Vaše firma se stala cílem kybernetického útoku. Výrobní ředitel se hroutí a je v tuto důležitou chvíli stejně zbytečný jako finanční ředitel, který pod tlakem pašuje faktury přes vrátnici. Existuje ale i možnost, že na takovou chvíli budete skvěle připraveni. Prostě proto, že si ji vyzkoušíte nanečisto. Možnost otestovat odolnost firmy proti útokům hackerů nabízí konzultantská společnost PwC.

Na některé pohromy firmy trénují celkem pravidelně. Každá budova má požární směrnice a alespoň větší firmy jednou za čas vyženou všechny zaměstnance před budovu v rámci požárního cvičení. Další firmy řeší přinejmenším v teoretické rovině riziko povodní nebo výpadku elektřiny a špičkově zabezpečená datová centra nebo jaderné elektrárny pak třeba i riziko pádu letadla. Ochrana před kybernetickými útoky ale zůstává stranou.

Související článek

Estonský velvyslanec: Kyberútoky z Ruska probíhají už 11 let

 

„Je třeba si uvědomit, že průměrná společnost vyhoří v zanedbatelném množství případů, kdežto každá společnost se nachází pod téměř neustálými pokusy o kybernetický útok,“ upozorňuje Michal Čábela, vedoucí týmu kybernetické bezpečnosti ve společnosti PwC. Ředitelé firem už sice chápou, že počítačům hrozí nebezpečí, ale až na čestné výjimky nechávají ochranu na bedrech IT oddělení. To se pak může strhat, aby instalovalo nejnovější firewally a antivirové programy a donutilo uživatele měnit pravidelně hesla. Ale když dojde k nejhoršímu, bez spolupráce s ostatními manažery ve firmě se stejně neobejde. Proto je důležité, aby i manažeři jiných oddělení na kybernetický útok trénovali.

Chce to trénink nanečisto

Když pořádáte požární cvičení, jde v podstatě jen o to, jak dostat lidi rychle z budovy. To vyzkoušíte za pár minut a práce může hned pokračovat. Kybernetický útok ale může ochromit výrobu na několik hodin i dnů, navíc existují desítky různých scénářů. Trénovat za plného provozu firmy lze proto jen stěží.

Také z tohoto důvodu existuje Cyber Arena, ve které vytvoříte jakousi virtuální kopii firmy. Tu pak můžete vystavit různým typům kyberútoků a sledovat, jak reagují šéfové jednotlivých oddělení či jak funguje spolupráce s IT odborníky, nebo zjišťovat, jestli jsou firemní procesy správně nastavené.

Na začátku je schůzka s konzultantem z PwC, který zjistí, jak vaše firma funguje. Zaměří se samozřejmě jen na oblasti, do kterých jsou nějakým způsobem zapojeny IT technologie. Některá firma řeší přes IT jen prodej, jiná má přes počítače řízenou výrobu, další má nasazeny desítky robotů a tisíce IoT čidel. To všechno je přeneseno do Cyber Areny. „Cyber Arena je určena pro kohokoliv, protože každá společnost čelí kybernetickým útokům. Vzhledem ke škálovatelnosti produktu jsme schopni připravit simulaci jak pro malou rodinnou firmu, tak i pro nadnárodní korporaci,“ vysvětluje Čábela.

Související článek

Hackeři v Singapuru ukradli zdravotní záznamy 1,5 milionu lidí

V Singapuru hackeři při kybernetickém útoku odcizili osobní zdravotní záznamy zhruba 1,5 milionu lidí, včetně tamního premiéra Lee Hsien Loonga.

Následně proběhne bezpečnostní trénink managementu, který se může odehrávat přímo v zasedačce uvnitř firmy, ale i v kancelářích PwC. Jedinou podmínkou je přístup k internetu. Šéfové jednotlivých oddělení dostanou určitý ekonomický cíl, kterého mají s virtuální firmou dosáhnout. A zatímco se ho snaží prostřednictvím zapůjčených tabletů splnit, je firma vystavena různým druhům kybernetických útoků.

„Scénáře útoku jsou stanoveny tak, aby pokryly známé zranitelnosti, a před simulací doplněny podle infrastruktury zákazníka, aby reflektovaly všechny možné situace, kterým musí konkrétní společnost čelit i v reálném světě,“ ujišťuje Michal Čábela.

