Kybernetická bezpečnost

Otázka kyberbezpečnosti je pro innogy velice důležitá, protože si dobře uvědomujeme, že jen připraveným štěstí přeje.

15. března 2018, Praha

Pachatelů kybernetických trestných činů existuje celá řada. Především se jedná o organizované skupiny nebo teroristy a cizí státy, ale může jít i o zaměstnance nebo nahodilé jedince, kteří to zkrátka dělají jen pro zábavu, prestiž, anebo nějaké své přesvědčení. „Hacker je vlastně takový námořní pirát, který operuje v kybernetickém oceánu a napadá ostatní. A to buď pro peníze, nebo čistě pro zábavu,“ použila při našem rozhovoru pěknou metaforu Kateřina Morrisová, Senior Manager v oblasti Security, se kterou jsme se bavili o hackerech, kyberbezpečnosti a o tom, co můžeme všichni dělat pro to, abychom se nestali terči.


Kateřino, pozorujete ve své praxi nějaký vývoj hackerské činnosti? Jsou třeba dnešní hackeři jiní, než byli dříve?
Dříve to byla pro hackery v první řadě jen zábava. Předháněli se v tom, aby si mohli udělat zářez do pažby, ukázat svou moc nad obětí a zlepšit si tak svůj status mezi ostatními piráty. Dnes to dělají hlavně pro peníze, stal se z toho totiž velmi výnosný byznys. Odhaduje se, že škody způsobené kybernetickou kriminalitou nebo terorismem přesáhnou v roce 2020 pět bilionů dolarů, takže jak vidíte, peníze až na prvním místě. To je budoucnost, na kterou se musíme připravit.

Lze se na to vůbec nějak připravit?
Je pravda, že obecně lze říci, že co je bezpečné dnes, je zítra již zastaralé. To vždy opakujeme i našim zaměstnancům na různých speciálních seminářích o kybernetické bezpečnosti, které doplňujeme i o konkrétní ukázky různých útoků. Tyto prezentované útoky se neustále mění podle toho, jaká hrozba je v daný čas právě nejběžnější. Na ty se můžeme připravit. A můžeme se připravit i na hrozby, které budou aktuální za rok, za dva – a taky se na ně připravujeme. Co ale bude aktuální za pět let, co bude tehdy globálně ohrožovat jedince i společnosti, to nemůžeme vědět. Nevím to já, neví to NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) a troufám si říct, že to vlastně zatím nevědí ani ti hackeři na té druhé straně.

Můžete na základě stávající situace alespoň odhadovat, jak bude vypadat budoucnost?
Do určité míry. IoT (internet věcí) mění současný stav vlastně už dnes, kdy připojuje k síti stále více strojů a spotřebičů. Ve vzdálenější budoucnosti, si troufám tvrdit, bude připojeno na internet v podstatě všechno a s tím bude souviset i jeho zabezpečení. Reálně by tedy mohla nastat situace, kdy budeme zažívat naprosté minimum klasických fyzických loupeží a prim bude hrát kybernetická kriminalita.

A v ní je vždy tím nejslabším článkem člověk.
Přesně tak. Každá hrozba, ať už je to ransomware, virus, phishing atp. má nicméně svoje protiopatření. V první řadě, a to se týká vlastně všech hrozeb a rizik, je vzdělávání uživatelů, v případě společností pak zaměstnanců. Stačí, aby jeden zaměstnanec omylem otevřel phishingový e-mail s malware, a ten už se začne sám šířit a škodit. Proto pořádáme pravidelné semináře, prezentujeme motivační videa, kde jsou znázorněny hrozby a rizika a rady, jak se chovat na síti. Investice do prevence je vždy levnější než do řešení, kdy už incident nastal. Pohroma je totiž jen jeden klik daleko.

Řekla byste, že se bezpečnostní opatření v innogy nějak liší od jiných firem? Přece jen energetické společnosti jsou ze strategického hlediska velice důležité a jejich případné napadení by v případě úspěchu mělo závažné důsledky.
Kybernetická bezpečnost je důležitá pro každou společnost i pro jednotlivce. Určitě nechcete, aby vaše osobní údaje volně putovaly po internetu po tom, co jste si nakoupili zboží přes e-shop. Zároveň ani doma jistě nechcete, aby někdo jiný získal přístup do vašeho počítače, do vašeho soukromí. Základní principy kybernetické bezpečnosti tedy zůstávají stejné, ať už se jedná o malou, nebo velkou společnost, jako je ta naše. Liší se pouze výší investic do zabezpečení. Energetická společnost vykonává službu pro občany a vlastně i pro stát, tudíž to zabezpečení musí být na maximální úrovni.

I vaši zaměstnanci na pozicích v cyber-security tak musejí být maximálně důvěryhodní. Prověřujete si nějak kandidáty, aby třeba oni sami nebyli hackeři?
Proces výběru nových zaměstnanců, kteří budou pracovat s kybernetickou bezpečností, se opravdu trochu liší oproti jiným oddělením. Na druhou stranu, když chce účetní firma nového zaměstnance, také si jistě zjistí, jestli náhodou potenciální zaměstnanec nebyl pravomocně odsouzen za účetní a daňové podvody. A stejné je to i s kybernetickou bezpečností.

Původní článek převzat z online časopisu Studenta