Polovina velkých firem zaznamenala bezpečnostní incident v oblasti IT

Šetření o využívání informačních technologií v podnikatelském sektoru přináší nejnovější údaje týkající se mimo jiné zkušeností podniků s bezpečnostními incidenty.

S rozšiřováním informačních a komunikačních technologií vzrůstá i riziko jejich napadení a s tím spojené zničení či zneužití dat a informací. Po celém světě se zvyšuje výskyt kybernetických útoků, které se dotýkají mnoha oborů. Zkušenosti s nimi mají nadnárodní obchodní společnosti, domácí průmyslové podniky, banky, telekomunikační operátoři, ale také školy, úřady nebo nemocnice. S rostoucím počtem a závažností bezpečnostních incidentů se zvedají i nároky na ochranu informací, zabezpečení informačních systémů a ochranu dat. Každá firma či organizace by měla být schopna kybernetickým událostem předcházet, a pokud nějaký takový útok přijde, měla by jej umět rychle vyřešit. V praxi to znamená chránit se před neoprávněnou fyzickou manipulací s počítači, mít zabezpečený přístup k elektronickým datům a zajistit je proti poškození, zničení nebo vyzrazení, šifrovat vzájemnou komunikaci a chránit a zálohovat data.

Český statistický úřad (ČSÚ) v šetření rozlišoval tři základní druhy bezpečnostních incidentů: nedostupnost služeb ICT, zničení či poškození dat a prozrazení důvěrných údajů. U každého z nich pak bylo zjišťováno, jestli měl vnější, nebo tzv. vnitřní příčinu. Mezi vnitřní příčiny řadíme problémy, které vznikly kvůli technické závadě (třeba z důvodu pádu serveru nebo pevného disku), chybou v softwaru (například chybnou aktualizací) nebo neúmyslným činem vlastního zaměstnance. Vnějšími příčinami bývají např. hackerský útok, útok typu odepření služby, útoky typu ransomware, phishing, pharming, nebo když problém způsobil úmyslně vlastní zaměstnanec firmy. Šetření probíhalo v podnicích s 10 a více zaměstnanci a zjišťována byla jejich zkušenost s incidenty týkajícími se bezpečnosti IT v roce 2021.

Zkušenosti podniků v Česku s bezpečnostními incidenty (% z celkového počtu podniků s 10 a více zaměstnanci, 2021)

Zkušenost s incidenty máme nadprůměrnou

Nejnovější data ČSÚ ukazují, že s alespoň jedním bezpečnostním incidentem se v průběhu roku 2021 setkalo 29 % podniků s 10 a více zaměstnanci v Česku. Celkový údaj ale značně ovlivňuje velký počet malých firem, u nichž je zkušenost s bezpečnostním incidentem nejméně častá (26 %). S bezpečnostními problémy se však potýkal každý druhý velký podnik s více než 250 zaměstnanci a zkušenost s ním má také 40 % středně velkých firem. V evropském srovnání je údaj za Česko (29 %) nadprůměrnou, čtvrtou nejvyšší hodnotou. Průměr EU27 byl za rok 2021 v tomto ukazateli 22 %. Nejvyšší podíl podniků, které se v roce 2021 setkaly s bezpečnostním incidentem, byl zaznamenán ve Finsku (44 % podniků).

Nejčastější je nedostupnost dat nebo webových stránek

Nejčastějším bezpečnostním problémem, kterému čelily podniky v Česku, byla v roce 2021 nedostupnost služeb ICT. Postihla v průměru 26 % podniků s 10 a více zaměstnanci, nejvíce ovšem velké podniky, z nichž to byla téměř polovina (46 %). Nedostupnost služeb (například serveru nebo webových stránek) může způsobit např. technická závada na infrastruktuře nebo i cílený útok zvnějšku, třeba ransomware nebo útok typu odepření služby (Denial of Service, zkratka DoS, nebo DDoS v případě, že jde o distribuovaný útok z mnoha míst). Ransomware je škodlivý vyděračský program, který zapříčiňuje nedostupnost dat nebo celého systému a za znovuobnovení je požadováno zaplacení výkupného. Útok DDoS spočívá v tom, že na konkrétní server začnou v jeden okamžik přistupovat stovky tisíc počítačů. Server zpravidla nezvládne tak vysoké množství požadavků zpracovat, jeho kapacita se přehltí a server je vyřazen z provozu. Pro běžné uživatele se pak napadená webová stránka tváří jako nedostupná. DDoS útoky mají obvykle spíše krátkodobý dopad, a to především na fungování webů či služeb na ně navázaných. V roce 2022 výrazně v Česku stoupl podle ředitele Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) počet DDoS vnějších útoků, zejména v souvislosti s konfliktem na Ukrajině.

I v případě nedostupnosti služeb ICT je v evropském srovnání údaj za Česko (26 % podniků) čtvrtou nejvyšší hodnotou, průměr EU27 byl 20 %. Zůstává i první příčka pro podniky ve Finsku (41 %), na druhém místě jsou podniky v Polsku (28 %) a na třetím v Nizozemsku (27 %).

Z hlediska příčiny výsledky šetření ukazují, že nejvíce podniků v Česku čelilo v roce 2021 nedostupnosti služeb kvůli tzv. vnitřnímu problému (25 % podniků celkem), tedy např. kvůli selhání hardwaru nebo softwaru. Šlo tedy častěji o technický problém než o útok z vnějšku. S vnějším útokem, který způsobil nedostupnost služeb ICT, přiznalo zkušenost 5 % podniků celkem a 8 % velkých podniků s více než 250 zaměstnanci. V evropském srovnání byly české podniky se zkušeností s vnějším útokem způsobujícím nedostupnost služeb ICT nadprůměrné, umístily se za podniky v Nizozemsku, Řecku, Belgii, Finsku a Dánsku na šesté příčce.

