Jak vůbec vnímají české firmy problematiku bezpečnosti?
Ještě nedávno byla pro mnohé firmy bezpečnost svým způsobem špatně uchopitelná, nerozuměly jí, špatně si dávaly věci do souvislostí apod. Současná situace je ale úplně jiná. Přechod na hybridní způsob práce managementu firem ukázal, že dnešní zaměstnanci už fungují jinak – že už nejsou na jednom pracovišti a že je nutné jim i tak zajistit potřebnou úroveň zabezpečení. Také rozsáhlá medializace nedávných ransomwarových útoků pomohla k tomu, že povědomí o kybernetické bezpečnosti se výrazně zvedlo, takže pro IT pracovníky by mělo být relativně jednoduché přesvědčit vedení, že by se pro ochranu mělo začít něco dělat.
A jaká je současná situace ohledně bezpečnosti práce z domova?
Pro nás bylo vždy důležité mapovat aktuální situaci na trhu – a díky tomu, že jsme částečně česká firma, velkou pozornost věnujeme právě tuzemsku. V průzkumu Digitální občanství, který jsme letos v Česku uskutečnili ve spolupráci se společností YouGov a jenž byl zaměřený na to, jak se v domácnostech používají osobní počítače, jsme například zjistili, že plných 28 % lidí tráví více než tři hodiny denně na PC doma poté, co opustí pracovní povinnosti. Pro polovinu respondentů je pak internet mnohem důležitější, než tomu bylo před pandemií, a dvě třetiny dotázaných používají sociální média každý den – zjevný je tedy obrovský nárůst doby, kterou lidé tráví u svých počítačů či mobilů.
Dobrou zprávou ale je, že se zároveň zvýšilo i obecné povědomí o bezpečnosti – čtyři z pěti dotázaných uživatelů už mají nainstalovaný nějaký antivirus, polovina pak provozuje některou podobu pokročilého firewallu, téměř polovina používá správce hesel a i u ostatních technologií ochrany dat jsou vidět poměrně velká čísla, i když stále existuje část uživatelů, kteří se nijak nechrání (trochu zarážející je, že 60 % českých respondentů se o svou bezpečnost a soukromí na internetu vůbec neobává, nebo jen trochu). My sami jsme během pandemie zaznamenali značný nárůst stažení našeho bezpečnostního softwaru. A potěšujícím zjištěním je i to, že 82 % dotázaných plánuje zachovat zvýšená bezpečnostní opatření u svých počítačů při práci z domova i po odeznění pandemie.
Vítězslav Šantrůček
Produktový ředitel Avastu. Před jmenováním do této pozice působil v roli generálního manažera divize Avast Business, kde se zaměřoval na neustálé zlepšování poskytování služeb partnerům a zákazníkům a rozšiřování SMB portfolia novými nabídkami (cloudové zabezpečení, patch management).
Má přes dvacet let zkušeností s vedením globálních týmů v Silicon Valley provádějících inženýring v oblastech jako big data, internet věcí a Java, a to v několika společnostech včetně Oraclu, Sun Microsystems a MSD.
Co je největší výzvou pro zvýšení zabezpečení při hybridní podobě práce?
Z nedávného průzkumu Avast PC Risk vyplynulo, že pravděpodobnost toho, že domácí počítač zaměstnance bude napadený, je vyšší zhruba o čtvrtinu oproti ataku na PC ve firemní síti – v případě českých firem je dokonce pravděpodobnost, že se firemní koncová stanice (počítač či mobilní přístroj) stane obětí útoku během jednoho měsíce, 18 %, u domácího zařízení je to minimálně 31 %, což představuje meziročně 9% nárůst.
To, že lidé pracují z domu, tedy představuje velký nárůst rizika pro podniky. Vezměte si totiž, že před pandemií alespoň částečně pracovala z domu zhruba pětina lidí, dnes jsou to téměř dvě třetiny – a firmy na takový nárůst nebyly vůbec připravené. Představuje to pro ně výzvu jak technologickou, tak organizační.
Z technologického hlediska firmy ztratily především možnost spravovat koncová zařízení lokálně, takže musejí řešit, jak to dělat vzdáleně, a z organizačního pak zejména to, že obvykle neměly předem nastavené procesy a pravidla, jak se mají zaměstnanci při práci z domu chovat, aby neohrozili sebe i svou firmu. A protože procesy nejsou nikdy dokonalé a lidé vždy dělají nějaké chyby, je potřeba tato opatření doplnit o technologické prvky zabezpečení.
Jak bezpečnost komplikuje roztříštěnost typů koncových zařízení?
