Prečo považujeme za samozrejmosť začať podnikanie s vlastným účtovníkom, ale nie je pre nás samozrejmé mať odborníka na GDPR alebo kybernetickú bezpečnosť? Predstavte si, že ste veľká firma – korporát, ktorá je povinná dodržiavať všemožné kybernetické a privacy regulácie (ach, keby len tie!) a zároveň máte veľa subdodávateľov z radov malých firiem, ktoré takúto povinnosť nemajú. Doplácate na nich? Zrejme áno. Je to voči vám fér? Asi nie. Čo by ste v prípade veľkého korporátu robili? Budete sa snažiť apelovať na malú firmu, aby zaviedla kybernetické a privacy politiky? Môžete to skúsiť. Zrušíte s malou firmou zmluvu a nájdete si iného dodávateľa? To samozrejme môžete, ale kde máte záruku, že iná malá firma nebude na tom podobne? Poobzeráte sa len po veľkých dodávateľoch? To by bolo zrejme možné, aj keď vám to brutálne zúži možnosti výberu. Prečo? Pretože korporáty a veľké spoločnosti tvoria len 3-4% spoločností v našej krajine a ten zvyšok predstavujú malé a stredné podniky. Ale späť k pôvodnej otázke. Doplácajú veľké spoločnosti, ktoré povinne podliehajú rôznym reguláciám, na tie menšie, ktoré takúto povinnosť nemajú? Áno, doplácajú. A stojí ich to čas, peniaze a ľudské zdroje.
Ako a s čím začať?
Čo vás čaká, ak začnete riešiť GDPR alebo informačnú a kybernetickú bezpečnosť s odborníkom? V prvom rade si musíte toho odborníka správne vybrať. Ako? Dám vám príklad zo života.
Prednedávnom som potrebovala opraviť WC, pretože zatekalo, takže som sa rozhodla vyhľadať odborníka. Keď odborník prišiel, v rýchlosti som mu ukázala, kde je kúpeľňa a vrátila som sa k svojej práci. Asi tak po pol hodine pán zaklopal na dvere s tým, že je hotový. Prišla som do kúpeľne, WC netieklo a handra zmizla, tak som mu zaplatila, poďakovala a rozlúčili sme sa. Popoludní som si všimla, že WC nejde spláchnuť. Akože nejde spláchnuť? Skúsila som a naozaj nešlo. A pod WC misou kopec vody! Volám odborníkovi, že nejde spláchnuť a WC stále tečie.
Odborník: “Ale pani, veď ja som vám ten Geberit (splachovací systém, pozn. autorky) opravil. Akože nejde spláchnuť?”
Ja: “Ale ja som nechcela opraviť Geberit, mne tečie WC misa, Geberit bol v poriadku!”
Odborník: “A to som mal odkiaľ vedieť, ja nie som jasnovidec.”
Ani vo sne by mi nenapadlo, že si nevšimne tú veľkú modrú handru pod WC misou a kopec vody okolo. Dohodli sme sa, že na druhý deň príde a znova sa na to pozrie. Prišiel a nakoniec sme museli meniť WC misu, pretože pôvodná bola poškodená. Odborník však bol značne nervózny, pretože si na túto opravu vyčlenil len pol hodiny, a ono to vyzeralo na také dobré dve až tri hodiny roboty. “Je nás málo a preto nemáme čas,” odvetil. Veta, ktorú v mojich kruhoch používam pomerne často. Áno, kvalifikovaných ľudí je málo a nemajú čas. To ale znamená, že buď odborník zvýši cenu, aby zarobil rovnaké množstvo peňazí s menej zákazkami a nebol v strese, alebo sa bude naháňať a skôr či neskôr urobí podobnú chybu ako u nás doma.