Podniky se zkušeností s alespoň jedním bezpečnostním incidentem (% z celkového počtu podniků s 10 a více zaměstnanci v dané zemi, 2021)

Ve zničení a poškození dat jsme na špici

Ztráta firemních dat patří dlouhodobě mezi méně časté bezpečnostní incidenty. Aby k ní nedocházelo, měly by být veškeré počítače a jejich programové vybavení včetně operačního systému udržovány v aktuálním stavu, počítačové sítě zabezpečeny a firemní data pravidelně zálohována. Ke ztrátě firemních dat může dojít např. napadením škodlivým softwarem (malwarem), tedy nejrůznějšími počítačovými viry, červy, trojskými koni nebo jinými programy, které byly vytvořeny se škodlivým záměrem. Na firemní data mohou rovněž zaútočit hackeři. Hackerský útok je jakýkoli pokus o získání, zničení či krádež dat, nebo také získání neautorizovaného přístupu k zařízení či webovým stránkám podniku. Nějaký typ cíleného vnějšího útoku v roce 2021 zaznamenala 4 % firem v Česku. V evropském srovnání zaujímají české podniky nepříliš záviděníhodné prvenství.

Ke zničení či poškození firemních dat ale může dojít také neúmyslnou chybou zaměstnance nebo vinou technické závady ve firmě, např. chybnou aktualizací nebo selháním hardwaru. Se zničením nebo ztrátou firemních dat kvůli vnitřnímu problému se v roce 2021 setkalo v České republice 7 % podniků.

Relativně nejvíce tento incident postihl velké podniky (13 %), z nich pak nejčastěji firmy z odvětví obchod a opravy motorových vozidel (26 %). V evropském žebříčku jsou v tomto ukazateli tuzemské podniky společně s podniky ve Finsku a v Polsku na prvních třech příčkách.

Na důvěrná data hlavně přes zaměstnance

V boji proti externím hrozbám jsou klíčová jak technická opatření, jako například zabezpečení počítačových sítí, tak také interní opatření, jejichž cílem je minimalizovat riziko selhání zaměstnanců. Lidská chyba stojí totiž za většinou bezpečnostních útoků na firmy a zaměstnanci jsou pro případné útočníky lákavým cílem. Některé incidenty mohou být zapříčiněné sdílením hesel, případně používáním snadno prolomitelných hesel, otevíráním závadných e-mailových příloh nebo klikáním na nebezpečné URL odkazy, přílišnou důvěřivostí či naivitou a zadáváním svých přístupových údajů na podvodných stránkách. Hrozbu představují také přístupy k podnikovým sítím z nezabezpečených soukromých zařízení. Pro tyto účely by mělo být využíváno například zabezpečené VPN připojení, nejlépe s vícefaktorovým ověřením identity uživatele.

V průběhu roku 2021 byl bezpečnostní incident způsobující prozrazení důvěrných údajů poměrně vzácný – zkušenost s ním přiznala pouhá 2 % všech firem v Česku, z velkých podniků to bylo 6 %. Řadí se sem např. phishing nebo pharming, kdy se útočník prostřednictvím falešné identity snaží od zaměstnance získat důvěrné informace. Podvodníci se přitom velmi často schovávají za známé značky (např. dopravců, sociálních sítí, bank nebo dokonce státních organizací). Phishingová zpráva bývá odesílána v podobě podvodných SMS zpráv či e-mailů, které se tváří jako nabídka e-shopu, výhra, nevyřízená reklamace nebo upozornění na brzké zablokování účtu. Cílem je dostat oběť na falešnou internetovou stránku, která se tváří jako oficiální web důvěryhodné instituce. Pokud sem oběť zadá své přihlašovací údaje, číslo karty nebo PIN, útočník je může je zneužít. V ohrožení přitom jsou nejen citlivá data, ale často i finanční prostředky.

Zkušenosti podniků v Česku s bezpečnostními incidenty a pojištění proti jejich následkům (% podniků, 2022)

Pojištění neláká

Proti incidentům v oblasti bezpečnosti IT může mít firma sjednané pojištění, které kryje škody způsobené kybernetickým útokem. Takové pojištění mělo ale vloni sjednáno v Česku pouze 12 % firem. Častěji ho měly velké subjekty (29 %) nebo středně velké firmy (16 %) a z hlediska odvětví subjekty působící v oblasti IT (42 %).

Pojištění kybernetických rizik v podnikatelském sektoru u nás příliš rozšířené není, zajímavé je ale sledovat, jak je to s pojištěním těchto rizik v souvislosti se zkušeností s bezpečnostními incidenty. U všech firem bez ohledu na jejich velikost vyjádřenou počtem zaměstnanců platí, že převládají ekonomické subjekty, které nemají zkušenost s žádným kybernetickým problémem a zároveň nemají ani sjednané žádné pojištění. Mezi malými firmami je takových 68 %, středně velkých je 51 % a velkých 37 %. Ekonomických subjektů, které mají zkušenost s nějakým bezpečnostním incidentem, ale přesto pro tyto případy nemají sjednané žádné pojištění, je mezi malými firmami 22 %, středně velkých a velkých podniků je ovšem třetina (34 %). Podniků, které mají zkušenost s bezpečnostním problémem a zároveň jsou proti jeho následkům pojištěny, je relativně nejvíce ve skupině velkých podniků s více než 250 zaměstnanci (16 %). V této velikostní skupině je také relativně nejvyšší podíl těch, které pojištění sjednané mají, ačkoliv kybernetickému útoku nečelily (13 %).

Článek si můžete přečíst v březnovém vydání časopisu Statistika&My.