Mnoho organizací se soustředí na dostupnost systémů, provoz a podporu uživatelů, zatímco systematická správa bezpečnosti zůstává spíše okrajovou záležitostí. Pravidla pro práci s daty, školení zaměstnanců nebo testování záloh často chybí, a to i v moderních IT prostředích.
Paradoxně platí, že dobře nastavený bezpečnostní systém je takový, o kterém se běžně nemluví. Nezdržuje, nekomplikuje práci a nepřitahuje pozornost. O jeho kvalitě se začne přemýšlet až ve chvíli, kdy nastane situace vyžadující rychlou, koordinovanou a správně řízenou reakci.
Bezpečnost na okraji zájmu
Představte si typickou středně velkou výrobní firmu s vlastním IT oddělením, které se primárně stará o provozní IT: servery, ERP systém, síťovou infrastrukturu a každodenní podporu uživatelů. Kybernetická bezpečnost? Ta zůstává spíše na vedlejší koleji.
Slabá místa v řízení bezpečnosti nebyla žádným překvapením. Zaměstnanci i vedení firmy o nich věděli, ale dlouhodobě je odsouvali. Bezpečnost nepovažovali za akutní problém, který by vyžadoval okamžitou pozornost. IT tým byl zahlcen provozními úkoly a řešením incidentů každodenního charakteru. Management se naopak soustředil na obchodní výsledky, výrobu a růst firmy. Bez jasného zadání shora a bez stanovených priorit neměl nikdo reálný prostor měnit zaběhnutý stav.
Konkrétní nedostatky byly přitom zcela zjevné:
- Chybějící politiky a pravidla: Neexistovaly písemné směrnice pro práci s e-maily, hesly nebo přístupy k datům.
- Žádná školení: Zaměstnancům se nedostávalo osvěty, chyběly pravidelné připomínky o phishingu, vishningu, smishingu a dalších hrozbách.
- Technické mezery: Záplaty se aplikovaly neplánovaně, síť sice byla částečně segmentovaná, ale prostupy nebyly řízeny firewally nebo pravidly. A zálohy? Prakticky žádné.
Tento přístup není výjimečný. Naopak – stále se s ním setkávám u celé řady organizací napříč trhem. Bezpečnost je často vnímána jako další náklad navíc, nikoli jako investice nebo forma pojištění, která dokáže firmu ochránit v krizové situaci.
Od phishingu k chaosu
Samotný útok začal nenápadně, přílohou v e-mailu, která se tvářila jako běžný dokument související s každodenní agendou. Poté, co ji zaměstnanec firmy otevřel, došlo ke kompromitaci účtu. Útočníci využili slabé heslo a chybějící více faktorové ověření. Během chvilky se pak ransomware začal šířit sítí.
První signály o napadení přišly během několika hodin. Uživatelé hlásili, že se nedostanou k souborům. Sdílené disky přestaly fungovat. Klíčové aplikace byly nedostupné.
Plné uvědomění, že se jedná o ransomware, přišlo až druhý den. Do té doby IT tým hledal technickou příčinu, restartoval služby, zkoušel obnovovat přístupy. Na tuto situaci ale nebyl nikdo připraven, firma neměla žádný scénář, definované role a neexistoval žádný obnovovací plán.
Důsledky se začaly postupně projevovat napříč celou firmou. Výpadek klíčových systémů omezil přístup k výrobní dokumentaci, plánování i komunikaci. Firma musela zastavit provoz a utrpěla tak milionové finanční ztráty. To s sebou přineslo i tlak ze strany zákazníků a partnerů, kteří potřebovali jistotu, že situace má řešení.
Taková zkušenost není nikterak výjimečná. Mnoho firem se do podobné situace dostane právě proto, že bezpečnost dlouho fungovala „dostatečně“ a nic nenasvědčovalo bezprostřednímu riziku. Incident pak neukáže selhání jednotlivců, ale spíše limity řízení bezpečnosti, která nebyla nastavena na krizový scénář.
Firma se rozhodla výkupné nezaplatit a raději obnovit systémy z dostupných záloh. Protože ale nebyly kompletní a organizace je pravidelně netestovala, o část dat i tak přišla.
Největší ztráta? Iluze, že „to stačí“
Když vedení firmy vidělo dopady a pochopilo příčiny incidentu, uvědomilo si, že nejde o ojedinělý problém ani nešťastnou náhodu. Bez preventivních opatření a systematického řízení bezpečnosti jsou vystaveni opakovaným útokům.