Manažeři na ně musí reagovat třeba tím, že nakoupí nové firewally nebo jiné bezpečnostní prvky do firemní sítě. To ale stojí nějaké peníze a zabere to čas, zatímco zadaný finanční cíl neúprosně tlačí. Stejně tak je možné na bezpečnostní hrozby reagovat důkladnějším proškolením zaměstnanců nebo nastavením firemních procesů. Jednotliví manažeři spolu musí komunikovat, domlouvat se, schvalovat jednotlivá rozhodnutí.

Že výrobní ředitel nemusí rozumět nákupu zabezpečovacích prvků? „V rámci simulace nenutíme netechnického člověka rozhodovat a vyhodnocovat technické oblasti a naopak, každý účastník má svou roli jako ve skutečné firmě, specifické úkoly, ale společný cíl – ochránit společnost. Netechničtí zaměstnanci řeší procesní a organizační otázky bezpečnosti, top management zase globální strategii a finanční obraz společnosti,“ vysvětluje vedoucí kybernetické bezpečnosti z PwC, podle kterého je důležité především to, aby všichni spolupracovali, a to i verbálně. Jinak nemohou simulací úspěšně projít. Vlastní školení trvá přinejmenším půl, dne firmu podle velikosti a složitosti jejích počítačových systémů vyjde minimálně na sto tisíc korun, pravděpodobně ale i několikanásobně víc.

Emoce a diskuze

Kromě toho, že kvůli bezpečnostnímu tréninku není potřeba zastavovat chod celé firmy, má Cyber Arena i další výhody. Lze v ní hravě zkoušet různé scénáře. Navrhuje šéf IT oddělení nákup vybavení za milion a ředitel váhá se schválením, protože si není jistý, jestli to nejsou zbytečné hračky? Zkuste si, jak dopadne vaše firma, jestliže nákup proběhne, ale i pokud se nákup neuskuteční. Možná pak dospějete k závěru, že IT oddělení by mělo mít nějaký vlastní rozpočet, možná změníte postup schvalování. Přinejmenším si mezi sebou jednotlivá oddělení vyříkají, kdo má jaké kompetence, a vyzkouší si, jak funguje jejich spolupráce.

„Doporučujeme, aby se tréninku účastnilo takové množství managementu, kolik to jen jde,“ říká Michal Čábela z PwC. Dochází totiž k hlubšímu pochopení problémů všech zúčastněných stran. Manažeři si můžou vyzkoušet řešení situace v jiné roli nebo ověřovat různé přístupy k řešení. „V případě větší skupiny je možné simulaci rozdělit na více kroků a případně vytvořit i několik paralelních běhů se stejnými počátečními podmínkami, kdy každá skupina zaujme jinou strategii,“ doplňuje.

Související článek

Pirát Profant: Náš problém je, že úředník nezamkne obrazovku u PC, když od ní odchází

V čem podle poslance Pirátů Ondřeje Profanta spočívá hlavní kybernetické ohrožení Česka? Je větším rizikem útok cizího státu pomocí sofistikovaných kryptografických algoritmů, nebo neopatrní úředníci, kteří do pracovního počítače zapojí jakýkoliv USB disk, jenž jim přijde pod ruku? I na to odpovídal ve třetí a poslední části našeho rozhovoru, ve kterém se také poměrně zásadně vymezil vůči státnímu projektu s názvem Národní elektronický nástroj.

V bezpečném prostředí Cyber Areny se navíc dají otestovat plány firmy do budoucna. Zvládne kompletní změnu síťové infrastruktury, nebo je lepší postupovat v drobných krůčcích? Co masivní nasazení IoT do výroby, nebude to bezpečnostní díra?

A jakou chybu dělají účastníci bezpečnostního tréninku v Cyber Areně nejčastěji? Podle Michala Čábely nedodržují zaběhnuté postupy. „Někteří začnou rozšiřovat infrastrukturu, aniž by to prodiskutovali s lidmi zodpovědnými za bezpečnost. Takovýto nezabezpečený prvek se rychle stane cílem útoku, který může pokračovat a rozšířit se i na zbytek společnosti.“ To je navíc častý bezpečnostní problém i v reálném světě, což jen dokazuje potřebu důkladných bezpečnostních tréninků.