Dvě pětiny českých firem byly loni zasaženy kybernetickým útokem
V roce 2021 se 28 % malých a středních podniků (MSP) v Evropské unii setkalo s alespoň jedním typem počítačové kriminality. České MSP jsou na tom oproti průměru sedmadvaceti zemí v Evropské unii poněkud hůře. Zkušenost s některým typem kybernetické kriminality mělo už 38 % z nich – nejhůře na tom jsou Portugalci (48 %) a nejlépe Švédové (15 %). I přesto se vedení českých organizací domnívá, že jejich zaměstnanci jsou o povědomí kyberkriminality dobře informováni.
Vyplývá to z nového průzkumu Eurobarometru provedeného na konci loňského roku, kterého se zúčastnilo více než 12 800 malých a středních podniků z celé EU včetně 504 z Česka.
Podniky nejvíce znepokojují hackerské útoky (či pokusy o ně) na internetové bankovní účty (průměr EU 32 %, českých 39 %), následuje phishing, převzetí kontroly nad účtem nebo útoky, jejichž cílem je zcizení identity (průměr EU 31 %, českých 38 %) a třetím jsou viry, spyware nebo malware kromě ransomwaru (průměr EU 29 %, českých 34 %). Jak je patrné, v případě českých MSP jsou obavy vždy o něco větší.
„České firmy při výběru z osmi dostupných kybernetických nebezpečí, které je nejvíce znepokojují, vybrali ransomware až jako poslední. Rozhodně bychom jej ale neměli podceňovat. Data jsou totiž nezbytná k provozu firmy, a pokud nejsou, může nastat její kolaps,“ komentuje výsledky Martin Lohnert, specialista pro oblast kyberbezpečnosti v technologické společnosti Soitron.
Povědomí a školení o kyberkriminalitě
Na otázku, jaký měl dopad nejzávažnější kyberútok na podnikání, 51 % českých organizací uvedlo, že to byla nutnost vyhradit si čas na řešení případů kyberkriminality (průměr zemí v EU je 35 %). Na druhém místě (31 %) figurují náklady na opravu či obnovu (průměr zemí v EU je 24 %) a třetí (23 %) je to, že útok zabránil zaměstnancům provádět jejich každodenní práci (průměr zemí v EU je 20 %).
Co však organizace dělají pro to, aby k útokům nedocházelo? Na otázku, do jaké míry jsou o kyberkriminalitě informováni zaměstnanci, respondenti průzkumu odpověděli, že velmi dobře je informováno 15 % zaměstnanců a docela dobře 47 procent. Výsledky se blíží průměru zemí EU. Míra jistoty, že firmy dělají v případě školení zaměstnanců maximum, je zde vysoká. I přesto k útokům dochází velmi často a důvod je jasný. V posledních 12 měsících pouze 19 % MSP v EU uspořádalo pro zaměstnance nějaké školení či kampaň pro zlepšení informovanosti o rizicích kyberkriminality. V České republice toto udělalo dokonce pouze 15 % organizací.
Firmy incidenty často nehlásí
Výsledky průzkumu také zdůraznily skutečnost, že firmy incidenty o narušení, nebo již povedené útoky až na výjimky téměř nikam nehlásí (neudělalo to 68 % firem). Nejčastějším důvodem, který české podniky uvedly, proč nenahlásily incident, bylo, že se touto záležitostí zabývaly interně. V EU přitom 52 % firem hlášení provede a nejčastěji policii (18 % všech událostí). Z českých firem tak učiní 11 % firem. „Nenahlásit pokus o napadení či samotné napadení je nejen velmi špatné řešení, ale navíc podporuje aktivity kyberzločinců. Pokud firmy o napadení dají vědět, doporučujeme to nahlásit Národnímu úřadu pro kybernetickou a informační bezpečnost, mohou předejít nejen větším škodám uvnitř své organizace, ale ostatní před stejným útokem varovat včas,“ vysvětluje Martin Lohnert.
Při nahlášení kybernetického bezpečnostního incidentu jsou odborníci vládního týmu připraveni pomoci po technické stránce, včetně poskytnutí rad pro další preventivní opatření. Dojde-li ke zjištění, že některý z incidentů cílí na více subjektů, jsou připraveni koordinovat společný postup jeho řešení.
Výuka a trénink pomůže v boji
Pandemie poukázala na další výzvy v oblasti kybernetické bezpečnosti. Mnoho malých a středních podniků muselo přijmout nová opatření, implementovat cloudové služby, modernizovat své internetové služby a umožnit zaměstnancům pracovat na dálku. A to jen proto, aby pandemii přežily a mohly pokračovat v podnikání. „To vše následně vedlo ke zvýšení aktivit kyberútočníků, na které je zapotřebí se ještě lépe připravit, a především na to připravit zaměstnance,“ dodává závěrem Martin Lohnert.