Ak je na trhu veľmi málo odborníkov, dieru sa snažia zaplniť aj ľudia, ktorí v témach GDPR a kybernetickej bezpečnosti vidia len možnosť rýchleho a lukratívneho zárobku. Firmám ponúkajú instantné riešenia v podobe rôznych certifikátov alebo vzorovej dokumentácie. Ak sa vám firma snaží predať len dokumentáciu a neponúkne vám žiadnu konzultáciu alebo support, potom sú to zbytočne vyhodené peniaze. Prečo? Predstavte si, že začínate podnikať a namiesto aby ste si najali účtovníka, si kúpite účtovnú dokumentáciu. Urobí za vás táto dokumentácia účtovníctvo? Vyplní za vás daňové priznanie? Odovzdá za vás všetky výkazy a upozorní vás na nové povinnosti? Určite nie. Na druhej strane, dokážete si vy sami vypracovať účtovníctvo ak ešte len začínate podnikať? Niektorí možno áno ale väčšina pravdepodobne nie. GDPR aj kybernetická dokumentácia vychádzajú z posúdenia reálneho stavu vašej firmy. Ako na tom ste a kam by ste sa mali dostať? Aké sú vaše potreby? Čo chcete uvedenými opatreniami dosiahnuť? Koľko času a ľudských zdrojov môžete danej problematike venovať? Ako zahrnúť tieto náklady do cien? Toto všetko sú otázky, na ktoré je potrebné si odpovedať ešte predtým, než vôbec vznikne akákoľvek dokumentácia. Prečo?
Pretože je rozdiel, keď po úvodnej konzultácii a zistení stavu vo vašej firme má odborník na kybernetickú bezpečnosť za úlohu vypracovať odporúčania, ktoré si budete implementovať sami, t.j. povie vám, že problém je vadná WC misa, tak si ju vymeňte. Ak budete od odborníka chcieť, aby tú misu vymenila on, bude ho to stáť viac času, preto aj výsledná cena bude iná. V prípade, že potrebujete takýchto opráv urobiť viacero, pretože ste sa doteraz o vašu kyberdomácnosť poriadne nestarali, zrejme budete potrebovať non-stop údržbára. Vtedy je na mieste uvažovať nad fixným mesačným poplatkom, ktorý váš firemný rozpočet príliš nezaťaží, ale posunie vás smerom k vyššej kybernetickej odolnosti a efektívnejšej ochrane firemných dát.
Porovnanie prístupu ku kybernetickej bezpečnosti medzi veľkými firmami a MSP
Ak začnete porovnávať prístup ku kybernetickej bezpečnosti vo veľkých firmách a vo vašej malej alebo strednej, bude to never-ending story. Oni majú zdroje, personál, kapacity, know-how… áno, majú väčšie zdroje a aj kapacity, ale vaša a ich situácia je neporovnateľne odlišná. Vo veľkých firmách trvajú zmeny a procesy strašne dlho. Čím väčší kolos, tým viac ľudí rozhoduje o procesoch, ktoré musíte zmeniť. A tým je to pre firmu väčšia záťaž. U vás pôjde veľa vecí ľahšie a možno zistíte, že niektoré opatrenia budú potrebovať len váš čas a zanedbateľné množstvo peňazí. Zoberme si ako príklad Identity Access Management, ktorý veľká firma musí outsourcovať v podobe kúpy softvéru, a vám stačí jeden dokument, kde si budete značiť, kto má k čomu prístup. Keď niektorý zamestnanec z firmy odíde, tieto prístupy mu musíte jednoducho zrušiť. Že by pre vás softvér bol uľahčením práce? Určite bol, ale pre firmu s 10 zamestnancami je väčšinou takýto softvér nedostupný alebo príliš drahý. Veľká firma sa však bez neho nezaobíde a jeho nákup a implementácia ju stojí obrovské náklady.
