Phishing (rhybaření) je v ČR nejčastějším typem útoku, za poslední dva roky ho zaznamenalo 41 % oslovených firem. To je výrazně více než v zemích střední a východní Evropy (28 %) i ve světě (33 %). Nejohroženějšími odvětvími jsou automobilový průmysl (67 %), finanční služby (63 %) a průmyslová výroba (60 %). Typickou metodou phishingu je vydávání se za ředitele společnosti spojené s výzvou k přesunu peněz na cizí účet.
„V Česku jsou tím nejslabším článkem kyberbezpečnosti stále zaměstnanci, kdy z 1 000 pracovníků na podvodný e-mail klikne třetina z nich. Proto jsou útoky tohoto typu stále tolik úspěšné,“ uvádí Michal Čábela, vedoucí týmu kybernetické bezpečnosti PwC ČR.
Škodlivý software (malware) je druhým nejčastějším typem kybernetického útoku. V praxi jej zaznamenalo 37 % oslovených českých firem. V tomto případě se jedná o čísla podobná dalším zemím střední a východní Evropy (38 %) i světovému průměru (36 %). Mezi nejčastěji zasažené sektory ekonomiky patří finanční služby (50 %), energetika (50 %) a průmyslová výroba (40 %).
„Malware může být skrytý téměř všude: na flash disku, v obrázku, v emailu, na podezřelém webu či dokonce přímo na webu konkrétního podniku. Tento typ útoku je však nemožné zcela eliminovat, je ale možné ho omezit,“ říká Čábela.
Program kybernetické bezpečnosti v minulosti zavedlo 88 % oslovených českých firem, což je výrazně více oproti světovému průměru (60 %). České firmy vynikají především v automatickém monitorování sítí (součástí programu kybernetické ochrany je v 70 % případů), sběru dat v oblasti kybernetické bezpečnosti (67 %) a zajišťování bezpečnosti aplikací (64 %).
„Efektivní program kybernetické bezpečnosti by měl řešit následující oblasti: strategie, procesy, organizace a technologie. Pokud budou firmy investovat jen do jedné z těchto složek, program kybernetické bezpečnosti nebude nikdy účinný,“ dodává vedoucí týmu kybernetické bezpečnosti PwC ČR.
Pouze třetina oslovených firem v ČR (37 %) by se v případě kybernetického útoku obrátila na státní úřad nebo policii. Jedná se o výrazně nižší číslo oproti světovému průměru (59 %).
„Hlášeny musí být jen kybernetické útoky, které vyústí v únik osobních dat nebo cílí na důležitou infrastrukturu státu. Navíc firmy kybernetické útoky obvykle tají, aby nebyla poškozena jejich pověst,“ vysvětluje Čábela. Samotné podniky přitom jako nejčastější důvod neochoty útoky hlásit uvádějí riziko nekontrolovaného zveřejnění (64 %), nedůvěru v odborné schopnosti státních institucí (50 %) a absenci zákonné povinnosti tyto útoky hlásit (50 %). S novou legislativou účinnou od 25. května však podniky již budou muset tyto útoky včas hlásit.
„S nástupem GDPR bude nutné hlásit každý kybernetický útok, a to Úřadu pro ochranu osobních údajů maximálně do 72 hodin od napadení,“ dodává Michal Čábela z PwC ČR.