S válkou na Ukrajině se slovo bezpečnost začalo ve firmách také čím dál tím více skloňovat i v jiných souvislostech, než je bezpečnost práce.

Stále intenzivnější digitalizace všemožných aspektů soukromé i veřejné sféry, společně s novými ekonomickými hrozbami, jako jsou astronomické ceny energií, narušení dodavatelských řetězců a zostřující světové politické situace, zvyšují atraktivitu nekalých útoků cizí mocí. Ta může cílit na cenné know-how nejprůmyslovější evropské země, na ovlivnění jejího ekonomického fungování a v konečných důsledcích i na náš společenský řád.

Ve stínu těchto nových skutečností české ekonomické sféry se v rámci regionálního zastoupení Prahy, Středočeského a Ústeckého kraje začaly pořádat kulaté stoly na tuto oblast, konkrétně 25. května zaměřená na obecné hrozby a 26. července na hrozby hybridní. Text tohoto článku je ale rozdělen spíše tematicky dle obsahu obou akcí. Vhodné načasování těchto akcí bylo podtrženo hned prvním přednášejícím, ředitelem české civilní kontrarozvědky.

I – Tradiční aspekty bezpečnosti podnikání

Oba kulaté stoly si vzaly za cíl představit bezpečnostnímu, strategickému, IT a obchodnímu managementu členských firem Svazu průmyslu závažnost situace. Headlinerem první akce byl plukovník Michal Koudelka, ředitel Bezpečnostní informační služby a hned na začátku svého výstupu představil dobrou zprávu – v důsledku „úklidu“ diplomatického personálu ruské ambasády po vrbětické kauze na jaře 2021 se zpravodajské aktivity tohoto státu zásadně zredukovaly. To neznamená, že by neprobíhaly, operace na našem území stále probíhají, ovšem bez diplomatického krytí musí fungovat v utajenějším (a tedy ýrazně nákladnějším a omezenějším) režimu.

Dále se účastníci dozvěděli, že všichni mohou představovat zájmovou osobu z pohledu cizí moci, že by si tohoto faktu měli být vědomi a podle toho uzpůsobili svoje jednání. Je totiž pravděpodobné, že zvláště pokud pojedou na zahraniční (soukromou i pracovní) cestu do zemí jako je Čína, budou bedlivě monitorováni. Pak stejně jako příležitost dělá zloděje, tak případný přešlap typu „náhodné“ romantické známosti mu může zadělat na hluboký problém, který se řeší už zvláště složitě. Každý člověk s přístupem k důležitým informacím, zdrojům či osobám by se měl mít na pozoru i v domácím prostředí, protože cílem kompromitující operace se může stát i zde.

Základem je tedy, stejně jako u všech ostatních hrozeb, prevence, což bylo potvrzeno i prezentací Centra proti terorismu a hybridním hrozbám Ministerstva vnitra ČR na druhé akci 26.7. Pan Bílý z Odboru bezpečnostní politiky se během této prezentace věnoval nelegitimnímu ovlivňování privátního sektoru, tedy skrytým, vynucujícím či korupčním aktivitám, které mají narušit ideově – hodnotové zakotvení společnosti, ústavněprávní uspořádání státu, jeho ekonomiku, bezpečnost a obranu.

Primárním krokem v této oblasti je uvědomění si, že rizikové vlivové působení cizí moci je reálné a že existují lidé, kteří Vás chtějí zneužít pro prosazení svých zájmů. Je tedy třeba provést manažerské strategické rozhodnutí, vedoucí k identifikaci důležitých aktiv (know how, lidé, přístupy do prostor /dat) a následně posílení prostředků, jak útokům na ně zabránit, popřípadě jak takové útoky spolehlivě a zavčasu detekovat.

Ostatně prevenci úniku informací se věnovala poslední prezentace prvního kulatého stolu. Bývalý elitní detektiv hospodářské kriminality Policie ČR Stanislav Kazbunda, mluvil o způsobech, jak posílit komunikační bezpečnost. Ačkoliv se to tak nemusí zdát, tak i v soukromé sféře stačí jediná uniklá věta o klíčovém připravovaném projektu, která může podniku způsobit mnohamilionovou ztrátu. V rámci důvěrné diskuze bylo identifikováno několik konkrétních případů, které ale nejsou publikovatelné.

bezpecnost2 uprava

II – Moderní hrozby

Jak je uvedeno na začátku tohoto článku, české firmy jsou častým cílem zahraničních kybernetických útoků, což odůvodnilo zařazení tohoto tématu do obou kulatých stolů – na prvním to byla společná prezentace firem Corpus Solutions a Deloitte, na druhé od společnosti Alef Nula.

Obě prezentace byly orientovány především na manažerský pohled na problematiku, tedy ideálně s cílem rozvinutí manažerského mindsetu, který vnímá odolnost podniku před takovými útoky jakožto asset společnosti, ne jako další obligátní a rutinní aspekt jeho fungování.

Obvykle jsou totiž bezpečnostní rizika řešena až ex-post, tedy v momentě kdy je škoda již napáchána, nebo jsou „papírově“ splněné předpisy typu Zákona o kybernetické bezpečnosti či požadavky norem typu ISO 27001. Firmy ale často se spoléhají na takováto generická řešení, která nezohledňují specifika společností a která vedou ke kolektivní neodpovědnosti za důsledky případných útoků. Jak se k této tématice tedy postavit? Neexistuje univerzální návod, jiný než „snažit se“ – důsledně identifikovat oblasti, které je nutné zabezpečit, řešení jejich zabezpečení konzultovat ideálně s více nezávislými subjekty (nevěřit tedy zázračným obchodním sdělením) a především důsledné dodržování předepsaných zásad všemi systém používajícími uživateli.

Je to totiž právě lidská chyba, která většinu problémů v této oblasti způsobí a na ní cílí také většina automatizovaných útoků – v mezidobí od začátku roku 2020 do konce roku 2021 se například ztrojnásobil počet phishingových útoků.

Poslední z prezentací dosavadních akcích byla na téma dezinformací a jejich vliv na byznys. Expertka na dezinformační operace Adéla Klečková popsala několik konkrétních případů, například jak reklama na nový mobilní 5G internet se zobrazila u dezinformačního článku „informujícím“ o tom že toto záření způsobuje zdravotní potíže. Kromě podobného reputačního rizika se firmy také můžou stát terčem cílené dezinformační kampaně, jako se tomu tak stalo jednomu oděvnímu řetězci, který po přerušení obchodních vztahů souvisejícím s otrockou prací ujgurských vězňů byl ve Vietnamu falešně osočen z publikování sporné mapy vietnamského území, vedoucímu k všeobecnému bojkotu mezi tamějšími obyvateli.

Že téma dezinformací v naší společnosti silně rezonuje, bylo znát jak na následující debatě, tak dokonce i v době po události, kdy paní prezentující dokonce dorazilo několik „hejtů“ od lidí, kteří se události ani nezúčastnili.