Kybernetickými hrozbami by se měl strategicky zabývat každý člen vrcholového managementu!

I když mediální bouře kolem kybernetického útoku na společnost Sony už utichla, lze jen těžko odhadovat, jakou ekonomickou újmu a poškození dobrého jména společnost Sony v krátkodobém a dlouhodobém horizontu utrpěla. Jiný kybernetický útok by spáchán na společnost Target, jeden z předních maloobchodních řetězců světa, a byť k němu došlo už v roce 2013, škodu, jaká společnosti vznikla, je těžké odhadnout i dnes. V poslední době se zkrátka zdá, že kybernetické útoky nám hrozí neustále a ze všech stran. Já rozhodně nejsem žádný odborník na kybernetiku, avšak poznámka ředitele společnosti Sony, že „není to tak, že bychom měli nějakou metodickou příručku, ve které je napsáno, co máme nebo nemáme dělat, když dojde ke kybernetickému útoku“, mě přivedla k zamyšlení nad těmito otázkami:

1. Je možné, že se v naší době, zatímco řídíme obchodní korporace, všechno dostane na veřejnost?
2. Odpovídá vedle manažera IT někdo za informační bezpečnost společnosti?
3. Jakou odpovědnost nese každý vedoucí pracovník, včetně členů statutárního orgánu, pokud jde o kybernetickou bezpečnost?

Kybernetické útoky jsou cenou, kterou platíme za podnikání v éře digitální ekonomiky

V posledních letech se svět podnikání vyznačuje vysokou proměnlivostí vyplývající z globálních hospodářských změn a neustálého technologického rozvoje. Věk informační ekonomiky ovlivňují nejen technologie jako mobilní data, cloud computing a big data, ale i aktivity jednotlivých společností na sociálních sítích. Kdyby mi před několika lety někdo řekl, že budu řídit auto vybavené spoustou senzorů a počítačů, znělo by mi to spíš jako scénář ke sci-fi filmu. Avšak technologické přístupy, jako je „Internet věcí“, kdy jsou internetové služby využívány pro účely monitorování a dálkového ovládání, se staly nedílnou součástí našeho každodenního života a ekonomiku změnily k nepoznání.

Vada na kráse – úžasné obchodní příležitosti spojené se značným rizikem

Technologie mají rozhodující vliv na způsob, jakým vykonáváme činnosti související s podnikáním, i na způsob řízení rizik. Globalizace nám sice přinesla nové obchodní příležitosti, na druhou stranu ale také zvýšila rizika, která s sebou každé podnikání nese. Technologický rozvoj, jakkoli je prospěšný, může narušovat vnitropodnikové postupy a implementaci kontrolních systémů, čímž může omezovat schopnost společnosti odhalit nekalé jednání. Čím více technologické nástroje používáme pro obchodní účely a pro účely finančních informací, tím více narůstá pravděpodobnost kybernetických útoků.

Kybernetické útoky – jedna z deseti hlavních hrozeb pro firemní bezpečnost v roce 2015

Podle nejrůznějších ekonomických předpovědí pro rok 2015 je kybernetický útok považován za jednu z deseti nejvýznamnějších hrozeb, kterým obchodní organizace čelí, přičemž se předpokládá, že míra rizika v této oblasti neustále poroste. Kybernetický útok má dopad na všechny oblasti firemní činnosti. Podrývá vnitřní i vnější stabilitu společnosti a mezi management a zaměstnance, jakož i klienty a organizaci vnáší krizi důvěry. V průběhu času snižuje hodnotu majetku společnosti, poškozuje její dobré jméno a narušuje schopnost řádně pokračovat v činnosti. A přesto řada řídících pracovníků považuje kybernetické riziko pouze za technologické, jehož řešení podle jejich názoru proto spočívá v neustálém navyšování rozpočtu na nákup „nejnovějších“ firewallů nebo jiného ochranného softwaru, místo toho, aby se na problém podívali z hlediska řízení rizik. Kvůli tomuto přístupu manažeři ignorují globální rizika související s daným problémem a vyhýbající se rozhodnutím, jež by odpovídala kulturním a obchodním změnám moderní doby. Musíme si uvědomit, že ne každý ochranný software, jakkoli výkonný může být, zcela vyloučí možnost kybernetického útoku, stejně tak jako je nemožné zcela zabránit hospodářské kriminalitě, jako jsou podvody a zpronevěra. Statistiky dále ukazují, že neexistuje vzájemná souvislost mezi rozpočtovými investicemi do softwaru poskytujícího ochranu proti kybernetickým hrozbám a četností kybernetických útoků. Koneckonců by se dalo očekávat, že bezpečnostní software jak četnost, tak intenzitu takových útoků sníží, ale ve skutečnosti se děje pravý opak – kybernetické útoky jsou den ode dne častější a důmyslnější. Hlavní problém tak nemá co do činění s rozpočtem nebo typem softwaru. Klíčovou otázkou je inteligentní řízení rizik ve vztahu ke kybernetickým útokům a bezpečnosti. Ke zvyšování zdrojů by mělo docházet v rámci strategického řízení, které je součástí systému řízení rizik uvnitř společnosti, a to po pečlivé analýze charakteristiky a zdrojů společnosti, její infrastruktury a majetku, které je nutné chránit. Manažeři a odpovědní pracovníci musí být na kybernetické útoky nebo fyzické narušení bezpečnosti optimálně připraveni. Další otázka by měla směřovat k tomu, jak se z takových útoků vzpamatovat a zároveň si zachovat stabilitu a pokračovat v přípravě na další potenciální rizika.

