Českého průzkumu CEO Survey 2020se zúčastnilo 179 ředitelů a probíhal v loňském listopadu a prosinci. To bylo těsně předtím, než došlo k medializovaným útokům na benešovskou nemocnici a těžební společnost OKD. Tedy událostem, které jasně ukázaly, že hackerské útoky dovedou z provozu vyřadit i „netechnologické“ firmy a znemožní pracovat lékařům i horníkům.
„I přes pomalu rostoucí povědomí o případných následcích kybernetického útoku na firmu je toto riziko u nás stále hluboce podceňováno. Je až zarážející, že se stále u některých našich klientů setkáváme s přístupem „nám se to stát nemůže“ anebo „až začne hořet, budeme hasit“. Tyto firmy si ale málokdy uvědomují, že toto „hašení“ je potom může stát klidně i desetkrát více než prevence a nastavení efektivních obranných mechanismů,“ říká partner PwC ČR pro oblast řízení rizik Tomáš Kuča.
Obáváte se v následujícím roce kybernetických hrozeb coby rizika pro vaše podnikání?
Vůbec se neobávám |
Příliš se neobávám |
Trochu se |
Velmi se |
Hodnotím |
|
Česká CEO Survey 2020 |
21 % |
43 % |
29 % |
7 % |
36 % |
Global CEO Survey 2020 |
5 % |
22 % |
40 % |
33 % |
73 % |
Sebevědomí českých ředitelů přitom čiší i z dalších odpovědí. Celkem 83 procent šéfů si myslí, že jejich společnost „je odolná vůči kybernetickým hrozbám, dokáže odolat kybernetickým útokům a rychle se zotaví“. A dokonce 87 procent prohlašuje, že jejich společnost „při zavádění nových technologií proaktivně vyhodnocuje rizika spojená s bezpečností a soukromím“.
Když měli ředitelé na stupnici od 1 do 10 (nejlepší) zhodnotit spokojenost s úrovní kyberbezpečnosti své firmy, vyšla průměrná známka 7,3.
A pokud už ředitelé připouští, že kyberhrozby jsou hrozby, čeho se obávají nejvíce? Na prvním místě je (se známkou 7,5/10) „omezení přístupu k vlastním datům a technologiím“. Jen těsně za touto hrozbou je s hodnocením 7,2/10 riziko prozrazení citlivých informací. Následují obavy z finančního poškození společnosti (6,4/10) a snížení reputace společnosti na základě kyberútoku (6,1/10).
Nakolik jsou níže uvedená kyberrizika závažná pro vaši společnost?
Druh rizika |
Hodnocení |
Omezení přístupu k vlastním datům a technologiím |
7,5 |
Prozrazení citlivých informací |
7,2 |
Finanční poškození společnosti |
6,4 |
Snížení reputace společnosti na základě kyberútoku |
6,1 |
Narušení integrity informací – úprava zvenčí |
5,8 |
Ohrožení bezpečnosti a zdraví zaměstnanců |
4,2 |
(Závažnost rizika je vyjádřena na škále od 1 do 10, kde 1 znamená minimální závažnost a 10 velmi závažné riziko)
A jak firmy na kybernetické hrozby v uplynulých dvou letech v praxi reagovaly? Téměř polovina ředitelů (49 %) investovala do nových technologií, třetina (33 %) navýšila rozpočet na kyberbezpečnost a čtvrtina potom investovala do security awarness programu pro své zaměstnance (26 %) nebo do najmutí externích dodavatelů a konzultantů (25 %).
Jaké důsledky měly kybernetické útoky a rizika pro vaši společnost v posledních 2 letech?
Ani z odpovědí na tuto otázku tak nevzešly odpovědi, které by za všech okolností přispívaly k lepší odolnosti vůči hrozbám. „Firma, která investuje do technologií, ale nemá nikoho, kdo by se o systém staral, jen topí náklady. Někdo totiž musí vytvořit a řídit strategii kyberbezpečnosti a dlouhodobě firmu provést transformací kyberbezpečnosti. A stejně tak jsou potřeba lidé v exekutivní části, kteří technologie nasadí, nakonfigurují, budou je provozovat, vyhodnotí slabá místa a navrhnou, co s nimi dělat dal. Známe příklady firem, které věděly, že jsou pod útokem – jejich detekční nástroje útok detekovaly, reportovaly, hlásily, ale na tato hlášení nikdo nereagoval,“ vysvětluje Petr Špiřík, odborník na kyberbezpečnost v PwC ČR.
„Osobně si myslím, že i přes pomalu rostoucí povědomí o případných následcích kybernetického útoku na firmu, je toto riziko u nás stále hluboce podceňováno. Je až zarážející, že i přes medializaci některých historických útoků v ČR a rostoucí zájem generálních ředitelů o toto téma se u některých našich klientů stále setkáváme s přístupem „nám se to stát nemůže“ anebo „až začne hořet, budeme hasit“. Tyto firmy si ale málokdy uvědomují, že toto „hašení“ je potom může stát klidně i desetkrát více než prevence a nastavení efektivních obranných mechanismů. Povědomí nejen generálních ředitelů, ale i dalších členů managementu je v ČR stále nízké. A proto je toto téma raději odsouváno,“ uvedl Tomáš Kuča, partner PwC.
„Ukazuje se, že technologie, jako je cloud a umělá inteligence (nebo spíše pokročilá analytika), již dostatečně vyspěly, klienti porozuměli jejich možnostem a přínosům a nacházejí pro ně praktické využití ve svém podnikání. S přibývajícími zkušenostmi se zaváděním cloudu klienti zreálnili svá očekávání a místo původně hlavního důrazu na snižování nákladů začali oceňovat zejména výhody ve zvýšení flexibility a bezpečnosti. U řady ostatních technologií je patrné určité vyprchávání prvotního nadšení z technologických inovací, které však není v plné míře následováno ekonomicky efektivními příklady jejich využití. V tomto ohledu k asi největšímu rozčarování došlo u technologie blockchainu,“ uzavírá další partner společnosti PwC Petr Ložek.