Mnohé SME firmy si neuvedomujú, že práve podceňovanie kybernetickej odolnosti ich robí ľahkým cieľom pre útočníkov. Kyberzločinci nehľadajú len veľké korporácie – často sa zameriavajú na menšie spoločnosti, ktoré nemajú dostatočne robustné bezpečnostné opatrenia. Oslovili sme zástupcov troch firiem, ktoré sa kybernetickej bezpečnosti venujú zodpovedne, a spýtali sme sa ich: Prečo si myslia, že podniky stále nekladú dôraz na ochranu pred hrozbami? A čo by ich mohlo presvedčiť k zmene?
Matej Krempaský, správca IT, bezpečnostný manažér, KÚPELE LÚČKY a. s.
Vrcholový manažment SME firiem si úplne neuvedomuje, aké dopady môže mať fatálne zlyhanie v oblasti kybernetickej bezpečnosti. Slepo verí, že jeho firme riziko nehrozí alebo že sa z prípadného incidentu rýchlo dostane. IT zvyčajne nie je ich primárnym záujmom, vrátane problémov akými sú kybernetické hrozby. Záujem vyvolávajú skôr prínosy – koľko sa dá ušetriť či zarobiť vďaka nasadeniu IT riešení.
Dôležitú úlohu pri tom zohráva veľkosť firmy a kvalita jej riadenia. Čím je firma menšia alebo dosahuje nižšie výnosy, tým má menej prostriedkov na investície do bezpečnosti v IT oblasti a zároveň väčší problém získať kvalitných ľudí alebo relevantné informácie. V podobných prípadoch manažment väčšinou nič tak ľahko nepresvedčí k riešeniam smerom ku kybernetickej odolnosti, a na problematiku sa budú pozerať hlavne z pohľadu biznisu.
Milan Ševčík, Manažér IT Tauris Group, TAURIS, a. s.
Dôležité je, aby firmy poznali zásadné pravidlo: ‚Cybersecurity Is Business Issue‘ – kybernetická bezpečnosť je záležitosťou biznisu. IT a CISO pracovníci sú často vnímaní len ako nákladové položky (tzv. požierači capex a opex) a manažment ich považuje len za nutnosť. Chýba edukácia o tom, že v súčasnej dobe sú IT aj CISO pozície rovnako kľúčové pre fungovanie firmy ako CFO či COO.
Jozef Donoval, vedúci IT, ELBA a. s.
Malé a stredné firmy žijú v mylnom pocite bezpečia. Domnievajú sa, že ak majú dobre nastavenú sieť a bezpečnostné systémy za státisíce eur, sú dostatočne chránené. Ďalším problémom je nedostatok zamestnancov – v menších firmách, kde pracujú len jeden až traja IT špecialisti, ktorí popri bežných povinnostiach nestíhajú aktívne riešiť ani sledovať kybernetickú bezpečnosť. Svoju rolu zohráva aj neochota a nezáujem vedenia, ktoré tieto náklady často považuje za zbytočné, alebo vedenie verí, že sa ich firma nestane cieľom útoku.
Reálny útok a strata dát, vysoké pokuty od regulačných orgánov, nasadzovanie jednoduchých a cenovo dostupných riešení (napr. bezpečný open-source softvér, aplikácie a služby za prijateľnú cenu) či dotácie na kybernetickú bezpečnosť by mohli byť účinnými motivátormi.
