Volebné zásahy, falošné správy, ransomwary, odmietanie vstupu a služby, kybernetický terorizmus…. Vitajte v novej, normálnej Európe, píše PHILIPPE COTELLE.
Philippe Cotelle je členom Európskej federácie združení pre riadenie rizík (FERMA) a vedúci riadenia rizika v oblasti poistenia pre Airbus – obrana a vesmír.
S najmenej siedmimi parlamentnými voľbami, naplánovanými v Európskej únii v roku 2019, ako aj voľbami do Európskeho parlamentu, sa lídri kontinentu ocitli uprostred šialenstva kontroly škôd. Európska komisia spustila iniciatívy, zamerané na odolnosť infraštruktúry informačných technológií a boj proti falošným správam a v októbri organizuje konferenciu na vysokej úrovni o volebnej interferencii v digitálnom veku.
Rakúsko, ktoré v súčasnosti zastáva rotujúce predsedníctvo Únie, dúfa, že do konca roka dosiahne politickú dohodu s Komisiou a Európskym parlamentom o novej legislatíve Európskej únie v oblasti kybernetickej bezpečnosti.
Súdiac podľa súčasných dôkazov je toto úsilie pre zabezpečenie bezproblémového fungovania európskych volieb a trhov viac ako nevyhnutné. No možné je, že aj dnes už je príliš neskoro.
Európa musí bezodkladne zintenzívniť svoje úsilie na zmiernenie škôd, a to aj tak, že zdvojnásobí svoje úsilie o zmiernenie kybernetických rizík.
Fúzia technológií a vedeckých disciplín sa iba začala
Správa amerického Senátu už priniesla dôkazy, že napriek zvýšenej informovanosti po voľbách v roku 2016 v Spojených štátoch a hlasovaní o brexite v Spojenom kráľovstve, Rusko zasiahlo najmenej do 19 dôležitých volieb alebo referend v Európe, vrátane národných volieb vo Francúzsku a Nemecku, a to len v posledných dvoch rokoch.
Holandsko minulý rok urobilo bezprecedentný krok a všetky hlasovacie lístky vo svojich národných voľbách prepočítavali administrátori ručne, pretože si nemohli byť istí, že ich volebné systémy sú imúnne proti falšovaniu.
Súkromný sektor je predmetom takmer každodenných útokov hackermi, ktorí narúšajú ich systémy, kradnú údaje, či napádajú pomocou rôznych druhov škodlivého softvéru. Títo kriminálnici však majú väčší záujem na zbieraní výkupného, než na zasahovaní do volieb.
Belgické národné centrum pre kybernetickú bezpečnosť tvrdí, že denne blokuje priemerne 3 až 4 takzvané phishingové stránky, ktoré sú často zdrojom napádania škodlivým softvérom alebo narúšania dát.
Prieskum spoločnosti Accenture medzi viac ako 4 tisíckami vedúcich pracovníkov, ktorý vyšiel začiatkom tohto roka, zistil, že väčšina z nich vylepšila bezpečnosť až do tej miery, že v súčasnosti môže prekonať až 87 percent útokov. Stále však zostáva 13 percent, ktoré môžu spôsobiť veľké škody.
Napríklad útok ransomwaru Wannacry v roku 2017 postihol viac ako 200 tisíc počítačov po celom svete a spôsobil škody vo výške stoviek miliónov eur.
Ak nebudú existovať dostatočne silné opatrenia na zmiernenie následkov, frekvencia takýchto úspešných útokov a rozsah škôd pravdepodobne porastú. Je to preto, že štvrtá priemyselná revolúcia a fúzia technológií a vedeckých disciplín, označované za „kybernetické fyzické systémy“, sa len začína.
Priestory v oblasti umelej inteligencie, strojového učenia, získavania dát, internetu vecí, bezdrôtových technológií, 3D tlače a autonómnych vozidiel vytvárajú obrovský a rastúci trh pre štátom alebo inak sponzorovaných hackerov. Viac a viac systémov totiž navzájom spolupracuje autonómne na takej škále, že je tieto spojenia ťažké alebo dokonca nemožné skutočne individuálne sledovať.
V skutočnosti čím viac digitalizujeme, tým bližšie sa dostaneme do Cybergedonu – ak teda neurobíme niečo pre to, aby sme to zastavili.
Minimálna skupina ochrancov v privátnom sektore
Čoraz častejšie sú nielen vlády, ale aj organizácie všetkých veľkostí vystavené tlaku na demonštráciu počítačovej pripravenosti a odolnosti.
Pre lepšie zmierňovanie takýchto rizík, počínajúc odstraňovaním bariér medzi zásobníkmi, je lepšie riadenie východiskových bodov každej organizácie.
Organizácie všetkých veľkostí potrebujú minimálne pracovnú skupinu osôb, zastupujúcich bezpečnosť, audit, právne, finančné, informačné technológie, ochranu údajov a ľudské zdroje, ktorej predsedá profesionálny manažér rizík. V ideálnom prípade by mal tento tím podávať správu generálnemu riaditeľovi alebo inému riadiacemu pracovníkovi na úrovni správnej rady.
Tieto tímy potrebujú nielen zabezpečiť, aby softvér a systémy organizácie spĺňali najnovšie štandardy bezpečnosti a dodržiavania predpisov, ale tiež aby pravidelne monitorovali operácie a boli schopní spusť poplašné cvičenie, aby ľudia vedeli, čo robiť v prípade útoku.
Federácia európskych združení pre riadenie rizík (FERMA) a Európska konfederácia inštitútov interného auditu (ECIIA) začiatkom tohto roka uverejnili praktickú príručku pre zlepšenie riadenia kybernetického rizika.
Akonáhle budú kroky aplikované, kybernetické poistenie môže účinne pomôcť pokryť aj zvyškové riziká. Mníchov Re, poisťovací gigant tvrdí, že spoločnosť očakáva, že firmy do roku 2020 viac ako zdvojnásobia rozpočty na kybernetické poistenie.
Zlá správa je, že Európa má k tomu ešte ďaleko. Správa vlády Spojeného kráľovstva z roku 2017 tvrdí, že viac ako dve tretiny predstaviteľov firiem FTSE 350 nemá žiadne školenie na riešenie počítačového útoku, zatiaľ čo jedna z desiatich firiem nemala preň ani plán.
Len jedna tretina respondentov z nedávneho prieskumu Európskej federácie asociácií manažmentu rizík uviedla, že ich organizácia má nejaké počítačové poistenie.
Dobrou správou je, že národné vlády, Európska komisia a Európsky parlament už podnikli významné kroky na zlepšenie európskych štruktúr a schopností v oblasti kybernetickej bezpečnosti.
Po mnohých rokoch dostala Európska agentúra pre boj proti počítačovej kriminalite (ENISA) jasný a trvalý mandát. Do konca roka musí Komisia dokončiť prácu na novej legislatíve Únie o kybernetickej bezpečnosti a poskytnúť jej požadovanú politickú a finančnú podporu.
Vedúci predstavitelia Európy musia bezodkladne začať podporovať všeobecnú kultúru riadenia rizík – súkromným spoločnostiam a iným, veľkým i malým organizáciám – ktoré dodávajú Európanom politickú, sociálnu a hospodársku stabilitu, ktorú si zaslúžia.