tak první reakce by měla být izolovat se od zdroje rizika, ukrýt se do bezpečí. Často jsem ale svědkem reakce opačné – v lepším případě nedělat nic, v horším jít se podívat.“ Tu naši obecnou bezstarostnost potvrzuje i fakt, že mezi hosty této expertní snídaně bylo minimum zástupců ze segmentu malých a středních firem, přestože zváni byli. Experti přitom považují právě malé a střední firmy za rizikové – na rozdíl od velkých firem a korporací bývají jejich bezpečnostní opatření žádná nebo slabá a představují tak pro potenciální útočníky snadné cíle. A platí to ve světě fyzickém i virtuálním.

„Každá, i ta nejmenší firma, by měla mít definovanou bezpečnostní politiku a na ni navazující bezpečnostní strategii,“ poznamenal k tomu Jaromír Průša. To rozvedl Libor Šrám: „Firemní bezpečnostní politika je základním dokumentem, ve kterém jsou stanoveny firemní bezpečnostní cíle a definice pro dosažení a udržení potřebného bezpečného firemního prostředí, ke kterým se zavazuje vrcholové vedení firmy. Strategie je pak navazující dokument, který je vlastně plánem na konkrétní časové období. V něm je popsán způsob pro dosažení cílů definovaných bezpečnostní politikou. Zjednodušeně lze konstatovat, že politika definuje cíle – co a proč je potřeba chránit. A strategie popisuje, jak těch cílů dosáhnout.“

František Leiter i Jan Kozák zdůraznili téma snídaně, totiž fakt, že bezpečnost je komplexní pojem a má svou úroveň personální, procesní, technickou i technologickou. A každá z nich je nezastupitelná a nepominutelná. Minimem je skutečně definovat bezpečnostní politiku a na ni navazující dokumenty nižší úrovně. „Důležité je stanovit osobu za bezpečnost odpovědnou, což by měl být vždy někdo z vedení firmy, implementovat přiměřená technická bezpečnostní řešení, zavést pravidelná školení zaměstnanců a vyhodnocování jejich porozumění, pravidelně vyhodnocovat také stav bezpečnosti a zavést procesy na vypořádávání neustále se měnících a narůstajících hrozeb. Ten poslední bod je významný zvláště v oblasti kybernetické bezpečnosti,“ připomenul Libor Šrám.

COTakhle snídani na téma... ... Bezpečnost je komplexní pojem

V panelové diskusi se s hosty v živé diskusi o své zkušenosti podělili:

  • Gabriela Ben David – mezinárodní bezpečnostní konzultantka
  • Jan Kozák – expert na kybernetickou bezpečnost společnosti Axenta
  • František Leiter – ředitel Innovis, technologické divize holdingu M2C
  • Jaromír Průša – výkonný ředitel Asset protection agency a předseda sdružení Asis International pro Českou a Slovenskou republiku
  • Libor Šrám – expert na rizika a bezpečnost poradenské společnosti BDO

Do bezpečnosti se musí investovat

Péče o bezpečnost bezpochyby přinese zvýšené náklady. „Vnímám ji ale jako nutnost, protože pomůže ochránit aktiva společnosti a například odvrátit potenciální hrozby, nebo v případě mimořádné události zajistit kontinuitu a obnovu klíčových procesů a činnosti organizace. Bezpečnost, to není jen strážný a fyzická bezpečnost, je to skutečně komplexní obor, do kterého spadá fyzická, technická, personální i kybernetická bezpečnost, ale také Business Continuity Management a Compliance. Nicméně malé či střední firmy nemusejí hned vytvářet pozici bezpečnostního manažera nebo ředitele, ale mohou si takovou osobu za úplatu sjednat od jiné organizace, která se bezpečnosti zabývá a využít služeb sdíleného bezpečnostní managera, specialisty, který jim pomůže nastavit politiku a strategii bezpečnosti, pravidelně bude vyhodnocovat analýzu rizik, nastavovat pravidla a procesy včetně sledování nových trendů,“ zdůraznil Jaromír Průša.

