Kybernetické útoky už nejsou otázkou „jestli“, ale „kdy“. V pořadu Byznys DNA na platformě FocusOn upozorňuje Marek Kovalčík, ředitel informační bezpečnosti společnosti BDO, že české firmy stále podceňují základní […]
Kybernetické útoky už nejsou otázkou „jestli“, ale „kdy“. V pořadu Byznys DNA na platformě FocusOn upozorňuje Marek Kovalčík, ředitel informační bezpečnosti společnosti BDO, že české firmy stále podceňují základní bezpečnostní návyky. Slabá hesla, neznámá zařízení v síti nebo nekontrolované používání AI nástrojů dnes podle něj představují větší hrozbu než sofistikované hackerské skupiny. Klíčem je systematický přístup, odpovědnost vedení a schopnost mluvit o rizicích jazykem byznysu.
[podcasty
Z pohledu kyberbezpečnosti jsou startupy paradoxem. Na jedné straně stojí technologicky orientované týmy, na druhé minimální zabezpečení. Podle Marka Kovalčíka jsou mladé firmy často výrazně méně chráněné než zavedené podniky, protože veškerou pozornost věnují růstu a byznysu.
„Bezpečnost je pro startupy často až druhotné téma. Prioritou je produkt a trh,“ vysvětluje. Zároveň ale dodává, že právě začátek podnikání je ideální chvíle, kdy lze bezpečnost správně zabudovat do procesů: od segmentace sítě až po návyky uživatelů.
Rozdíl mezi firmou, která bezpečnost řeší od prvního dne, a firmou, která ji začne dohánět po pěti letech, je podle něj zásadní. Dodatečné „zalepování“ problémů bývá výrazně dražší, pomalejší a méně efektivní.
Slabá hesla a pohodlnost. Nejčastější chyby českých firem
Navzdory mediálnímu obrazu sofistikovaných útoků vzniká většina bezpečnostních incidentů na banálních chybách. Kovalčík opakovaně zmiňuje stále stejný scénář: slabá nebo znovu používaná hesla, chybějící vícefaktorové ověřování a špatně navržená síťová architektura.
„Firmy si často zjednodušují život tím, že mají všechno v jedné síti. Útočníkům to pak výrazně usnadňuje práci,“ říká. Přitom základní opatření nejsou podle něj ani extrémně nákladná, ani složitá – klíčové je vědět, kde začít. Problémem je také slepá důvěra v nákup bezpečnostních technologií. Samotný nástroj bez správného nastavení a průběžné kontroly podle Kovalčíka žádnou ochranu nezaručí.
Kdy přestávají stačit základní opatření
Zlomový bod přichází ve chvíli, kdy firma ztrácí přehled o vlastních aktivech. Jakmile vedení neví, kdo má k čemu přístup, jaké systémy firma používá a kde se nacházejí klíčová data, je podle Kovalčíka čas přejít ke komplexnějšímu řízení bezpečnosti.
Prvním krokem má být inventarizace aktiv: hardware, software, data, know-how i dodavatelé. „Musíme vědět, co chráníme. To, o čem nevíme, nemůžeme zabezpečit,“ shrnuje. Právě v této fázi se často objevují problémy, které firmy dlouhodobě přehlížely – od nezdokumentovaných systémů až po nekontrolované přístupy třetích stran.
Šedá IT a šedá AI. To, co nevidíte, vás ohrožuje nejvíc
Jedním z nejrychleji rostoucích rizik je takzvaná šedá IT. Jde o zařízení, aplikace nebo služby, které zaměstnanci používají bez vědomí IT oddělení. Podle Kovalčíka sem dnes stále častěji patří i nástroje umělé inteligence. „Pokud organizace neví, kde se zpracovávají její data, nemůže je chránit,“ upozorňuje. Experimentování s AI samo o sobě problém není, ale musí být řízené. Jinak hrozí, že citlivé informace skončí mimo kontrolu firmy.
Správný přístup k AI má podle něj vycházet shora – od vedení, které definuje cíle a pravidla. Teprve poté má smysl vybírat konkrétní nástroje. Opačný postup vede k chaosu a neřiditelnému riziku.
Lidský faktor zůstává nejslabším článkem
Nejčastější vstupní branou útoků zůstává člověk. Sociální inženýrství cílí na emoce, stres a nepozornost. Podvodné e-maily, falešné weby nebo telefonáty dnes díky AI vypadají stále přesvědčivěji.
„Už neplatí, že špatná gramatika znamená podvod. Útočníci dnes mluví perfektní češtinou,“ říká Kovalčík. Rozhodující je kontext. Zvlášť ohrožené jsou dvě skupiny: mladí lidé a senioři. Právě na ně má psychický nátlak největší dopad. Přesto Kovalčík vnímá vzdělávání zaměstnanců pozitivně – pokud je praktické, pravidelné a interaktivní.
Zero Trust není paranoia, ale reakce na realitu
Koncept Zero Trust, tedy přístup založený na nedůvěře ke všem uživatelům a zařízením, podle Kovalčíka není přehnaný. Naopak odpovídá realitě hybridní práce, cloudu a vzdálených přístupů. „Perimetr, jak jsme ho znali dříve, už neexistuje,“ vysvětluje. Kontinuální ověřování identity, mikrosegmentace sítě a omezení přístupů jsou reakcí na svět, kde není možné přesně určit, odkud se uživatel připojuje.
Zero Trust se dnes týká především větších organizací, ale principy se postupně prosazují i u menších firem.
Dodavatelský řetězec jako bezpečnostní riziko
S rostoucí závislostí na externích dodavatelích roste i riziko. Firmy často poskytují třetím stranám administrátorské přístupy, aniž by měly jistotu, jak jsou tyto subjekty zabezpečené. Kovalčík upozorňuje i na riziko technologické závislosti na jednom dodavateli. „Pohodlnost a jednoduchost správy může být vykoupena obrovským rizikem,“ říká s odkazem na globální geopolitickou nestabilitu.
Kyberbezpečnost dnes podle něj nelze řešit izolovaně. Je nutné sledovat globální dění a připravovat se i na scénáře, které se zdají nepravděpodobné.
Incident není otázkou „jestli“, ale „kdy“
Firmy by podle Kovalčíka měly počítat s tím, že bezpečnostní incident nastane. Klíčová je připravenost: krizové scénáře, odpovědnosti a pravidelně testované plány reakce.
„Nestačí mít plán na papíře. Musí se testovat a aktualizovat,“ zdůrazňuje. Incidentem navíc nemusí být jen hackerský útok, ale i výpadek energií nebo zničené datové centrum.
Řízené testování bezpečnosti je výrazně efektivnější, pokud firma současně buduje a pravidelně ověřuje způsob reakce v krizové situaci.
Bez podpory vedení to nepůjde
Zásadní roli hraje management. Podle Kovalčíka si stále více statutárních zástupců uvědomuje, že kyberbezpečnost není jen technické téma, ale otázka odpovědnosti. „Je nutné mluvit jazykem byznysu a rizik. Vedení rozumí dopadům v penězích,“ říká. Právě finanční vyčíslení potenciálních škod je často klíčem k prosazení změn.
Celý rozhovor si můžete pustit jako video nebo podcast:
- Jaké jsou nejčastější chyby firem při zavádění kyberbezpečnosti?
- Kdy se z užitečné AI stává bezpečnostní riziko?
- Proč je lidský faktor stále nejslabším článkem obrany?
- Jak se připravit na kybernetický incident dřív, než nastane?
- Proč musí kyberbezpečnost začínat u vedení firmy?