SMB podniky nejvíce znepokojují hackerské útoky (či pokusy o ně) na internetové bankovní účty (průměr EU 32 % vs. 39 % českých), následuje phishing, převzetí kontroly nad účtem nebo útoky, jejichž cílem je zcizení identity (průměr EU 31 % vs. 38 % českých) a třetím jsou viry, spyware nebo malware kromě ransomwaru (průměr EU 29 % vs. 34 % českých). Jak je patrné, v případě českých SMB firem jsou obavy vždy o něco větší.
„České firmy při výběru z osmi dostupných kybernetických nebezpečí, které je nejvíce znepokojují, vybrali ransomware až jako poslední. Rozhodně bychom jej ale neměli podceňovat. Data jsou totiž nezbytná k provozu firmy, a pokud nejsou, může nastat její kolaps,“ komentuje výsledky Martin Lohnert, specialista pro oblast kyberbezpečnosti v technologické společnosti Soitron.
Povědomí a školení o kyberkriminalitě
Na otázku, jaký měl dopad nejzávažnější případ na podnikání, 51 % českých organizací uvedlo, že to byla nutnost vyhradit si čas na řešení případů kyberkriminality (průměr zemí v EU je 35 %). Na druhém místě (31 %) figurují náklady na opravu či obnovu (průměr zemí v EU je 24 %) a třetí je to (23 %), že útok zabránil zaměstnancům provádět jejich každodenní práci (průměr zemí v EU je 20 %).
Co však organizace dělají proto, aby k útokům nedocházelo? Na otázku, do jaké míry jsou o kyberkriminalitě informováni zaměstnanci, respondenti průzkumu odpověděli, že velmi dobře je informováno 15 % zaměstnanců a docela dobře 47 %. Výsledky se blíží průměru zemí EU. Míra jistoty, že firmy dělají v případě školení zaměstnanců maximum, je zde vysoká. I přesto k útoků dochází velmi často a důvod je jasný. V posledních 12 měsících pouze 19 % SMB firem v EU uspořádaly pro zaměstnance nějaké školení či kampaň pro zlepšení informovanosti o rizicích kyberkriminality. V České republice toto udělalo dokonce pouze 15 % organizací.
Firmy incidenty často nehlásí
Výsledky průzkumu také zdůraznily to, že firmy incidenty o narušení, nebo již povedené útoky až na výjimky téměř nikam nehlásí (neudělalo to 68 % firem). Nejčastějším důvodem, který české podniky uvedly, proč nenahlásily incident, bylo to, že se touto záležitostí zabývaly interně. V EU přitom 52 % firem hlášení provede a nejčastěji tak policii (18 % všech událostí). Z českých firem tak učiní 11 % firem. „Nenahlásit pokus o napadení či samotné napadení je nejen velmi špatné řešení, ale navíc podporuje aktivity kyberzločinců. Pokud totiž firmy o napadení dají vědět, doporučujeme to nahlásit Národnímu úřadu pro kybernetickou a informační bezpečnost, mohou předejít nejen větším škodám uvnitř své organizaci, ale ostatní před stejným útokem varovat včas,“ vysvětluje Martin Lohnert.
Při nahlášení kybernetického bezpečnostního incidentu jsou odborníci vládního týmu připraveni pomoci po technické stránce, včetně poskytnutí rad pro další preventivní opatření. Dojde-li ke zjištění, že některý z incidentů cílí na více subjektů, jsou připraveni koordinovat společný postup jeho řešení.
Edukace pomůže v boji
Pandemie poukázala na další výzvy v oblasti kybernetické bezpečnosti. Mnoho malých a středních podniků muselo přijmout nová opatření, implementovat cloudové služby, modernizovat své internetové služby a umožnit zaměstnancům pracovat na dálku. A to jen proto, aby pandemii přežily a mohly pokračovat v podnikání. „To vše následně vedlo ke zvýšení aktivit kyberútočníků, na které je zapotřebí se ještě lépe připravit, a především na to připravit zaměstnance,“ dodává závěrem Martin Lohnert.