Stalo se to 7. května 2021. VEDENÍ společnosti Colonial Pipeline zjistilo, že její IT systémy napadli kyberzločinci požadující výkupné. Aby firma zabránila dalšímu šíření malwaru, odpojila své počítačové systémy od sítě a tím zároveň zastavila provoz 8850 kilometrů ropovodů, které zajišťovaly 45 procent dodávek pohonných hmot na východním pobřeží USA. Následný výpadek trval téměř týden a vyvolal panické zásobování se a nedostatek paliva. Společnost se nakonec rozhodla zaplatit výkupné ve výši téměř 4,4 milionu dolarů výměnou za dešifrovací klíče, aby mohla provoz spustit. O měsíc později, kdy ještě probíhalo vyšetřování i obnova systémů, obhajoval generální ředitel Colonial Pipeline Joseph Blount toto rozhodnutí před americkým Senátem slovy: „Byli jsme v zoufalé situaci a museli jsme učinit těžká rozhodnutí, jakým by se každá společnost nejraději vyhnula.“

Přiznání Josepha Blounta se nápadně podobá zkušenostem mnoha generálních ředitelů, s nimiž jsme mluvili v rámci našeho výzkumu zaměřeného na to, jak lídři zvládají rizika a útoky v oblasti kybernetické bezpečnosti.1 Tito ředitelé s námi sdíleli stejně bolestné příběhy o tom, jak museli činit těžká rozhodnutí na základě neúplných informací, pod obrovským tlakem a v oblasti, které sami dobře nerozuměli. Vážný kybernetický útok staví CEO do centra pozornosti veřejnosti, ocitne se pod drobnohledem médií, akcionářů, regulátorů a dalších zainteresovaných stran.

V rámci výzkumu jsme vedli 37 hloubkových rozhovorů s generálními řediteli velkých podniků (s průměrnými ročními tržbami 12 miliard dolarů) v USA, Evropě a Asii. Devět z nich mělo osobní zkušenost s vedením firmy během vážného kybernetického útoku. To nám umožnilo porovnat postoje těch, kdo „prošli bojem“, s názory ostatních, kteří zatím podobnou situaci nezažili.

Následující článek shrnuje strategie, jež z těchto zkušeností vzešly, a nabízí návod, jak může i vaše organizace od zaměření se na kybernetickou bezpečnost přejít k budování kybernetické odolnosti.

Čeho generální ředitelé po útoku litují

CEO, již si vážným útokem ve své organizaci prošli, v našem anonymním průzkumu otevřeně popisovali své zkušenosti, hodnotili přípravu a přijatá opatření. Netajili se tím, v čem chybovali.

Příliš se zaměřili na prevenci. Jen těžko by se dnes našla firma, která by kybernetické riziko neměla na seznamu podnikových hrozeb dostatečně vysoko. Kybernetická bezpečnost se stala neoddiskutovatelnou prioritou všech vrcholových manažerů. Problém je, že mnoho lídrů stále věří, že ochrana důvěrnosti, integrity a dostupnosti informačních systémů a samotných dat je otázkou prevence. Jenže to zřejmě nebyla nikdy a nyní už vůbec ne. S rostoucí vyspělostí kyberzločinu a jeho častým zneužíváním státy jakožto zbraně platí, že obrana technologicky nejvyspělejších organizací bude dříve či později také prolomena. S tím musejí všechny dopředu počítat.

Zdaleka nejčastější výtkou na jejich vlastní adresu, kterou jsme od generálních ředitelů slyšeli, bylo, že kladli přílišný důraz na kybernetickou bezpečnost a zanedbávali kybernetickou odolnost. Teprve po útoku si uvědomili, že snaha zabránit narušení je předem prohraný boj. Zaměřovali se na otázku, zda k útoku dojde, místo aby přemýšleli v intencích, kdy k němu dojde a jak na něj zareagují. Přestože do technologické ochrany investovali značné prostředky, jejich organizace často nic netušily o základních principech kybernetické odolnosti.

Pojem kybernetická odolnost označuje schopnost organizace kybernetické útoky předvídat, zvládnout, reagovat na ně a přizpůsobit se jim. Cílem tedy není útoku zabránit, ale omezit jeho dopad, rychle se zotavit a z krize vyjít silnější. Pokud vedení přesune pozornost od samotné prevence k přípravě, začne klást důraz na rozvoj adaptačních schopností, a to napříč všemi odděleními.

Cítili se být odpovědní až následně. Všichni CEO, s nimiž jsme mluvili, zdůrazňovali, že nesou odpovědnost za vše, co se ve firmě děje, včetně kybernetické bezpečnosti. Přesto 72 procent z nich přiznalo, že se při rozhodování v této oblasti necítí sebejistě. Ti, kteří si útokem osobně prošli, litovali, že svou odpovědnost vnímali jen zpětně, tedy že převzali iniciativu až poté, co problém nastal. Být skutečně odpovědný však znamená jednat aktivně a průběžně, ještě než se něco pokazí.

Jak to vystihl jeden z ředitelů: je třeba být spoluodpovědný za kybernetickou odolnost společně s lídrem kybernetické bezpečnosti (CISO). Tento přístup by podle našich rozhovorů uvítala i většina ze 40 oslovených CISO. Ti totiž své generální ředitele často nevnímali jako dostatečně angažované, natož skutečně odpovědné za řízení kybernetických rizik. Jeden z ředitelů v naší studii dokonce svůj závazek ke spoluodpovědnosti proměnil v konkrétní čin: po zotavení firmy z vážného útoku strávil deset dní s týmem kybernetické bezpečnosti, aby dal jasně najevo, že do budoucna ponese odpovědnost společně s ním.