Na jedno z rizik outsourcingu je ovšem třeba dát si pozor, upozornila Gabriela Ben David: „Nevím, jestli je to české specifikum, ale pořád se často na bezpečnost díváme jako na investici, která nic nepřináší, žádný zisk. To je trochu krátkozraké, protože to nic, fakt, že se nic nestane, to bezpečí, to je právě ta hodnota, o kterou jde. Ano, to nic něco stojí, ale je to investice. A když si uvědomíte, že když se něco stane, stojí to firmu miliony a často stovky milionů, je investice do bezpečí jistě efektivní. Ale vnímám jedno nebezpečí – firmy se často rozhodnou do bezpečí investovat outsourcingem a najdou si někoho, kdo to pro ně udělá na míru. Často to tím ovšem končí, nezapojují se a péče o bezpečnost neproroste do DNA firmy, do firemní kultury. A to je problém, protože je naprosto nutné, aby management i zaměstnanci znali bezpečnostní rizika a věděli, jak v případě incidentu mají chovat. Nelze prostě odpovědnost a starost o bezpečnost předat někomu zvenčí a myslet si, že mám hotovo.“

Problém jménem legislativa

Česko si skutečně zvyklo brát bezpečí jako samozřejmost – brannou výchovu na školách vystřídala výchova občanská a tu v posledních letech základy společenských věd. Vyrostla a vyrůstá tak generace, která nebezpečí nevnímá. To je zřejmá příčina obecné bezstarostnosti. A překvapivě v oblasti obecné bezpečnosti chybí i legislativa, která jinak poměrně přesně definuje bezpečnostní povinnosti například pro rizikové provozy, pro oblast požární ochrany nebo pro celou problematiku BOZP. Potřebu legislativy konstatovali v debatě i hosté. „Neumím si představit osvíceného majitele firmy, který investuje raději do bezpečnosti než do benefitů pro zaměstnance,“ zaznělo například z pléna. A problém v absenci legislativy vidí i Jaromír Průša: „Ano, vnímám to jako velký problém, protože tam kde chybí legislativa a regulace, nic nenutí společnost a především firmy, aby se danou problematikou zabývaly. Pokud jde o odpovědnost provozovatelů a majitelů měkkých cílů, kam firmy patří, tu hodnotil i Národní kontrolní úřad a konstatoval zcela jednoznačně, že v ČR stále chybí komplexní systém ochrany měkkých cílů před teroristickými útoky. Totéž platí i u Zákona o bezpečnostní činnosti.“

Cestu ukazuje kybernetický prostor

Evropa skloňuje směrnici NIS2 – ta právě zavádí pravidla, jež by experti i majitelé firem uvítali i pro svět fyzický. Směrnice nově definuje povinnosti a chování v kybernetickém světě, dříve závazná pouze pro kritickou infrastrukturu, pro tisíce běžných firem. Možná proto, že rizika v kybernetickém světě nejsou ohraničena, ale mají často celospolečenský rozměr. „Již několik let lze pozorovat nárůst kybernetických útoků nejen na organizace, ale hlavně občany, a to především na zranitelné skupiny. Staří lidé, osamělé ženy a muže. Pro tuto skupinu chybí koncepční systém edukace, i když určité snahy jsou. Zde bych na všechny apeloval, aby používali kritické myšlení. Vždy zvážit, jestli není nabídka až příliš výhodná, aby to byla pravda, nebo jestli moje banka opravdu komunikuje tímto způsobem. Ve firemním prostou jsou nadále útoky směřovaný na získání dat a následné vydírání nebo na narušení dostupnosti klíčových služeb. Roste také počet útoků na organizace v oblasti státní správy, výzkumu a školství,“ potvrdil Jan Kozák, který také shrnul aktuální stav implementace NIS2 do české legislativy: „NIS2 je projednávána legislativní radou státu, následně by ji měl projednat parlament. Transpoziční lhůta dle směrnice NIS2 požaduje účinnost nového zákona k 18. říjnu 2024. Dle průběhu legislativního procesu předpokládáme účinnost zákona koncem roku 2024. Termíny pro plnění dalších povinností pak budou záležet na finálním datu účinnosti zákona. Pořád jsme však v situaci, kdy úplně znění zákona ještě není a již jsem se poučil, že používat předpoklady je zrádné, již několikrát došlo k zásadním změnám.“

Možná je tlak na bezpečnost v kyberprostoru způsobena jedním faktorem: Zatímco hrozby ve fyzickém světě jsou často nástrojem osobní pomsty, kybernetické hrozby jsou z drtivé většiny organizovány jako velmi výnosný byznys. Což potvrzuje i celosvětová studie, která průměrnou cenu za jeden kyberincident vyčíslila na šest milionů korun. Ale jsme nepoučitelní – i v české kotlině roste počet firem, které se terčem útoků staly opakovaně.

