Českého průzkumu CEO Survey 2020se zúčastnilo 179 ředitelů a probíhal v loňském listopadu a prosinci. To bylo těsně předtím, než došlo k medializovaným útokům na benešovskou nemocnici a těžební společnost OKD. Tedy událostem, které jasně ukázaly, že hackerské útoky dovedou z provozu vyřadit i „netechnologické“ firmy a znemožní pracovat lékařům i horníkům.

„I přes pomalu rostoucí povědomí o případných následcích kybernetického útoku na firmu je toto riziko u nás stále hluboce podceňováno. Je až zarážející, že se stále u některých našich klientů setkáváme s přístupem „nám se to stát nemůže“ anebo „až začne hořet, budeme hasit“. Tyto firmy si ale málokdy uvědomují, že toto „hašení“ je potom může stát klidně i desetkrát více než prevence a nastavení efektivních obranných mechanismů,“ říká partner PwC ČR pro oblast řízení rizik Tomáš Kuča

Obáváte se v následujícím roce kybernetických hrozeb coby rizika pro vaše podnikání?

 

Vůbec se neobávám

Příliš se neobávám

Trochu se
obávám

Velmi se
obávám

Hodnotím
jako riziko

Česká CEO Survey 2020

21 %

43 %

29 %

7 %

36 %

Global CEO Survey 2020

5 %

22 %

40 %

33 %

73 %

Sebevědomí českých ředitelů přitom čiší i z dalších odpovědí. Celkem 83 procent šéfů si myslí, že jejich společnost „je odolná vůči kybernetickým hrozbám, dokáže odolat kybernetickým útokům a rychle se zotaví“. A dokonce 87 procent prohlašuje, že jejich společnost „při zavádění nových technologií proaktivně vyhodnocuje rizika spojená s bezpečností a soukromím“.

Když měli ředitelé na stupnici od 1 do 10 (nejlepší) zhodnotit spokojenost s úrovní kyberbezpečnosti své firmy, vyšla průměrná známka 7,3. 

A pokud už ředitelé připouští, že kyberhrozby jsou hrozby, čeho se obávají nejvíce? Na prvním místě je (se známkou 7,5/10) „omezení přístupu k vlastním datům a technologiím“. Jen těsně za touto hrozbou je s hodnocením 7,2/10 riziko prozrazení citlivých informací. Následují obavy z finančního poškození společnosti (6,4/10) a snížení reputace společnosti na základě kyberútoku (6,1/10).

Nakolik jsou níže uvedená kyberrizika závažná pro vaši společnost?

Druh rizika

Hodnocení

Omezení přístupu k vlastním datům a technologiím

7,5

Prozrazení citlivých informací

7,2

Finanční poškození společnosti

6,4

Snížení reputace společnosti na základě kyberútoku

6,1

Narušení integrity informací – úprava zvenčí

5,8

Ohrožení bezpečnosti a zdraví zaměstnanců

4,2

(Závažnost rizika je vyjádřena na škále od 1 do 10, kde 1 znamená minimální závažnost a 10 velmi závažné riziko)

A jak firmy na kybernetické hrozby v uplynulých dvou letech v praxi reagovaly? Téměř polovina ředitelů (49 %) investovala do nových technologií, třetina (33 %) navýšila rozpočet na kyberbezpečnost a čtvrtina potom investovala do security awarness programu pro své zaměstnance (26 %) nebo do najmutí externích dodavatelů a konzultantů (25 %). 

Jaké důsledky měly kybernetické útoky a rizika pro vaši společnost v posledních 2 letech?

Ani z odpovědí na tuto otázku tak nevzešly odpovědi, které by za všech okolností přispívaly k lepší odolnosti vůči hrozbám. „Firma, která investuje do technologií, ale nemá nikoho, kdo by se o systém staral, jen topí náklady. Někdo totiž musí vytvořit a řídit strategii kyberbezpečnosti a dlouhodobě firmu provést transformací kyberbezpečnosti. A stejně tak jsou potřeba lidé v exekutivní části, kteří technologie nasadí, nakonfigurují, budou je provozovat, vyhodnotí slabá místa a navrhnou, co s nimi dělat dal. Známe příklady firem, které věděly, že jsou pod útokem – jejich detekční nástroje útok detekovaly, reportovaly, hlásily, ale na tato hlášení nikdo nereagoval,“ vysvětluje Petr Špiřík, odborník na kyberbezpečnost v PwC ČR.  

„Osobně si myslím, že i přes pomalu rostoucí povědomí o případných následcích kybernetického útoku na firmu, je toto riziko u nás stále hluboce podceňováno. Je až zarážející, že i přes medializaci některých historických útoků v ČR a rostoucí zájem generálních ředitelů o toto téma se u některých našich klientů stále setkáváme s přístupem „nám se to stát nemůže“ anebo „až začne hořet, budeme hasit“. Tyto firmy si ale málokdy uvědomují, že toto „hašení“ je potom může stát klidně i desetkrát více než prevence a nastavení efektivních obranných mechanismů. Povědomí nejen generálních ředitelů, ale i dalších členů managementu je v ČR stále nízké. A proto je toto téma raději odsouváno,“ uvedl Tomáš Kuča, partner PwC.

„Ukazuje se, že technologie, jako je cloud a umělá inteligence (nebo spíše pokročilá analytika), již dostatečně vyspěly, klienti porozuměli jejich možnostem a přínosům a nacházejí pro ně praktické využití ve svém podnikání. S přibývajícími zkušenostmi se zaváděním cloudu klienti zreálnili svá očekávání a místo původně hlavního důrazu na snižování nákladů začali oceňovat zejména výhody ve zvýšení flexibility a bezpečnosti. U řady ostatních technologií je patrné určité vyprchávání prvotního nadšení z technologických inovací, které však není v plné míře následováno ekonomicky efektivními příklady jejich využití. V tomto ohledu k asi největšímu rozčarování došlo u technologie blockchainu,“ uzavírá další partner společnosti PwC Petr Ložek.