Väčšina malých a stredných podnikov sa nepovažuje za atraktívny cieľ hackerov a hrozieb kybernetickej bezpečnosti. Veria, že cieľom kybernetických útokov sú len vládne organizácie či veľké podniky.
Hackeri však príliš nerozlišujú podľa veľkosti firmy. Práve naopak, malé a stredné podniky považujú za veľmi atraktívne ciele najmä pre ich zraniteľnosť, relatívne slabšiu bezpečnostnú infraštruktúru a príslušnosť k dodávateľským reťazcom väčších podnikov.
Útočníci využívajú malé a stredné podniky aj na vylepšovanie svojich hackerských praktík so zámerom ukradnúť záznamy zamestnancov a zákazníkov, získať informácie o bankových účtoch a prístupy k podnikovým financiám, ktoré im otvoria dvere k väčším „rybám“. Tento fakt potvrdzuje aj štúdia spoločnosti Accenture Cybercrime, ktorá odhalila, že až 43 % kybernetických útokov bolo zameraných práve na malé a stredné podniky.
Nedostatočná obrana a ochrana
Podľa Svetového ekonomického fóra je štatisticky hlavnou príčinou narušenia kybernetickej bezpečnosti ľudské pochybenie. Malé a stredné podniky sú najčastejšie napadnuté prostredníctvom e-mailu. Podľa spoločnosti Cisco sa až 95 % kybernetických útokov začína spear-phishingovými e-mailmi smerujúcich na zamestnancov zodpovedných za financie alebo správu citlivých osobných informácií.
Ako informoval portál smallbiztrends.com, v minulom roku až 40 % menších podnikov oznámilo stratu údajov v dôsledku kybernetického útoku, čo často spôsobilo značné narušenie ich fungovania, finančné straty či poškodenie dobrého mena. V takom prípade pocítili aj odliv zákazníkov z dôvodu obáv o bezpečnosť a ochranu ich osobných dát.
Čo je ešte zaujímavejšie, Ponemon Institute zistil, že až 60 % malých a stredných podnikov nemá plán reakcie na incidenty a ani plán na vzdelávanie zamestnancov v oblasti kybernetickej bezpečnosti. Zamestnanci pritom zohrávajú dôležitú úlohu pri udržiavaní bezpečného prostredia.
Malé a stredné podniky by pritom mali pravidelne organizovať školenia s cieľom vzdelávať zamestnancov o osvedčených postupoch v tom, ako rozpoznať phishingové e-maily, ako nenaletieť podozrivým odkazom či ako a kam hlásiť potenciálne bezpečnostné incidenty.
Povinnosti firiem podľa EÚ
S napredovaním technológií bude riziko kybernetických útokov ďalej rásť. Malé a stredné podniky sa musia sústrediť na kybernetickú bezpečnosť, aby ochránili svojich zákazníkov, zamestnancov a finančnú stabilitu.
Uvedomuje si to aj Európska únia, ktorá zaviedla novú smernicu o sieťových a informačných systémoch NIS2 s cieľom vytvoriť rámec na zvýšenie kybernetickej bezpečnosti v rôznych sektoroch. Na Slovensku je platná od 16. 1. 2023 na základe úpravy a novelizácie Zákona o kybernetickej bezpečnosti a príslušných vyhlášok 69/2018 Z. z.
Na základe legislatívnych zmien má byť definovaný aj rozsah a počet subjektov, ktoré budú povinne spadať pod tento zákon. Budú to napríklad firmy, ktoré majú viac ako 50 zamestnancov a obrat nad 10 miliónov eur.
Firmy z uvedenej skupiny sa už teraz môžu inšpirovať aktualizovanou vyhláškou 264/2023 a pripraviť sa na dané povinnosti. To zahŕňa vykonávanie pravidelných hodnotení rizík, identifikáciu slabých miest a prijímanie vhodných opatrení na zmiernenie rizík. Okrem toho musia podniky hlásiť významné incidenty kybernetickej bezpečnosti príslušným vnútroštátnym orgánom.
TS