Veľmi častým problémom s ktorým sa u menších firiem stretávame, je mylná predstava, že ak to takto robia veľké firmy, tak je to určite dobre. Je to pochopiteľné, pretože tlak regulácií pôsobí už aj na malé spoločnosti, ktoré nevedia, kde začať, prípadne sa snažia ušetriť a preto kopírujú veľkých. Takáto stratégia vám správnu kybernetickú bezpečnosť ani ochranu dát nezabezpečí. Veľká firma mohla použiť konkrétne riešenie aj preto, že nemala inú možnosť, má nastavené určité procesy, ktoré nechce alebo nemôže meniť (napr. preto, lebo zákazník to tak chcel, lebo to nedovoľujú procesy alebo aj preto, že na túto konkrétnu vec už neostal v danom období budget). To, že niečo tak robia všetci, ešte neznamená, že to robia dobre. Zoberte si len koľkí ľudia nosia stále lekárovi bonboniéru. Robia to mnohí? Áno. Je to dobre? Určite nie.
Výzvy pre MSP v dnešnom digitálnom svete
Prečo si stále myslíme, že kybernetická bezpečnosť sa malých podnikateľov netýka? Pretože je to doména tých veľkých? Pretože ich hekujú, útočia na nich hackeri a malí podnikatelia nie sú pre nich zaujímaví? Obrovský omyl. Hackeri sú v podstate zlodeji. A zlodeji sú od prírody leniví ľudia, ktorí chcú ľahký zárobok za málo roboty. Preto každý hacker ide tam, kde má istý rýchly zárobok. Naozaj si myslíte, že bude útočiť na veľkú firmu, ktorá investuje obrovské peniaze do kybernetickej bezpečnosti a má armádu kyber pracovníkov? Na čo by mu to bolo dobré? Ak by ste boli zlodejom vy, radšej by ste si vybrali dom, o ktorom viete, že majiteľ necháva kľúč pod rohožkou, alebo nedobytnú pevnosť?
Poďme sa bližšie pozrieť na to, ako si môžete nastaviť jednoduché pravidlá pre zavedenie informačnej a kybernetickej bezpečnosti a vyhnúť sa týmto problémom. Najprv si musíte uvedomiť, že kybernetická bezpečnosť vo vašej firme je rovnako dôležitá ako ochrana majetku a zamestnancov. Podobne ako máte nainštalovaný alarm, kamery alebo vrátnika na ochranu fyzických priestorov, takisto by ste mali mať zavedené aj opatrenia na ochranu informácií a dát vo vašej firme. Rovnako ako máte vo firme účtovníka na starostlivosť o financie alebo marketingového špecialistu na propagáciu vášho podnikania, mal by ste mať etablovaného aj odborníka na kybernetickú bezpečnosť. Zamerajte sa na vyhľadanie odborníka, s ktorým si ľudsky sadnete a začnite spolupracovať na pravidelnej báze (raz mesačne, raz za šesť týždňov, raz za štvrťrok). Investujte do vzdelávania svojich zamestnancov, pretože ľudia sú pre útočníka jedným z najľahších cieľov. Prečo?
Sú dôležitejšie antivírový softvér alebo školenia zamestnancov?
Pretože malé skupinky ľudí sa dajú preškoliť omnoho jednoduchšie a efektívnejšie ako stovky zamestnancov v korporátoch. Vyžaduje si to menšie náklady, menej zapojených ľudí. Väčšinou sa všetci poznáte, takže sa dá napríklad riziko phishingu znížiť na pomerne nízku úroveň. Odborník vás môže efektívne a kvalitne vyškoliť a zároveň nastaviť pre vašich zamestnancov pravidelný školiaci plán prispôsobený ich potrebám. Častokrát sa však žiadne školenia vo firmách neorganizujú, pričom tie argumentujú cenou respektíve zbytočne stráveným časom na takomto type školenia. Investícia do kvalitného vzdelávania je investíciou do odolnosti vašej firmy. A to má neoceniteľnú hodnotu pre dlhodobú bezpečnosť a integritu vašej spoločnosti.