I když je v současnosti vidět zřetelný posun v zabezpečení jednotlivých operačních systémů a aplikací, právě výše zmíněná diverzita používaných přístrojů ukazuje důležitost mít technologické řešení, které je víceplatformní a dokáže pokrýt různorodost toho, co mají zaměstnanci doma, a poskytnout alespoň částečně jednotnou úroveň ochrany.
Může pomoci úrovni firemního zabezpečení nasazení cloudových aplikací?
To určitě částečně pomoci může, protože zejména u menších firem to z nich odejme některé povinnosti a potřeby, které by si musely zajistit jinak – primárně jde především o komunikaci, bezpečné úložiště či zálohování, a také odstraní část problémů s infrastrukturou. Velká část potíží se zabezpečením ale zůstává ve firmách i v situaci, kdy použijí cloud – dobrým příkladem může být instalace patchů operačních systémů koncových zařízení, což cloud vůbec neřeší – a z toho vyplývá, že útoky na systémy zaměstnanců mohou pokračovat i při přechodu na cloud.
Dalším příkladem, kdy cloud nepomáhá, je situace, kdy se pracovník stane terčem phishingových útoků nebo když se firemní data nacházejí na nezabezpečeném koncovém zařízení v domácnosti.
A v neposlední řadě cloud přináší i řadu nových problémů – když třeba byla dříve firemní data uložená na interním podnikovém úložišti, bylo pro externího útočníka velice obtížné se k nim dostat. V případě, že firma používá cloudové úložiště, pak při špatně nastavené přístupové politice (může jít například i jen o nějaké nedopatření) nebo při chybě zaměstnance se kvůli podstatě cloudu může útočník k citlivým údajům dostat mnohem snáz.
Co byste doporučil, aby menší firmy udělaly pro zvýšení zabezpečení svých zaměstnanců?
V první řadě by zodpovědní lidé měli pochopit, v jakém stavu se jejich firma z pohledu bezpečnosti aktuálně nachází a jaká rizika jí skutečně hrozí, a také naplánovat, co by její zaměstnanci měli dělat, kdyby skutečně čelili nějaké hrozbě. Na internetu je spousta zdrojů, kde získají mnoho informací o tom, s jakými riziky se mohou setkat a jak se jim lze bránit. Na zahraničních webech jsou dokonce k dispozici i určité nástroje pro správu rizik, které jim umožní pochopit, kde jsou pro ně největší hrozby a jak dobře jsou na ně připravené. Co se týče technologických řešení, doporučil bych firmám dívat se po systémech, ve kterých je integrovaná ochrana vůči více typům hrozeb, jež jsou jednoduchá na obsluhu a nabízejí jednotné rozhraní pro různé typy bezpečnostních služeb. Základ, ze kterého by se mělo vycházet, zahrnuje nějaký antimalwarový systém doplněný o produkt pro zabezpečení sítě (bez ohledu na to, kde se pracovník právě nachází), a také řešení, jež zajistí aktualizaci a instalaci oprav operačních systémů a aplikací, jejichž chyby útočníci velmi často zneužívají.
A mají si menší firmy dát na něco pozor?
Je potřeba říci, že bezpečnost je komplikovaná pro organizace, které IT oddělení mají, natož pak pro menší firmu, jež IT řeší zpravidla dodavatelsky. Tyto společnosti často nevnímají bezpečnost jako problém jednak proto, že jí nerozumějí, jednak kvůli tomu, že si myslí, že nemohou být cílem nějakého kybernetického útoku. To se ale samozřejmě radikálně změní, jakmile k nějakému ataku dojde. Tady mohou pomoci třetí strany, které potřebnou expertizu mají a dokážou v mnoha aspektech těmto firmám výrazně pomoci. Technologické řešení lze přitom nasadit poměrně rychle – od výběru vhodného řešení až po jeho plnou implementaci obvykle uplynou pouhé dny. A co se týče ceny, kvalitní řešení lze pořídit už za částku 50 dolarů ročně na jednoho zaměstnance (tedy pro vícero jeho koncových zařízení).
Co menším firmám může nabídnout konkrétně Avast?
Avast se snaží oslovit především firmy do sta zaměstnanců, které nemají své IT oddělení nebo není příliš sofistikované. Těm jsme schopní nabídnout řešení, které je obvyklé pro korporátní úroveň a na nějž by při běžné implementaci nebyly schopné dosáhnout. Jde o produkt Avast Business Hub, který je velice jednoduché implementovat a umožňuje z jednoho místa spravovat bezpečnost v celé firmě. Toto řešení nevyžaduje od firemního personálu žádnou složitou činnost – ti lidé pro to, aby služby zabezpečení správně fungovaly, v podstatě nemusejí detailně vědět, co a jak Business Hub dělá, a ani se nemusejí zabývat tím, jak jej do firemního IT zaintegrovat.
PŘEDPLATNÉ
ČLÁNKY DO MAILU