Jaké otázky by si výkonní ředitelé a jednatelé společností měli v souvislosti s kybernetickými útoky položit?

Hodnocení rizik –Jaká jsou hlavní rizika, kterým společnost čelí? Jsou zohledňovány aspekty konkurence a konkrétní zranitelnosti odvětví, v němž společnost podniká? Jestliže se organizace zabývá vývojem inovativního léku, může hlavní riziko spočívat v oblasti výzkumu a vývoje, zatímco maloobchodnímu řetězci hrozí ztráta informací ohledně jeho zákaznických věrnostních klubů. V jakém oboru hrozí organizaci riziko krádeže citlivých a klíčových informací? „Nespokojený zaměstnanec“ – Žádný ředitel by se necítil dobře, kdyby do jeho společnosti pronikl vetřelec zvenčí, ale co interní rizika? Zpronevěry se nejčastěji dopouštějí zaměstnanci. Některé z nich k tomuto jednání motivuje pomsta za osobní urážku, kterou utrpěli, nebo určité podmínky, za kterých byli zaměstnáni. U jiných může být důvodem ukončení zaměstnání. Tyto a podobné důvody mohou být silným hnacím motorem k tomu, aby došlo k „úniku informací“ a nedovolenému použití majetku společnosti. Existují v rámci společnosti pravidla, které mají za cíl omezit riziko úniku citlivých informací? Má daná organizace pravidla ukládající zaměstnancům oznamovací povinnost? Byli s nimi zaměstnanci seznámeni? Jsou tato pravidla vynucována? Angažovanost a odhodlanost – Má každý manažer, který nese odpovědnost za firemní zdroje, dostatek informací a klade relevantní otázky k tomu, aby nastavil náležitou bezpečností strategii? Jaká je odpovědnost manažera v oblasti kybernetické bezpečnosti společnosti a minimalizace rizika kybernetických útoků? Připravenost a uspořádání – jsou klíčové. Do jaké míry je organizace připravena reagovat na kybernetický útok? Jak se v případě takového útoku správně zachovat a co naopak nedělat? Vědí osoby odpovědné za data, kde jsou tato data uložena? Dají se informace rychle obnovit? Mělo by být vydáno tiskové prohlášení, aby se minimalizovalo předpokládané poškození dobrého jména? To jsou některé z možných scénářů, které se u každé organizace mohou lišit, společné však mají to, že každá společnost by měla být připravena dopředu. Vrcholný management a členové představenstva nesou dvojí odpovědnost: na jednu stranu odpovídají za vypracování firemní obchodní strategie a nastavení pravidel, na druhou stranu provádějí celkový dohled, a tudíž nesou odpovědnost za všechny důsledky a selhání. Jedním z nejkonkrétnějších příkladů je propuštění výkonného ředitele řetězce Target, které následovalo po krádeži osobních dat 40 milionů zákazníků. Dalším příkladem je rezignace předsedkyně správní rady společnosti Sony, jež byla považována za jednu z nejvlivnějších žen ve filmovém průmyslu.

Než budete jednat, přemýšlejte – kdo vlastně odpovídá za kybernetickou bezpečnost organizace?

Digitální věk přinesl významné změny ve způsobu, jakým probíhá obchodní dialog. Na důležitosti nabyly pojmy jako odpovědnost firmy a postupy efektivního řízení rizik. Dnes jsou vedoucí představitelé firem hodnoceni podle svých schopností zaměřit se na detail. Musí nést velký díl odpovědnosti za hospodářské výsledky a maximalizaci zisku organizace, za niž odpovídají. Musí se ztotožnit s faktem, že kybernetické útoky a narušení fyzické bezpečnosti představují skutečnou hrozbu, která může společnost „paralyzovat“, přičemž oni od nich se bude chtít, aby se k této záležitosti vyjádřili. Dialog mezi vedoucími pracovníky a odborníky na řízení kybernetických rizik je nezbytný k tomu, aby mohli tato neustále rostoucí rizika zvládat odpovědně a racionálně a zároveň minimalizovali riziko, že budou čelit žalobám za nedbalost v případě, že tak neučiní. Autor je řídícím partnerem a jedním ze zakladatelů společnosti RSM Shiff Hazenfratz & Co. zaměřené na účetní poradenství a bývalým předsedou Institutu certifikovaných účetních v Izraeli. Reuven Shiff, Managing partner RSM Shiff Hazenfratz & co. Pro více informací nás prosím kontaktujte.

RSM CZ se stala partnerem Unie podnikových právníků ČR o.s.