Jak ochránit klíčovou infrastrukturu před hackery?
Zapomínáme na zaměstnance, varují odborníci
Zabezpečení státních institucí i firem proti kybernetickým útokům se neobejde bez vzdělávání zaměstnanců a koncových uživatelů. Ti totiž často představují nejslabší článek systému zabezpečení před kybernetickými hrozbami. Stoprocentní obranu před útoky hackerů nelze zajistit, navíc by byla kontraproduktivní. Shodli se na tom řečníci na diskusním setkání s názvem Jsme připraveni na kybernetický útok? Institutu pro veřejnou diskusi z cyklu Energetická bezpečnost ČR.
© Fotolia.com
Jak uvedl vládní zmocněnec pro kybernetickou bezpečnost Dušan Navrátil, především státní správa se potýká s nedostatkem IT odborníků, což omezuje její schopnost předcházet kybernetickým hrozbám a reagovat na ně. „Státní správa situaci podceňuje. Soukromá sféra je na tom podstatně lépe. IT ve státní sféře je obrovsky poddimenzované. Nejde jen o počet lidí, ale i o jejich kvalitu. Platy těchto zaměstnanců ve státní správě jsou hluboko pod průměrem oboru,“ upozornil Navrátil.
Ředitel bezpečnosti Skupiny ČEZ Daniel Rous popsal, že s úskalím lidského faktoru se potýkají i velké firmy, včetně provozovatelů klíčové infrastruktury, k níž patří také elektrárny. „Když udělá chybu uživatel, nedá se nic dělat. Musíme je proto systematicky vzdělávat. Musíme být připraveni i na to, že navzdory všem našim opatřením se může hackerům útok podařit, a musíme být schopni následky útoku minimalizovat,“ vysvětlil s tím, že každý zaměstnanec společnosti nebo státní instituce pro hackera představuje potenciální přístupový bod do IT systémů jeho zaměstnavatele. „Stoprocentní kybernetickou bezpečnost lze sice teoreticky zajistit. Bylo by to ale neúnosně drahé a dané zařízení by pak zřejmě ani nebylo možné provozovat,“ dodal.
Podle manažera bezpečnosti správce české přenosové soustavy ČEPS Jana Šmolíka představuje nejvážnější možnou variantu kybernetického útoku blackout. „Kybernetické útoky jsou ve valné většině vedeny přes nejslabší článek zabezpečení – našeho uživatele. Bez vzdělávání uživatelů se tedy neobejdeme,“ poukázal i on na riziko lidského faktoru.
Lidé se mohou domnívat, že útoky zaměřené na státní instituce nebo nadnárodní korporace se jich netýkají. To ale nemusí být pravda, popsal ředitel virových laboratoří společnost Avast Michal Salát. „Útoky, které původně cílí na kritickou infrastrukturu, velmi často zasáhnou i běžné uživatele,“ řekl. Ani firmy se nemohou spolehnout na vlastní zabezpečení, protože k úniku citlivých dat může dojít například u jejich obchodních partnerů. „Jedno je jisté – hackerské útoky se budou opakovat,“ konstatoval Salát. Firmy a stát by se tedy měly soustředit nejen na jejich předcházení, ale i na zvládání následků úspěšných útoků.
S tvrzením, že žádný způsob ochrany před hackery není zcela spolehlivý, souhlasí i bezpečností analytik a prorektor CEVRO Institutu Tomáš Pojar. Stát by se podle něj proto měl zaměřit nejen na pasivní ochranu před hackery, ale aktivně působit v kybernetickém prostoru. „V oblasti kybernetické bezpečnosti se nesmyslně zaměřujeme pouze na obranu. Měli bychom ale mít také schopnost zaútočit. To neznamená, že ji musíme využít, ale když hackeři vědí, že jim nejsme schopni útok oplatit, spíš si nás vyberou za svůj cíl,“ uzavřel Pojar.
Diskusní cyklus Energetická bezpečnost ČR pořádá Institut pro veřejnou diskusi (IVD) ve spolupráci s týdeníkem Ekonom a Hospodářskými novinami. Partnerem diskusního setkání je Skupina ÚJV, Skupina ČEZ a Avast. Odborným partnerem je České vysoké učení technické v Praze. Diskusní setkání proběhlo pod záštitou Hospodářské komory ČR.