Ľudia vo všeobecnosti predstavujú najzraniteľnejší článok v rámci celého systému kybernetickej bezpečnosti. Stroje sa nemýlia, môžu sa len pokaziť. My ľudia sme však omylní. Robíme chyby, zabúdame, nechávame sa dostať pod tlak, aby sme následne poslali hekerovi naše úspory alebo mu vyzradili firemné tajomstvá. Bez ohľadu na to, či ide o chybu z nedbanlivosti alebo hrubé porušenie predpisov, dôsledky pre vašu spoločnosť môžu byť zničujúce. Doterajší prístup k informačnej bezpečnosti sa často zameriaval len na zabezpečenie počítačov proti hekerskému útoku alebo zneužitiu zamestnancami. Nezohľadňoval však všetky formy bezpečnostných hrozieb. Môžete mať nainštalované tie najmodernejšie firewally a antivírusy, napísané tie najlepšie bezpečnostné politiky, ale ak nemáte dostatočne vyškolených zamestnancov, nič z toho vám nepomôže.
Dodržiavanie zásad informačnej a kybernetickej bezpečnosti je kľúčové pre správne fungovanie vašej spoločnosti. Ich úspech závisí od dodržiavania bezpečnostnej stratégie spoločnosti nielen vami samotnými, ale aj vašimi zamestnancami. V prípade bezpečnostného incidentu môžete čeliť strate dôležitých firemných dát, ktorá môže byť nenávratná. A nemusí to byť nutne heker, ktorý vás o tieto dáta pripraví. Stačí jeden nepozorný alebo nahnevaný zamestnanec a máte problém, z ktorého sa bude vaša spoločnosť spamätávať ešte dlhé mesiace.
Je preto nevyhnutné venovať pozornosť dostatočnému vzdelávaniu zamestnancov v oblasti digitálnej gramotnosti, informačnej a kybernetickej bezpečnosti. Nielenže vám to pomôže minimalizovať riziká, ale zvýši sa aj ich povedomie a schopnosť rozpoznať potenciálne hrozby. Zároveň vám umožní lepšie dodržiavať bezpečnostné protokoly, čím sa zvýši ochrana celej spoločnosti pred kybernetickými útokmi a nechcenými stratami dôležitých informácií. Dodržiavanie bezpečnostných smerníc môže pre zamestnancov znamenať isté nepríjemnosti, preto musia byť napísané zrozumiteľne a v súlade s efektivitou práce vašich zamestnancov.
Ako si nastaviť jednoduché pravidlá a systém pre zavedenie informačnej a kybernetickej bezpečnosti?
Aby ste dosiahli akúkoľvek úroveň informačnej a kybernetickej bezpečnosti, je nevyhnutné si najprv uvedomiť ich dôležitosť. Podobne ako chránite svoj majetok alarmom a kamerami alebo zabezpečujete ochranu zdravia zamestnancov, mali by ste prijať aj opatrenia na ochranu informácií a dát vo vašej firme. Ak na vašich zamestnancov budete klásť nezmyselné nároky, nebudú nové postupy dodržiavať. Preto sa odporúča, aby ste im najskôr vysvetlili vaše požiadavky a dôvody, prečo od nich očakávate “tieto novoty”.
Dôležitou súčasťou tohto procesu je vyhľadanie odborníka na kybernetickú bezpečnosť. Spolupráca s ním vám umožní identifikovať špecifické hrozby a zaviesť efektívne protiopatrenia. Začnite so zavedením základných bezpečnostných opatrení, ako sú silné heslá, pravidelné zálohy dát a aktualizácie softvéru. Prevencia je vždy lepšia ako liečba, a preto je dôležité prijať preventívne opatrenia na minimalizáciu rizika kybernetických útokov. S týmito krokmi môžete zabezpečiť, že vaša firma bude lepšie chránená pred kybernetickými hrozbami a bude schopná účinne reagovať v prípade potreby.
