Devátého ročníku Celosvětového průzkumu hospodářské kriminality, který byl realizován poradenskou společností PwC ve 123 zemích a shromáždil výsledky od více než 7 000 organizací, se během 21. 6. - 28. 9. 2017 zúčastnilo také 73 společností působících na českém trhu. Celosvětově jde o největší studii tohoto druhu, která vychází jednou za dva roky.

Phishing postihuje skoro polovinu firem

Phishing (rhybaření) je v ČR nejčastějším typem útoku, za poslední dva roky ho zaznamenalo 41 % oslovených firem. To je výrazně více než v zemích střední a východní Evropy (28 %) i ve světě (33 %). Nejohroženějšími odvětvími jsou automobilový průmysl (67 %), finanční služby (63 %) a průmyslová výroba (60 %). Typickou metodou phishingu je vydávání se za ředitele společnosti spojené s výzvou k přesunu peněz na cizí účet.

V Česku jsou tím nejslabším článkem kyberbezpečnosti stále zaměstnanci, kdy z 1 000 pracovníků na podvodný e-mail klikne třetina z nich. Proto jsou útoky tohoto typu stále tolik úspěšné,“ uvádí Michal Čábela, vedoucí týmu kybernetické bezpečnosti PwC ČR.

how are incidents of fraud initially detected

Malware představuje druhou nejčastější hrozbu

Škodlivý software (malware) je druhým nejčastějším typem kybernetického útoku. V praxi jej zaznamenalo 37 % oslovených českých firem. V tomto případě se jedná o čísla podobná dalším zemím střední a východní Evropy (38 %) i světovému průměru (36 %). Mezi nejčastěji zasažené sektory ekonomiky patří finanční služby (50 %), energetika (50 %) a průmyslová výroba (40 %).

„Malware může být skrytý téměř všude: na flash disku, v obrázku, v emailu, na podezřelém webu či dokonce přímo na webu konkrétního podniku. Tento typ útoku je však nemožné zcela eliminovat, je ale možné ho omezit,“ říká Michal Čábela z PwC ČR.

Jsou české firmy odpovědnější než jejich zahraniční konkurenti?

Program kybernetické bezpečnosti v minulosti zavedlo 88 % oslovených českých firem, což je výrazně více oproti světovému průměru (60 %). České firmy vynikají především v automatickém monitorování sítí (součástí programu kybernetické ochrany je v 70 % případů), sběru dat v oblasti kybernetické bezpečnosti (67 %) a zajišťování bezpečnosti aplikací (64 %).

„Efektivní program kybernetické bezpečnosti by měl řešit následující oblasti: strategie, procesy, organizace a technologie. Pokud budou firmy investovat jen do jedné z těchto složek, program kybernetické bezpečnosti nebude nikdy účinný,“ dodává vedoucí týmu kybernetické bezpečnosti PwC ČR.

Firmy útoky raději tají

Pouze třetina oslovených firem v ČR (37 %) by se v případě kybernetického útoku obrátila na státní úřad nebo policii. Jedná se o výrazně nižší číslo oproti světovému průměru (59 %).

„Hlášeny musí být jen kybernetické útoky, které vyústí v únik osobních dat nebo cílí na důležitou infrastrukturu státu. Navíc firmy kybernetické útoky obvykle tají, aby nebyla poškozena jejich pověst,“ vysvětluje Michal Čábela, vedoucí týmu kybernetické bezpečnosti PwC ČR.

Samotné podniky přitom jako nejčastější důvod neochoty útoky hlásit uvádějí riziko nekontrolovaného zveřejnění (64 %), nedůvěru v odborné schopnosti státních institucí (50 %) a absenci zákonné povinnosti tyto útoky hlásit (50 %). S novou legislativou účinnou od 25. května však podniky již budou muset tyto útoky včas hlásit.

„S nástupem GDPR bude nutné hlásit každý kybernetický útok, a to Úřadu pro ochranu osobních údajů maximálně do 72 hodin od napadení,“ dodává Michal Čábela z PwC ČR.

 

Více o průzkumu a jeho výsledcích na https://www.pwc.com/cz/en/sluzby/forenzni-sluzby/global-economic-crime-survey.html