V obraně proti kyberútokům je nejdůležitější prevence, říká bezpečnostní expert

Firmy jsou často zabezpečené jen na papíře 
Pokud mluvíme o zabezpečení firem, můžeme se na něj dívat z několika uhlů – zabezpečeni fyzické nebo zabezpečení informací. Podle toho také volíme prostředky, technologie nebo systémy řízení bezpečnosti.

Podle bezpečnostního experta Antonína Šefčíka je důležité, zaměřit se na zavedení systému řízení bezpečnosti.
“Takový systém zahrnuje komplexní pohled na bezpečnost: od analýzy rizik, přes přijetí organizačních opatření až po technické bezpečností prvky. Výhodou systému řízení je, že pokrývá všechny potřebné oblasti a používá jednotný jazyk,” dodává Šefčík.
Podle Šefčíka nastává problém v okamžiku, kdy firmy vnímají řízení bezpečnosti pouze jako “papírovou záležitost”, odtrženou od reálných činností. Jednoduše si vyřídí potřebné dokumenty, ale skutečné zabezpečení zůstane nadále nedostatečné.

V České republice vešel v roce 2015 v účinnost zákon o kybernetické bezpečnosti, který má zvýšit bezpečnost kybernetického prostoru. Jeho cílem je ale především chránit kriticky důležitou infrastrukturu, jejíž narušeni by mohlo vest k poškozeni nebo ohroženi národních zájmů. Týká se tak například bank nebo pojišťoven s tržním podílem nad 10 %. Pokud se na firmu vztahuji statní regulace, řídí se pak pravě tímto zákonem.

Dominantním systémem v České republice je pak systém řízení bezpečnosti informaci podle normy ISO/IEC 27001, který je z velké časti shodný s požadavky kybernetické bezpečnosti.

Kromě systému řízení bezpečnosti podle normy 27001 existují i další systémy, podle kterých lze vybudovat systém řízení bezpečnosti. Například americké firmy běžně používají systémy řízené podle federálních norem NIST (Národní institut pro standardy a technologie). Poskytovatele služeb, obchodní a účetní firmy pak často využívají také bezpečnostní normy podle SOC (Service and Organization Control). A existují také bezpečnostní systémy, které jsou specifické pro jednotlivá odvětví. Například TISAX využívaný v automobilovém průmyslu.

Evidence docházky není povinná, může ale přispívat k větší bezpečnosti ve firmě
Zaměstnavatel nemá ze zákona povinnost vést evidenci docházky svých zaměstnanců. Často se tento pojem zaměňuje s evidencí pracovní doby, kterou naopak zaměstnavatel pro účely vyplaceni mezd evidovat musí. Z praktického hlediska je chybějící evidence docházky problematická. Zaměstnavatel například v případě kontroly nebo řešení pracovně právních sporů ztrácí velmi užitečný nastroj. Například umožnění povinných přestavek na oběd se těžko dokazuje bez evidence docházky.

Mnoho firem si docházku zpracovává postaru na papír nebo v excelové tabulce. Ani jedno řešeni ovšem není ideální. Proč není žádoucí, aby si zaměstnanec sám vedl záznamy o docházce jednou týdně nebo měsíčně shrnuje Antonin Šefčík následovně: „Může jít o záměr samotného zaměstnance data pozměnit ve svůj prospěch. Častěji jde však o lidskou chybu, která může být velmi snadno způsobena tím, že si zaměstnanec po týdnu přesně nevzpomíná, jak dlouho byl který den na obědě apod. V případě listinné evidence na recepci vzniká celá řada dalších hrozeb, protože je evidence přístupná všem zaměstnancům, kteří mohou úmyslně nebo neúmyslně údaje pozměnit, vymazat nebo je zneužít.“
S využitím elektronického systému pro vedeni docházky pak stoupa přesnost, nepopiratelnost a především zabezpečení dat o docházce oproti neautomatizovaným metodám.

Výhodou elektronické evidence zaměstnanců je zejména její využitelnost pro zajištěni fyzické bezpečnosti. To, že existuje záznam o každém, kdo prošel do chráněné zóny (např. do kancelářského prostoru), umožňuje efektivně řídit fyzický přístup k tomu, co chceme ochránit a poskytuje organizaci užitečná data pro vyšetřování případných bezpečnostních incidentů.

Zároveň je ale potřeba myslet na to, že jde také o zpracování osobních údajů. Zvolené řešení elektronické evidence tak musí být opravdu bezpečné a přiměřené. Například využívat pro vedeni evidence docházky biometrické údaje je z valné většiny nepřípustné. Mimo dodržování účelu zpracování je dále třeba stanovit přiměřenou lhůtu pro uloženi záznamů o docházce a pevný okruh osob, které mohou do evidence nahlížet, zavázat je povinností mlčenlivosti a údaje zabezpečit po technické stránce.

Bezpečnostní riziko v domácnosti představují i chytré spotřebiče připojené k internetu
Když se řekne zabezpečeni domácnosti, většina z nás si představí bezpečnosti dveře, odolné zámky nebo bezpečnostní kamery. Na co ale často zapomínáme, je zabezpečení zařízení a domácích spotřebičů připojených k síti. Počty tzv. smart spotřebičů se v českých domácnostech v posledních letech rapidně zvyšují. Vlastnit chytrou televizi, hlasového asistenta, chytrý kávovar nebo dokonce celý chytrý byt nebo dům není nic neobvyklého.

Ovšem i těmto zařízením hrozí riziko převzetí a následný útok. Někdy může znamenat jen znepříjemnění života, v jiném případě může takový útok život přímo ohrozit. Nebezpečí hrozí například při útoku na chytrý kotel. Přes kamery v televizi, počítači nebo i kamerové systémy lze také nelegálně pořídit záznamy, které pak útočník může použít k vydírání.

„Základní opatření jsou relativně jednoduchá. Většina uváděných zařízení má své ovládání zabezpečeno heslem. Proto je nutné nenechávat hesla v základním nastavení a zadat si hesla vlastní (složitá), která ztíží přístup k našemu zařízení. Smart zařízení je pak potřebné vnímat jako komunikační zařízení a přiměřeně k tomu s nimi zacházet,“ dodává bezpečnostní expert Antonín Šefčík.

Bezpečnostní firma NGSS (Next Generation Security Solution) je česká společnost poskytující služby specialistů v oblasti řízení a nastavování bezpečnostních procesů, implementace bezpečnostních služeb a projektového řízení.
 

Připravila Iveta Král Hajlichová