Riziká a následky úniku dát alebo kybernetického útoku na firmu
Aby ste mohli naplánovať, ako postupovať v prípade nepredvídaných udalostí, vypracujte si analýzu vplyvu na podnikanie a na jej základe identifikujte, čo ohrozuje vaše procesy a zdroje. Cieľom tejto analýzy je odhaliť zraniteľné miesta, navrhnúť protiopatrenia a pripraviť sa na všetky zostávajúce riziká. Analýza vplyvu na podnikanie poskytuje potrebné informácie o kritických podnikových procesoch a zdrojoch. Na to, aby ste dosiahli akúkoľvek úroveň informačnej a kybernetickej bezpečnosti, bude potrebné zaviesť proces riadenia kontinuity činností, ktorého cieľom je odhaliť riziká ohrozujúce fungovanie vašej spoločnosti a včas zaviesť ochranné opatrenia proti týmto rizikám. Ak sa vám teraz vynorila otázka, že načo robíte všetko preto, aby vás nikto nehekol, že ste si mysleli, že tieto opatrenia vám poskytnú 100 % istotu, tak vedzte, že takéto niečo v digitálnom svete neexistuje. A vlastne ani v tom fyzickom. Môžeme sa pokúsiť znižiť riziko útoku na minimum, avšak nikdy nie je možné ho úplne odstrániť. A ak vás už heknú, tak budete chcieť minimalizovať škody a zabezpečiť plynulý chod vašej spoločnosti čo najskôr.
Riadenie informačnej bezpečnosti je zamerané na ochranu cenných informácií vo vašej spoločnosti, ktoré sa označujú aj ako aktíva. Riadenie kontinuity činností sa zameriava na kritické podnikové procesy tvoriace základ vašej spoločnosti. Primárnym cieľom riadenia kontinuity činností je zachovať kritické obchodné procesy a znížiť účinky škodlivých udalostí na čo najnižšiu úroveň. Riadenie kontinuity činností nie je určené len pre veľké organizácie, ale je potrebné ho zaviesť aj vo vašej spoločnosti. A je to oveľa jednoduchšie, pričom náklady na zabezpečenie riadenia kontinuity činností sú nižšie ako vo veľkej organizácii. Prečo? Pretože vaša spoločnosť je vo všeobecnosti menej komplexná, máte menej obchodných procesov a podliehate menšiemu počtu závislostí. Na druhej strane, ak dôjde k poruche obchodných procesov, existencia práve vašej spoločnosti je oveľa viac ohrozená a to aj v prípade, že táto porucha je malá.
Riadenie kontinuity činností sa týka všetkých zamestnancov bez výnimky, aj keď rôznymi spôsobmi. Každý môže prispieť k úspešnosti systému riadenia kontinuity činností a predchádzať škodám tým, že bude konať zodpovedne. Pracovná klíma a motivácia zamestnancov majú rozhodujúci vplyv na odolnosť podnikových procesov. Na úspešné zavedenie a udržiavanie systému riadenia kontinuity činností musíte zabezpečiť, aby bol tento systém pevne zakotvený vo vašej podnikovej kultúre. Zavedenie procesu riadenia kontinuity činností je projekt, ktorý si vyžaduje plánovanie. Je potrebné odhadnúť čas a náklady (napr. rozdeliť celý proces do niekoľkých etáp, čiastkových cieľov alebo míľnikov, vyčleniť dostatočné finančné a personálne zdroje), vytvoriť harmonogram, vykonať plánovanie, stanoviť ciele procesu (napr. ochrana dobrého mena spoločnosti, hodnôt spoločnosti, zabezpečenie spracovania existujúcich / nových zákaziek), špecifikovať jeho rozsah (napr. či pôjde o celú spoločnosť alebo len o niektoré pracoviská, či sú nejaké obmedzenia alebo limity), určiť podmienky a stratégiu použitú na dosiahnutie týchto cieľov.
