IT bezpečnost není jen otázkou financí a pokročilých technologií
Ve firemní sféře snad už v dnešní době není třeba kohokoliv přesvědčovat o zcela zjevné důležitosti ochrany před kybernetickými hrozbami. Na odpovídající úroveň bezpečnosti se pak rozhodně vyplatí zaměřit i v oblasti dat a informačních systémů v logistice.
Přinášíme vám článek z časopisu Systémy Logistiky 209 (leden–únor 2024). Je to ochutnávka originálního obsahu, který najdete každé dva měsíce v tištěném časopise. Nechodí vám časopis? Registrujte se k odběru a nezmeškejte žádné vydání. Zasílaní je pro uživatele logistických služeb zdarma.
Firmám hrozí v případě kyberataku cíleného na jejich IT systémy mj. omezení nebo zastavení dodávek zboží a výrobků zákazníkům či obchodním partnerům, zastavení výroby a v krajním případě i celého podnikání. Finanční újma spojená s takovým útokem může dosáhnout milionů korun nebo i více. Rostislav Schwob, supply chain solutions director ve společnosti Aimtec, k tomu poznamenává: „A nejde jen o peníze, ohroženy jsou dobré jméno firmy a vztahy se zákazníky a oslabena může být také konkurenceschopnost.“
Kybernetické hrozby se nicméně ve své podstatě příliš nemění. „Jsou to rizika napadení ransomwarem, viry, spamy a podobně. Jen se rapidním rozmachem digitalizace, používáním mobilních zařízení a využitím cloudu neustále zvyšuje objem interakcí mezi systémy providerů a zákazníků, a s tím roste i potenciál hrozeb,“ vysvětluje Jan Tafat, IT director pro region CEE ve společnosti Geis.
Nejzávažnější a také nejfrekventovanější hrozby jsou v zásadě univerzální a kromě logistiky obvykle dopadají na celou organizaci. „Ačkoli jsou nejčastějšími vektory kompromitace webu nebo e-mailu, efektivní kybernetická ochrana musí pokrýt vše a pro všechny,“ upozorňuje Roman Kropáč, manažer rozvoje – kybernetická bezpečnost ve společnosti ICZ. Celá řada ochranných opatření se přitom dá realizovat nebo zlepšit vyladěním stávajících technologií a procesů.
Prevence, analýza rizik, záložní plán
Efektivní obrana proti kybernetickým hrozbám má podle Jana Tafata dvě základní roviny. „Zaprvé je to dobrá prevence, tedy navržení takové architektury a standardů, které poskytnou dobrý štít vůči atakům zvenčí,“ zdůrazňuje. Tyto systémy je zapotřebí následně neustále aktualizovat a testovat, a mít pro to současně nastavené patřičné mechanismy a procesy.
Druhou rovinou je důkladná analýza rizik pro případ napadení a také vytvoření plánu B. „Co dělat v případě, kdy se něco stane a systémy a data nebudou dostupná. Zde již není prostor a čas na improvizaci a firma musí mít jasný plán, jak fungovat. Nikdo si asi nepřeje, aby se takový scénář musel naplnit, ale i pro tyto situace musí existovat jasné postupy. Jak komunikovat, jaká aktivovat záložní řešení,“ vyjmenovává Jan Tafat.
Úskalí propojených systémů a sdílených dat
Stále větší konvergence a provázanost interních/externích/cloudových systémů je pro řadu firem novou a obtížnou disciplínou. „Pokud například svůj WMS systém propojím se systémem speditérské společnosti, už je ochrana dat sdílenou povinností a musí se řešit nové procesní, smluvní a technické otázky i s ohledem na kybernetickou bezpečnost,“ podotýká Roman Kropáč. S informačními technologiemi a prostředky navíc pracuje čím dál vyšší procento zaměstnanců, kteří by měli být ohledně rizik pohybu v kybernetickém prostoru adekvátně vzděláváni.
Vzhledem k rostoucímu objemu instalovaných zařízení sílí i rizika v rámci internetu věcí (IoT). „Naroste také podíl útoků přes mobilní telefony, například zaměstnanecké, s jejich častějším propojením do podnikových systémů a s rostoucím počtem nainstalovaných aplikací s různou úrovní zabezpečení. Konkrétně: jsou-li firemní či soukromé telefony jakkoliv zapojené do pracovních procesů, jsou opravdu všechny obskurní aplikace na nich instalované bezpečné? Existuje účinný firewall, který je oddělí od vnitrofiremního IT prostředí?“ klade podstatné otázky Petr Jahoda, jednatel společnosti Resultful.
Komplexní eliminace hrozeb
Nedostatečné zabezpečení operačních technologií může vést k relativně snadnému zneužití s velmi negativními dopady. „Eliminaci hrozeb je zapotřebí provádět komplexně a strategicky, a to tím spíš, čím je firma větší,“ popisuje Jan Dvořák, security manager ve společnosti Ness Czech. Navýsost důležitý je kromě jiného monitoring zařízení připojených v síti a analýza jejich komunikace od samého začátku jejich používání. Pomocí nástrojů, jako je SIEM (Security Information and Event Management neboli řízení bezpečnostních informací a událostí), lze poté snáze odhalit neobvyklé chování nebo odhalit zařízení, jež by v síti připojena být neměla.
Zásadní je, aby investice do IT bezpečnosti byly vždy v souladu s byznys plánem společnosti, přičemž bezpečnostní manažer firmy by měl dokázat investici obhájit. Ideální variantou je vytvořit tzv. Return on Security Investment (RoSI), což managementu firmy může zřetelně ukázat, zda se investice vyplatí a jaká je její návratnost. „Není to ale vždy o penězích a myslím, že většina bezpečnostních expertů se shoduje, že například kvalitní uživatelská školení nemusejí být finančně nákladná, a přitom jsou pro zvýšení bezpečnosti ve firmě kritická,“ dodává Jan Dvořák.
„Ochrana dat v popředí“
Největším rizikem pro logistické firmy je, že zpracovávají a ve svých databázích ukládají velké množství citlivých údajů od klientů a jejich koncových zákazníků. Samotné skladové provozy čelí častěji než elektronickým hrozbám těm tradičním, fyzickým. Z elektronických hrozeb jde o ty notoricky známé: úniky dat, hacking, phishing a ransomware. Z pohledu obrany jsou na prvním místě ne masivní investice do systémů, ale práce se zaměstnanci: školení, opakované ověřování jejich ostražitosti a podobně. Důležitý je i celkový bezpečnostní proces, tedy procesy na ochranu dat, ověřování procesů obchodních partnerů (včetně rozhraní mezi nimi), a pak také implementace moderních IT technologií.
Petr Jahoda, jednatel, Resultful
„Řízení IT bezpečnosti na základě normy“
V kostce se jedná o celý soubor opatření, který je efektivně řízen principy ISMS – systému managementu informační bezpečnosti podle mezinárodní normy ISO 27001. Norma definuje požadavky na řízení bezpečnosti informací, jako je například řízení rizik, řízení incidentů a dodržování zákonů a regulací. Cílem je zajistit, aby byly informace v organizaci chráněny před riziky, jakými jsou například ztráta, špatné použití, poškození nebo zneužití. Norma specifikuje požadavky na ustavení, implementování, udržování a neustálé zlepšování systému řízení bezpečnosti informací v rámci kontextu rizik činnosti organizace.
Jan Tafat, IT director pro CEE, Geis
Článek připravil: David Čapek