Keď sa vo firmách otvorí téma kybernetickej bezpečnosti, veľmi často zaznie tá istá veta. Bude to drahé. Na prvý pohľad to znie logicky. Ďalšie nástroje, externí dodávatelia, školenia, procesy, audity. Pri tejto úvahe sa často prehliada podstatná vec. Drahá totiž nebýva samotná bezpečnosť. Drahý býva incident. 

Kybernetický útok vie úplne zastaviť chod firmy

A cena incidentu nie je len ušlá tržba a strata dát. K tomu sa môžu pridať poplatky za incident response a právne služby. K tomu môžu prísť pokuty a zmluvné sankcie, náklady na obnovu a v horšom prípade aj strata dôvery, odchod zákazníkov a poškodenie reputácie.

Mýtus o drahej kyberbezpečnosti vzniká aj preto, že je automaticky spájaná najmä s nákupom technológií. Ak si firma predstaví bezpečnosť ako veľa nových licencií, bezpečnostných zariadení, veľký projekt, je pochopiteľné, že sa jej to začne javiť ako neúmerný výdavok. Kyberbezpečnosť v praxi nie je len o technológiách.

Kyberbezpečnosť je predovšetkým o riadení rizika. O tom, aby firma vedela, čo chráni, pred čím sa chráni, aké má slabé miesta a čo sa stane, ak niektoré veci zlyhajú. A tu je dobre začať. Identifikovať čo je potrebné chrániť a prijať jednoduché a často lacné opatrenia, ktoré odradia priemerných útočníkov.

V kyberbezpečnosti navyše najdrahšie riešenie automaticky nebýva najlepšou voľbou. Často má najväčší prínos dobre zvládnutý základ. Mnohé firmy majú tendenciu uvažovať opačne, tým, že hľadajú pokročilé riešenia, ale pritom chýba analýza rizík, na základe ktorej by sa systematicky zavádzali opatrenia. A tým celkovo výrazne znížiť výdavky. Tým sa zaručí, že výdavky idú na opatrenia, ktoré majú čo najväčší efekt.

Aj pri malej až stredne veľkej firme pritom môže relatívne malá investícia priniesť výrazný posun

Pri obrate 5 miliónov eur, už 0,5 % , tzn. 25 000 eur, ktorá má zásadný vplyv na kyber bezpečnosť. Nie je suma, za ktorú sa dá vyriešiť všetko, ale je to suma, za ktorú sa už dá nastaviť veľa dôležitých opatrení. Dá sa spraviť analýza rizík a zaviesť opatrenia tam, kde sú riziká najkritickejšie. Inými slovami, aj bez zásadných investícií sa dá výrazne znížiť pravdepodobnosť incidentu a jeho prípadný dopad.

Niektoré z najdôležitejších bezpečnostných opatrení pritom ani nie sú drahé. Len vyžadujú systém a poriadok. Dôslene evidovať zariadenia a účty, systematické riadenie prístupov, adekvátne nastavenie existujúcich zariadení, základná segmentácia siete, kontrola výnimiek, robiť onboarding a offboarding systematicky, nenechávať rozhodnutia na improvizáciu. To všetko nie sú témy, ktoré pôsobia atraktívne, no práve v nich býva veľká časť reálnej odolnosti firmy. Bezpečnosť veľmi často nestojí veľa peňazí, ale vyžaduje disciplínu a dôslednosť. V takom prostredí nepomôže ani drahý nástroj, ak chýba disciplína a základná prevádzková hygiena.

Otázka teda nie je, či je kybernetická bezpečnosť drahá. Otázka je, či si firma môže dovoliť nemať ju nastavenú adekvátne k rizikám. Nie preto, že by mala ambíciu byť „dokonale zabezpečená“, ale preto, že chce fungovať spoľahlivo, chrániť svoju prevádzku, svojich klientov aj vlastnú reputáciu.

Kyberbezpečnosť nie je luxusný doplnok. Je to súčasť zodpovedného riadenia firmy.