Hacknutie firemnej webstránky za 150 dolárov, rozšírenie vírusu do firemných systémov za 750 dolárov, krádež platobných údajov za 270 dolárov. Už za takéto relatívne nízke sumy sú dnes hackeri urobiť prakticky hocikomu škody obrovských rozmerov.
Kybernetické útoky už zďaleka nie sú sci-fi a nie sú len vecou „tých veľkých“. Hackeri majú tri druhy motivácie – osobnú výzvu dokázať prelomiť zabezpečenie, snahu o pomoc poukázaním na problém v zabezpečení, ale často je to i finančná motivácia od tretej strany. A práve tieto prípady môžu mať pre jednotlivcov a firmy veľmi negatívne dôsledky.
Hrozba na mnohých frontoch
Útoky môžu mať nekonečné množstvo potenciálnych typov cieľov – môžu to byť emailové adresy zamestnancovi zákazníkov, zákaznícke databázy, duševné vlastníctvo (obchodné tajomstvá, dizajny produktov), či citlivé finančné údaje, ale napríklad aj znefunkčnenie online platieb.
Únik informácií pritom môže prísť rovnako zvnútra firmy, ako zvonku. Pri prvej alternatíve vôbec nemusí ísť len o nespokojných, odchádzajúcich alebo podplatených zamestnancov. Môže ísť i o nedbalosť alebo omyl od dôveryhodných zamestnancov. Rovnako i pri externom úniku informácií nemusí nutne ísť o hackerov či organizovaných zločincov. Potenciálnym rizikom sú i obchodní partneri – dodávatelia a klienti.
„Pre dôležitú komunikáciu je vhodné nielen adekvátne zabezpečenie komunikácie, ale je tiež pre poskytovanie dôležitých údajov (platobné údaje faktúr a pod.) vhodné kombinovať viac komunikačných kanálov z dôvodu overenia správnosti. V praxi sme riešili kybernetický útok na klienta, ktorý dostal faktúru s upraveným cieľovým bankovým účtom (tzv. kybernetický útok „man in the middle“) a jeho overenie (klientovi bolo podozrivé, že nejde o účet v krajine podnikania obchodného partnera) bolo vykonané opäť presne takou istou cestou – e-mailom. Do dnešného dňa nie je jasné, ako k útoku mohlo dôjsť, avšak obchodný partner klienta svoje peniaze doteraz neobdržal. Opatrnosť je však potrebné zachovávať aj v prípade rodinných príslušníkov, na ktorých môžu niektoré počítačové útoky byť cielené,“ hovorí Štěpán Štarha z advokátskej kancelárie Havel & Partners.
Ľudská chyba ako každodenné riziko
Keďže gro komunikácie a výmeny informácií dnes už prebieha digitálne a online, riziko úniku dát je enormné. Či už formou cieleného útoku, alebo i náhodou – napríklad obyčajnou ľudskou chybou zamestnancov, ktorí omylom prepošlú informácie inej, nesprávnej skupine, ako boli pôvodne určené. V rýchlosti, v akej dnes všetci fungujeme, je to, žiaľ, úplne bežný jav. Chyby sú ľudské. Môžu však mať veľmi negatívne dôsledky.
A ktoré odvetvia sú najčastejšími cieľmi kybernetických útokov?
Podľa údajov IT spoločnosti romITech je najväčšiemu riziku vystavené zdravotníctvo (27 %), nasledované firmami pôsobiacimi vo finančnom sektore (14 %). Prekvapivo vysoko sú i profesionáli (primárne remeselníci), čo potvrdzuje, že kybernetické hrozby sa zďaleka netýkajú len veľkých spoločností.
Čo únik dát firme môže reálne spôsobiť?
Môžu nastať tri rôzne (negatívne) scenáre:
- Pokuta kvôli porušeniu pravidiel GDPR – pokuty môžu dosiahnuť až 4 % z obratu, až do 20 miliónov eur
- Žaloba zo strany poškodeného – firmu môže zažalovať napríklad klient
- Biznis a reputačný problém – priama negatívna reakcia od blízkeho okolia firmy, prípadne od zamestnancov
„V dnešnej dobe má veľké množstvo útokov pôvod v online prostredí, kde sa ukazuje ako extrémne ťažké útočníka vypátrať. Často teda nie je k dispozícii osoba, ktorú by bolo možné o náhradu škody zažalovať. Akákoľvek následná aktivita je už len o hasení požiarov, a preto sa najviac oplatí investovať do prevencie. Prevenciu je vhodné koncipovať ako dovnútra firmy (školenia zamestnancov, poučenie o rizikách, zabezpečenie serverových a užívateľských zariadení), tak i externe (bezpečnosť infraštruktúry, bezpečnostné požiadavky na dodávateľa, oznamovacie povinnosti a pod.),“ uzatvára Štepán Štarha z Havel & Partners.