Artificial Intelligence versus Umělá Inteligence

Pokud jde o bezpečnost, hrají dnes nepřekvapivě značnou roli technologie. Na obou stranách – využívají je totiž nejen strážci bezpečnosti, ale i útočníci. Takže bitva mezi Artificial Intelligence na straně globálního hackera a Umělou Inteligencí na straně českých firem není žádnou fikcí, ale realitou.

Zůstaňme ale na straně bezpečí. Na trhu je bezpočet senzorů a čidel, která dokáží nepřetržitě monitorovat prostor a hlídat cokoliv podezřelého, od kvality vzduchu až po zvuky, běžným standardem jsou již kamerové systémy. Všechny tyto prvky dnes mohou doplnit chytré analytické systémy. Ale ani technologie nejsou všespásné. Důvody jsou přinejmenším dva. První je ten, že na příklad mezi kamerou a kamerou může být propastný rozdíl – ta, která je vhodná k analýze chování člověka, jeho gest, mimiky a výrazu, nemá s běžnou kamerou, používanou zpravidla v místech se zvýšenou koncentrací osob, mnoho společného. Jinými slovy, při nákupu techniky je vždy zásadně důležité definovat, k jakému účelu má vlastně sloužit.

A pak je tu druhý důvod. Člověk. Moderní řešení bezpečnosti využívá služeb dohledových center, odborníci se ovšem shodují, že vyhodnocovací schopnosti personálu jsou značně omezené a v plné pozornosti žádný operátor dohledová centra nevydrží déle než pár desítek minut. Problém řeší opět technologie a především umělá inteligence. „U nás v Innovis umíme bezpečnostní hrozby velmi dobře detekovat a reagovat na ně již v rámci vteřin. S rychlým vývojem AI a strojového učení vidím velkou příležitost v rozvoji schopnosti identifikace potenciálních hrozeb dříve, než nastanou a mohou způsobit škody. Přesouváme se tedy z úrovně reaktivní bezpečnosti do bezpečnosti prediktivní. Ani to ale neznamená, že člověk je ze hry venku. Naopak, prevence a osvěta mezi zaměstnanci je naprosto klíčová. Technologie jsou jen tak bezpečné, jak bezpečně je používáme. Věříme proto a podporujeme koncept Human Firewall, ve kterém se každý uživatel stává obranou firmy, a dobrých výsledků společnosti dosáhnou právě pravidelnou osvětou a testováním všech zaměstnanců,“ zdůraznil František Leiter.

Závěr expertní snídaně na téma bezpečnost je zřejmý: Měla by se stát na všech úrovních, tedy i té firemní, jednou z priorit. A hlavní roli, přes ohromující nástup technologií, má a stále bude mít člověk.

Články autora Petr Karban

Nejnovější články

Expertní pohled
Rok 2027 narovná mzdy mezi muži a ženami

Novinka počítá s transparentností už během náborového pohovoru....

Ačkoli Eurostat uvádí rozdíl ve mzdách mužů a...

Povinné reportování čeká od června roku 2027 firmy...

Změnám šel i bez regulace naproti sektor IT...

Náskok mají také společnosti se sídlem v USA,...

Trendy
Rozmar moderního člověka, nebo udržitelnější způsob nakupování?

Stále více zákazníků si zvyklo pravidelně nakupovat potraviny...

Prvním z důvodů, proč může být rozvoz potravin šetrnější...

K udržitelnosti celého nákupního procesu velkou měrou přispívají také...

Počet automobilů na 1 000 obyvatel v České republice neustále...

Trendy
Revoluční služba Office as a service

Program je platformou pro pronájem zcela kompletní kanceláře...

V roce 2024 je společnost U1 odhodlána i...

Nejnovější Expertní pohled

Expertní pohled
Rok 2027 narovná mzdy mezi muži a ženami

Novinka počítá s transparentností už během náborového pohovoru....

Ačkoli Eurostat uvádí rozdíl ve mzdách mužů a...

Povinné reportování čeká od června roku 2027 firmy...

Změnám šel i bez regulace naproti sektor IT...

Náskok mají také společnosti se sídlem v USA,...

Expertní pohled
Hypotéky by mohly zlevňovat rychleji

V praxi se s využitím různých slev a...

Na první pohled se může zdát, že omezení...

Expertní pohled
Digitalizace v rámci nového stavebního zákona je příležitostí

Celý systém čekají velké změny včetně přechodu na...

S digitalizací systému úzce souvisí zavedení Portálu stavebníka,...