A právě tehdy padlo rozhodnutí zavést ISO 27001, mezinárodně uznávaný standard pro informační bezpečnost, který pokrývá lidi, procesy i technologie. Cílem bylo:
- Nastavit jasná pravidla
- Definovat odpovědnosti
- Řídit rizika
- Vytvořit funkční systém prevence i reakce na incidenty
Zavedení ISO 27001 zároveň firmě pomohlo strukturovat bezpečnost tak, aby nebyla závislá na jednotlivcích. Standard přinesl pravidelné hodnocení rizik, kontrolu dodavatelů, interní audity i průběžné zlepšování.
Důležitý byl také pohled zvenčí. Certifikace podle ISO 27001 představuje pro zákazníky a obchodní partnery jasný signál, že organizace přistupuje k ochraně dat systematicky a podle mezinárodně uznávaných pravidel. V některých odvětvích, například v automotive nebo finančním sektoru, je taková úroveň řízení bezpečnosti běžným standardem a často i podmínkou.
Rozhodnutí tak nebylo jen reakcí na incident, ale i krokem směrem k dlouhodobé stabilitě a konkurenceschopnosti.
Od gap analýzy k certifikaci
Prvním krokem při zavádění ISO 27001 byla gap analýza, tedy realistické zhodnocení stavu. Následovalo nastavení politik a procesů, zavedení technických opatření (MFA, centrální monitoring, pravidelné a testované zálohování), školení zaměstnanců a simulace incidentů. Nechyběl interní audit a příprava na certifikaci.
Samotná technická opatření firma zvládla poměrně rychle. Větší výzvou bylo nastavit nový způsob uvažování o bezpečnosti napříč organizací. Postupně se ukázalo, že ochrana informací nemůže zůstat pouze v kompetenci IT oddělení.
Vedení převzalo aktivnější roli, nastavilo jasný rámec odpovědností a zapojilo další oddělení, od HR přes výrobu až po obchod. Bezpečnost se tak stala součástí řízení firmy, nikoli jen technickou disciplínou. Postupně se změnilo vnímání role jednotlivců v ochraně informací a lidé pochopili, že svým chováním ovlivňují celkovou odolnost firmy.
Zkušenost s incidentem urychlila rozhodování a otevřela prostor pro změny, které by se jinak prosazovaly obtížněji. Rozpočet, priorita i podpora vedení tentokrát nechyběly.
Nová éra bezpečnosti
Dnes má firma pravidelná školení, testuje svou odolnost, lépe kontroluje dodavatele a bezpečnost je součástí strategie. Má jasně definované role a odpovědnosti. Zaměstnanci vědí, jak reagovat při podezření na phishing nebo incident.
Kyberbezpečnost nepřináší nové tržby jako marketingová kampaň. Chrání ty stávající. Je to podobné jako pojištění. Dokud se nic neděje, může působit jako náklad. Když ale dojde k incidentu, ukáže se její skutečná hodnota.
Je lepší být připraven a učit se z příběhů jiných
Z této zkušenosti plyne jednoduché poselství: nečekejte na útok, aby vás přesvědčil. Náklady na prevenci jsou ve většině případů nižší než náklady na řešení incidentu – nemluvě o ztrátě důvěry zákazníků a obchodních partnerů.
Standardy a regulatorní rámce, jako ISO 27001, TISAX, NIS2 nebo DORA pomáhají organizacím nastavit procesy, odpovědnosti a systematický přístup k řízení rizik. Zákazníkům i partnerům dává jasný signál, že bezpečnost berete vážně. A při incidentu výrazně zrychluje reakci i zotavení.
Pokud o zavedení ISO 27001 uvažujete, nezačínejte dokumentací ani nákupem technologií. Začněte rozhodnutím, že chcete bezpečnost řídit systematicky a dlouhodobě.
Je potřeba si nejprve jasně pojmenovat, kde se dnes nacházíte, jaká rizika skutečně řešíte a kdo za ně ponese odpovědnost. Bez zkušeností a nadhledu však firmy často podcení rozsah změn, špatně nastaví priority nebo sklouznou jen k formálním opatřením.
Implementace ISO 27001 proto vyžaduje aktivní roli vedení, jasné řízení projektu a odborné vedení, které propojí strategii, procesy i technologie do funkčního celku.
V BESECURED pomáháme firmám pochopit souvislosti, nastavit funkční bezpečnostní opatření a rozvíjet bezpečnost jako součást řízení organizace, nejen jako IT povinnost.
