Nemocnice v Benešově, karvinská těžební společnost OKD, seznamovací portál Ashley Madison nebo operátor Talktalk. To, že jste o těchto institucích slyšeli, není s velkou pravděpodobností výsledek dlouhodobých marketingových aktivit, ale důsledek toho, že čelily kyberútoku. Neúspěšně. Mnohdy dlouhodobě budovaná reputace tak „padla“ během pár dní. A s ní pak mnohdy i desítky milionů (korun i dolarů) na nápravu škod. Kybernetický útok rozhodně není levná záležitost – ať už na něj koukáte z jakéhokoli úhlu pohledu.
Když v roce 2015 zaútočil na firmu Talktalk 15letý (!) hacker, přišla firma nejen o data 4 milionů zákazníků, ale její akcie na londýnské burze o 10 % hodnoty. Seznamka Ashley Madison po úniku 36 milionů dat o svých klientech zase o veškerou důvěru (a mnozí z jejích prominentních klientů o pověst, protože zprostředkovávala mimomanželské poměry).
Celkové finanční náklady, které musela na nápravu všech škod vynaložit nemocnice v Benešově, pak její zástupci odhadli na zhruba 60 milionů českých korun.
Už v roce 2015 vyčíslila společnost Grant Thornton celosvětové škody způsobené kyberútoky na 315 miliard amerických dolarů ročně a tvrdila, že napadený byl každý šestý podnik. Na konci roku 2019 pak Cybersecurity Ventures odhadoval výši škod už na 1 bilion amerických dolarů. I „díky“ tomu, že podle dat Europolu má s kybernetických útokem zkušenost 80 % všech firem. Mnohé nicméně dlouho neví, že jsou terčem útočníka.
1 kybernetický útok = škody na mnoha frontách
Dá se předpokládat, že v budoucnu škody u firem, které IT zabezpečení neřeší koncepčně, dále porostou. A to nejen kvůli stále rostoucí aktivitě hackerů, ale i postupující digitalizací – se kterou roste počet (mnohdy nepoučených) uživatelů, zařízení i procesů, které jsou na IT závislé. Radek Šichtanc, ředitel útvaru Bezpečnosti v O2, pak dodává: „Kybernetické útoky dál porostou, co do počtu, ale i sofistikovaností. Poroste tak nutnost investovat do kybernetické bezpečnosti a dle mého bude ten růst percentuálně minimálně dvouciferný.“
Bez komplexního zabezpečení pak logicky porostou i škody, které útočník napáchá. A to nejen ty okamžité, ale i škody, které firmu často „trefují“ i týdny a měsíce po útoku.
Níže nabízíme některé z nich:
Okamžitá paralýza hlavní činnosti firmy
Zastavené výrobní linky, zaměstnanci na nuceném placeném volnu doma, nulová produktivita a ztráty, které rostou s každou další hodinou. Dnes roste zranitelnost především průmyslových a energetických společností. Studie společnosti Ponemon vyčíslila průměrnou ztrátu středně velkého výrobního podniku na 22 000 dolarů (téměř půl milionu českých korun) za každou hodinu, kdy výrobní linka stojí.
Jen pro zajímavost a pro srovnání: Průměr nákladů vynaložených na bezpečnost je 284 korun na každých 100 000 Kč obratu, tedy zhruba jen 0,3 %. Nejvíce z tohoto pohledu do bezpečnosti investují vydavatelé software a poskytovatelé internetových služeb (714 Kč), následují banky a finanční instituce (560 Kč) a pro někoho překvapivě státní správa (476 Kč).
Ztráta nebo zašifrování dat
Data. Jejich hodnotu si neuvědomíte, dokud o ně nepřijdete. To často říkají zástupci firem, kteří se ztrátou nebo zašifrováním dat potýkali. Jestliže měla firma před útokem správně nastavenou politiku zálohování, pak může obnova trvat „jen“ pár hodin. V opačném případě hovoříme o týdnech a zároveň o definitivní ztrátě části informací. Firma tak na dlouhou dobu ztrácí nejen produktivitu, ale mnohdy i pro provoz nezbytná data. A přichází samozřejmě o současné i budoucí zákazníky.
