Jak mohou malé firmy zlepšit kybernetickou bezpečnost?

Cíle kyberútoků se mění. Zatímco před lety se zaměřovaly především na banky a další velké společnosti, nyní stále častěji míří na malé a střední firmy, které mají na ochranu svých systémů méně prostředků a častěji zanedbávají digitální bezpečnost. Zkušenost s kyberútokem má více než polovina takovýchto společností v České republice.

„Rozpočet, nedostatek času a znalostí - to jsou tři nejčastější důvody špatného zabezpečení firemních systémů. Zavedení správných nástrojů pro ochranu je nákladné, což malým podnikům ztěžuje situaci,“ říká Ondřej Ševeček, odborník na bezpečnost z Počítačové školy GOPAS a dodává: „Existuje však několik jednoduchých, nákladově efektivních postupů pro zabezpečení dat a zařízení.“

Vzdělávání zaměstnanců

Lidé bývají nejslabším článkem v ochraně proti kybernetickým útokům. Jedním z nejjednodušších a nejúčinnějších způsobů zvyšování odolnosti je časté školení zaměstnanců o kybernetické bezpečnosti. „Preventivní opatření jako pravidelná školení nebo semináře pro zaměstnance zaměřená na identifikaci potenciálních hrozeb pomohou zabránit především tomu, aby se zaměstnanci stali oběťmi phishingu a jiných podvodů,“ říká Ondřej Ševeček.

Vícefaktorová identifikace

Multifaktorová identifikace je snadné a rychlé řešení, které pomůže ochránit data na osobních i firemních zařízeních. I když útočník získá heslo dané osoby, bude obtížnější ho použít, pokud bude zavedeno vícestupňové ověřování. To dělá z podnikové sítě nebo koncového zařízení obtížnější cíl, což často stačí k odrazení útočníka.

Přísné zásady týkající se hesel

Vytváření a vymáhání přísných pravidel pro hesla je účinným způsobem, jak zlepšit odolnost proti útokům. Základem je nutnost zadávat netriviální hesla a nepoužívat je jinde než pro vstup do firemních systémů. Trochu diskutabilní je pravidelná obměna hesel.

„Je potřeba počítat s tím, že pokud zaměstnanci musí složitá hesla často měnit, je to pro ně nepříjemné, a mají pak tendenci poznamenávat si je na viditelná místa. Takže jsou tato pravidla v konečném důsledku kontraproduktivní. Dnes už se proto nedoporučuje ani tak hesla často měnit, jako je mít natolik kvalitní, aby se mohla používat dlouhodoběji,“ vysvětluje Ondřej Ševeček.

Bezpečná komunikace mobilních zaměstnanců

Podle nejnovější studie International SOS „Travel Risk Outlook“ méně než třetina organizací zohledňuje kybernetickou bezpečnost ve svých strategiích řízení a zmírňování cestovních rizik. Právě během služebních cest stoupá pravděpodobnost, že zaměstnanec přispěje svou neopatrností nebo neznalostí k průlomu do firemních systémů nebo bude napadeno jeho zařízení.

Naštěstí existují efektivní preventivní opatření, která pomohou snížit rizika: kromě školení, které zvýší povědomí mobilních zaměstnanců o potenciálních hrozbách, je to například omezení množství citlivých dat uložených přímo v jejich zařízeních, zajištění aktualizace bezpečnostního softwaru, ale také důkladné prověření zařízení, z nichž často pendlující zaměstnanec vstupuje do firemních systémů. Samozřejmostí je i důsledné zálohování dat, která shromažďují.

„Taktika firem v oblasti počítačové bezpečnosti se mění. Přínosnější, než nastavování restrikcí, je důkladné zmapování fungování organizace. Důležité zejména to, kde jsou uložena citlivá data, kdo k nim má přístup a jak se pohybují mimo firmu. Díky poznání prostředí jsou identifikována problematická místa, která pak mohou odborníci na zabezpečení dále řešit. Firmy se také čím dál více soustředí na kvalitu vyhodnocování rizik. Taková politika neomezuje zaměstnance v jejich práci, pouze chrání důležitá data a know-how společnosti,“ uzavírá Ondřej Ševeček.

O společnosti GOPAS, a. s.

Počítačová škola GOPAS je největším poskytovatelem školení v oblasti informačních technologií na českém i slovenském trhu. Ročně absolvuje odborné kurzy téměř 30 tisíc studentů, z nichž většinu tvoří specialisté IT. I přesto, že působí na poměrně malém trhu, patří GOPAS k jedněm z největších poskytovatelů IT školení v Evropě.

Více na: Gopas.cz