Článek
Ze zprávy Českého statistického úřadu vyplývá, že naprostá většina velkých a středně velkých firem umožňovala v době pandemie covidu-19 svým zaměstnancům pracovat z domova. Porady, videokonference či obchodní schůzky se přesunuly na online komunikační platformy.
„Byli jsme poměrně dobře připraveni, covid u nás přechod k hojnému využívání home office pouze významně urychlil,“ řekl viceprezident Vodafonu Jan Klouda. Předpokladem pro práci z domova je však dostupnost firemních, anebo využívání vlastních počítačů a také možnost vzdáleného přístupu k pracovnímu e-mailu nebo k aplikacím a informačním systémům společností.
Zejména pro menší firmy toto přineslo zcela novou situaci jak na úrovni dostupnosti IT vybavení, tak především v oblasti jeho zabezpečení. Kriminalita páchaná online v době pandemie pochopitelně významně vzrostla.
O tom, jak se hackerským útokům brání firmy, jejichž IT systémy využívají desítky i stovky zaměstnanců, i o právních otázkách souvisejících s dnes tolik exponovaným životem na síti hovořili v Byznys clubu pořádaném redakcí Seznam Zprávy produktový ředitel společnosti Avast Vítězslav Šantrůček, viceprezident pro právní záležitosti, řízení rizik a korporátní bezpečnost společnosti Vodafone Jan Klouda a Pavel Amler, právník advokátní kanceláře Havel & Partners se specializací na právní a regulační aspekty poskytování služeb v oblasti softwaru a informačních technologií.
Práce z domova má svá specifika
Ještě nikdy nehrozilo na síti tolik nástrah jako v současnosti. Vítězslav Šantrůček z Avastu upozorňuje, že na home office jsou počítače v mnohem větším nebezpečí.
„Zaměstnanci jsou doma méně ostražití, častěji navštěvují potenciálně nebezpečné stránky a hlavně ve smyslu připojení nevyužívají zabezpečení, jaké mají běžně k dispozici na pracovišti.“
Používá-li zaměstnanec na home office firemní notebook, pravděpodobně alespoň tímto úroveň zabezpečení do jisté míry zvyšuje. „I proto jsme všem našim lidem domů zapůjčili firemní notebooky,“ souhlasí viceprezident českého Vodafonu Jan Klouda.
Příručky nestačí, nutné je kvalitní školení
Prvním krokem k ochraně firemních dat je vždy nákup a pravidelná aktualizace softwaru podporujícího detekci rizikových aktivit a obranu proti nim. Všichni hosté debaty se ale shodli na potřebě opakovaně školit zaměstnance v oblasti kyberbezpečnosti.
Hosté Byznys Clubu
- Vítězslav Šantrůček, produktový ředitel společnosti Avast
- Jan Klouda, viceprezident pro právní záležitosti a korporátní bezpečnost společnosti Vodafone
- Pavel Amler, právník advokátní kanceláře Havel & Partners se specializací na právní aspekty poskytování služeb v oblasti informačních technologií
Pořad moderovala Zuzana Hodková
Příručky určitě nestačí, důležitá jsou aktivně vedená školení navázaná na praxi. Jak poznat nebezpečný e-mail, jakým internetovým adresám se vyhýbat, na co v žádném případě neklikat?
Zaměstnancům Vodafonu chodí čas od času „zkušební nebezpečné e-maily“, prostřednictvím kterých se je kolegové z IT oddělení snaží „nachytat“. „Ale spíš probudit jejich pozornost a znovu je v problematice bezpečnosti vzdělávat. Funguje to dobře,“ pochvaluje si Jan Klouda. Kdo se nechá nachytat, dostane upozornění i s informacemi, jak příště postupovat.
Home office z pohledu právníka
Vodafone jde jako nadnárodní společnost v otázce zabezpečení svých IT systémů nadprůměrně daleko. V současnosti, kdy se protipandemická opatření rozvolňují a home office již ve firmě funguje na bázi dobrovolnosti, drží mobilní operátor stále klíčové pracovníky z oblasti správy kritických IT systémů doma. Bez nich by se totiž firma obešla jen těžko.
Toto, stejně jako třeba možnost dohledu nad používáním firemního počítače, případně realizace dalších kroků potřebných k upevňování bezpečnosti firemních dat vyvolává otázky směřující kromě IT odborníků také na právníky.
Podle Pavla Amlera z Havel & Partners je vztah zaměstnavatele a zaměstnance na home office, zejména pak možnost kontroly jeho práce, tenký led.
„Je poměrně těžké si z pozice zaměstnavatele cokoliv vynucovat, není-li to podchyceno pracovní smlouvou, nebo třeba jejím dodatkem. Home office i používání firemního IT vybavení je pro mnoho firem nová situace a ideálně by ji měly řešit alespoň písemnou dohodou o způsobu využívání poskytnutého vybavení.“
Hackerství je skvělý byznys
Jak popsal Vítězslav Šantrůček ze společnosti Avast, k nejoblíbenějším typům útoku patří ransomware, kdy útočník obvykle ani necílí na konkrétní firmu, ale místo toho rozešle virus a čeká, kam se dostane. Ransomware na počítači zašifruje důležitá data a poté uživateli zobrazí informaci: Zaplať, jinak svá data už nikdy neuvidíš. Platba se obvykle provádí v bitcoinech, což útočníkům umožňuje skrýt svou identitu.
Na začátku loňského léta se hackerům povedlo propašovat svůj škodlivý kód přímo do softwaru americké firmy vyrábějící software pro IT firmy po celém světě. Jak popsaly Seznam Zprávy, výrobce svým klientům rozeslal „nakaženou“ aktualizaci programu pro vzdálenou správu počítačů, čímž se ransomware dostal do tisíců počítačů po celém světě.
Napadeny byly především stovky firem v USA, ale třeba i švédská síť supermarketů, protože dodavatel jejich pokladních systémů také patřil mezi nakažené firmy. Motivace útoku se potvrdila záhy, útočníci od napadených firem požadovali i stamilionové částky za to, že jejich data znovu zpřístupní. Hackerství je skvělý byznys.
Se zločinci se (ne)vyjednává
V Česku se podle právníka Pavla Amlera průměrná výše požadovaného výkupného pohybuje okolo sedmi milionů korun a s některou formou kyberkriminality se loni setkala celá třetina tuzemských firem. Amler se s nimi bohužel dostává do kontaktu až v okamžiku, kdy řeší následky útoku na firemní data.
„Majitelé firem jsou v takových chvílích často ochotni platit, ztrátou dat jim většinou hrozí ještě násobně větší škody,“ říká specialista na právní aspekty v oblasti informačních technologií. Těžko se pak vyděšeným podnikatelům vysvětluje, že vyjednávat se zločinci není správné. Navíc, jak upozorňuje Vítězslav Šantrůček z Avastu, ani výhodné.
„Zcizená nebo jakkoliv znepřístupněná data se většinou nepodaří v plném rozsahu obnovit. A v žádném případě není možné zaručit, že nedojde k jejich zneužití, přestože je výkupné zaplaceno.“
Investice do produktů zvyšujících zabezpečení firemních IT systémů je podle něj vždy neporovnatelně nižší než cena, kterou platíme, když už řešíme následky hackerského útoku. A to i pro menší a malé firmy.