Ransomware: Kolik stojí výkupné?
Pokud se společnost stala terčem ransomware útoku, pak jí útočníci mnohdy nabídnou možnost koupit si dešifrovací klíč. Cena výkupného nicméně v čase roste, útočníci chtějí víc a víc. Zatímco v roce 2015 se autoři ransomwaru FUSOB spokojili s výkupným 100 až 200 dolarů za jedno dešifrované zařízení, při útoku známém jako WannaCry v roce 2017 už chtěli 300 až 600 dolarů. Zaplatit výkupné nicméně neznamená jistotu, že firma data získá zpátky. Zároveň je placení výkupného kontroverzní.
Mimochodem: Během WannaCry naopak dramaticky rostly akcie firem z oblasti kyberbezpečnosti.
Reputační škody
Podle dat z průzkumu IDC věnují firmy na zabezpečení IT průměrně do 5 % z celkového rozpočtu firmy. Nejvíce v tomto směru vynakládají vydavatelé software a poskytovatelé internetových služeb, v závěsu jsou banky a finanční instituce. Nicméně během pandemie 43 % deklarovalo, že bude investice do zabezpečení IT muset snížit. Do marketingu pak firmy podle průzkumu Stem/Mark investují nejčastěji do 10 % svého rozpočtu a za covidu přistoupila ke snížení marketingových rozpočtů jen zhruba 1/3 firem.
A to navzdory tomu, že dlouhé roky pečlivě (a draze) budovaný brand může právě kvůli kyberútoku shořet jako papír už za pár hodin. Firma se tak připravuje nejen o současné, ale i budoucí zakázky a klienty.
Výzkum Ernst & Young, který proběhl v Rakousku, říká, že se 77 % útoků vůči firmám děje kvůli finančnímu prospěchu, cílem 11 % útoků je pak poškození provozu firmy.
Pokuty
Dojde-li ke ztrátě citlivých dat, pak může Úřad na ochranu osobních údajů uložit pokutu do výše až 20 000 000 euro, případně do 4 % z celkového celosvětového ročního obratu za předchozí finanční rok. Je pravdou, že české úřady k tak extrémním pokutám (prozatím) nepřistoupily, zároveň už ale prohřešky firem neřeší jen symbolickými sankcemi.
Připočtěte k výše zmíněným bodům ještě třeba právní služby, nákup nového hardwaru, softwaru nebo například pomoc externích odborníků s obnovou dat, a máte opravdu pořádný zářez do firemních financí.
Význam zabezpečení firemního IT roste
Dá se všemu výše zmíněnému předejít? Z velké části ano, ale nalijme si čistého vína: Pokud by si firma chtěla řešit kyberbezpečnost opravdu komplexně a zároveň sama, výdaje by byly vysoké. „Blíží se navíc i další evropské regulace a směrnice, které budou na kybernetickou bezpečnost klást ještě větší nároky, a to i u subjektů, kterých se doposud netýkaly,“ doplňuje Radek Šichtanc.
„Nejvíce to postihne menší společnosti, které dnes nemají dostatek vlastních zdrojů na zajištění kybernetické bezpečnosti, potažmo na reakci a obnovu po kybernetickém incidentu. O to důležitější pro ně bude zvolit správné a efektivní řešení a logicky i partnera, který jim s tím pomůže například formou outsoucingu.“
Ostatně, s outsourcingem a zajištěním kybernetické bezpečnosti vám rádi pomůžeme i my v O2. Jak konkrétně? O tom si můžete přečíst v rozhovoru s Jiřím Sedlákem, vedoucím manažerem našeho dohledového centra O2 SEC, ve kterém popíše, jak zajištění bezpečnosti z naší strany probíhá a pro které firmy je vhodné: Jiří Sedlák: V O2 SEC dokážeme připravit obranu i proti útoku, který ještě nepřišel.
Případně nás rovnou kontaktujte a my s vámi probereme, jak je na tom vaše firma se zabezpečením a jak konkrétně vám můžeme pomoci.