Rady na záver
Na začiatok je potrebné si uvedomiť, že začať riešiť informačnú a kybernetickú bezpečnosť vo vašej firme je skôr maratón ako šprint. Bezpečnosť je nikdy nekončiaci proces, ktorý sa neustále vyvíja. Mnoho klientov porovnáva túto cestu so zmenou životného štýlu, a majú na to dobrý dôvod. Tak ako zmena životného štýlu, ani posilnenie bezpečnosti sa nestane zo dňa na deň. Vyžaduje si starostlivé plánovanie a prípravu. Každý krok musíte premyslieť do detailu a zdôvodniť si, prečo ho robíte. Ide o postupný proces. Pripravte teda nielen seba, ale aj vašu firmu na tieto zmeny. Dôležité je mať jasné ciele a očakávania. Preto si stanovte konkrétne ciele týkajúce sa bezpečnosti vašej firmy.
Môže to byť napríklad zlepšenie ochrany údajov zákazníkov, zníženie rizika kybernetických útokov alebo zvýšenie povedomia zamestnancov o bezpečnostných hrozbách. Následne je nevyhnutné vykonať dôkladnú analýzu súčasného stavu bezpečnosti. Zistite, aké sú najväčšie hrozby a zraniteľnosti vo vašej firme a kde je potrebné zlepšiť ochranu. Tento krok vám poskytne základ pre plánovanie ďalších krokov. Ďalším dôležitým aspektom je vzdelávanie zamestnancov. Informovaní a vyškolení zamestnanci sú jedným z najlepších obranných nástrojov voči kybernetickým hrozbám. Okrem toho investujte do technologických riešení, ktoré vám pomôžu chrániť vašu firmu. Firewally, antivírusové programy, šifrovanie údajov a iné bezpečnostné nástroje sú nevyhnutné pre ochranu vašej firmy a dát. A nakoniec, nezabudnite na pravidelné monitorovanie a aktualizácie. Bezpečnostné opatrenia by mali byť dynamické a prispôsobené novým hrozbám a technologickým vývojom. Pravidelné auditovanie a aktualizovanie vášho bezpečnostného systému vám pomôže udržať vašu firmu v bezpečí. Celkové zlepšenie bezpečnosti vašej firmy je dlhodobý proces, ktorý si vyžaduje trpezlivosť, disciplínu a neustále úsilie. Avšak, investície do bezpečnosti sa vyplatia nielen pre ochranu vašej firmy, ale aj pre budovanie dôvery u vašich zákazníkov a partnerov.
Mgr. Veronika Krajčovičová
CEO v spoločnosti bugino, je nielen odborníčkou v oblasti informačnej a kybernetickej bezpečnosti, ale aj aktívnou členkou národnej kapitoly Women for Cyber Slovensko, ktorá združuje ženy pracujúce v oblasti kybernetickej bezpečnosti a snaží sa ich podporovať a motivovať. V rokoch 2013 až 2017 pôsobila v Neapole ako poradkyňa v tejto oblasti pre súkromný sektor, najmä pre advokátske kancelárie, súdnych exekútorov a zdravotnícke zariadenia. Po návrate na Slovensko sa zamerala na segment malých a stredných podnikov, kde poskytuje odborné poradenstvo v oblasti ochrany dát, informačnej a kybernetickej bezpečnosti. Od roku 2017 je konateľkou spoločnosti bugino, s.r.o., ktorá poskytuje konzultácie v rovnakej oblasti pre MSP na Slovensku a v Čechách. Veronika je nielenom uznávanou expertkou a aktívnou účastníčkou konferencií, ale aj členkou programovej komisie a lektorka pre Qubit konferencie, kde zastupuje sekciu MSP. Nedávno vydala príručku s názvom Ikeový návod k informačnej bezpečnosti, ktorá pomáha MSP zmeniť ich pohľad na ochranu dát a kyberbezpečnosť ako takú.
Linky na profily na sociálnych sieťach:
https://www.facebook.com/profile.php?id=100091773744796
