Trh s korporátní bezpečností roste rychleji než kterýkoli jiný segment globální ekonomiky. Polyká desítky miliard dolarů ročně
Jak pravil slavně Franklin Delano Roosevelt ve svém prvním inauguračním projevu v roce 1933: „Nemáme se čeho bát kromě strachu samotného.“ Protagonisté první ligy dnešního globálního byznysu s bezpečností mají opačný názor: ve velkých firmách roste počet šéfů s titulem CSO (chief security officer, v USA jich loni přibylo 13 procent); v dozorčích radách zasedá podle studie The Economist Intelligence Unit stále více odborníků na risk management.
Jen výdaje na elektronickou bezpečnost letos na celém světě dosáhnou 74 miliard dolarů (loni to bylo 67 miliard), tvrdí konzultační firma Gartner, podle níž letos trh s digitální bezpečností poprvé srovná krok s trhem bezpečnosti fyzické. Více než 58 procent firem letos počítá se zvýšením výdajů na elektronickou bezpečnost; loni to bylo jen 49 procent.
Priorita číslo jedna Jinými slovy, než jste dočetli tento text až sem, někdo někde zaplatil za vlastní virtuální zabezpečení milion dolarů. A to je řeč jen o bezpečnosti v nejužším smyslu slova; náklady na právní služby a pojištění nebo na řízení vztahů s veřejností, jež zajišťují bezpečnost v druhém plánu, tato suma nezahrnuje. „Riziko je prvořadým bodem programu představenstev největších společností světa; je třeba tuto pozornost udržet a rozšířit na nová rizika,“ přesvědčuje Matthew Layton, šéf právní firmy Clifford Chance. Podle něj je cesta v „nalézání všech možných situací, v podrobných, do všech jednotlivostí vypracovaných postupech pro všechny tyto situace a vytrvalém praktickém výcviku“.
Problém je, že autorem citátu není Layton, nýbrž jiný svérázný guru rizikového managementu: Fuksův Theodor Mundstock. Jak uvidíme, vysoká míra shody špičkového experta na současný globální byznys s fiktivním paranoidním schizofrenikem není zcela náhodná. Snahy o posílení (především elektronické) bezpečnosti firem následují po špionážním skandálu amerického bezpečnostního úřadu. Když vyšlo najevo, kam všude Američané ve jménu vlastní bezpečnosti strkají svůj e-nos, začal se hýbat i trh s bezpečností korporátní. Deník Financial Times šel ještě dál a nazval jej „trhem s paranoií“. Superšifry a firewally V červenci spatřil světlo světa přístroj Blackphone,
jejž vyrábí společný podnik amerického výrobce mobilů Geeksphone a poskytovatele kryptografických služeb Silent Circle.
Jeho předností je, že důkladně zašifruje veškeré údaje o uživateli, obsahuje bezpečné aplikace, které žádná soukromá data nikam nepouštějí, a má vybudovaný firewall, jenž zablokuje všechny příliš zvídavé aplikace zvenčí. Nevýhoda? Jeho uživatelé jsou právě kvůli jeho přednostem automaticky vyřazeni z komunikace přes sociální média, alfu a omegu současného telekomunikačního byznysu.
Ve stejnou dobu se rozjelo nové kolo financování firmy Wickr, jež vyvinula systém online superzašifrovaných vzkazů, které se navíc po doručení samy vymažou. Během dvou červencových dnů získala firma 30 milionů dolarů; největším dílem Wickru přispěl Jim Breyer, mistr rizikových investic ze Silicon Valley. Firma vzápětí vypsala odměnu sto tisíc dolarů pro každého, kdo objeví v jejím šifrovacím systému trhlinu.
Bezpečnost osobních údajů byla i hlavním tématem dubnového vystoupení šéfa Applu Tima Cooka. Představoval jím vizi své firmy o budoucnosti internetu věcí, systému, jenž má elektronicky propojit všechno, co propojit jde. Jindy rezervovaný muž mluvil emotivně o „ďábelsky jedovatém guláši zranitelnosti“.
Na mysli měl pochopitelně konkurenční systém Android, ale bezděčně tak charakterizoval fungování tohoto světa, v němž jednotlivci, firmy a státy nestačí jeden před druhým chránit svoji bezpečnost fyzickou, ekonomickou, právní i digitální.
Tak to alespoň vidí američtí respondenti zmiňovaného průzkumu The Economist Intelligence Unit: 52 procent špičkových manažerů se domnívá, že jejich firma plní tolik regulačních a bezpečnostních opatření, že jí to brání v rozvoji. (Zároveň však plných 23 procent přiznalo, že není jejich prioritou, aby veřejnost vnímala jejich firmy jako důvěryhodné.) Pět fází útoku Snaha o minimalizaci rizik však nevítězí. Například počet úspěšných kyberútoků loni meziročně stoupl o 20 procent a jejich finanční dopad hned o 30 procent, řekl australskému deníku Sydney Morning Herald Art Gilliland, šéf bezpečnosti v HP. Problém je podle něho v chybném cílení: 86 procent investic se snakyberbezpečnost ží zabránit e-narušitelům v proniknutí do zabezpečených sfér. Plošné zabezpečení však je neúčinné, protože protivníci jsou špičkoví specialisté.
Řešení je podle něj jinde. „Musíme si uvědomit, že proti nám stojí organizovaný trh.
Útoky se dějí v pěti fázích: průzkum, infiltrace, objev informací, jejich převzetí a nakonec distribuce. Každá z těchto fází vyžaduje jiného specialistu, který udělá svůj kus práce a prodá jej specialistovi na další fázi,“ říká Gilliland.
„Tím vznikají prostoje, což dává šanci nám.
Jenže průměrná doba odhalení kyberútoku je 243 dnů. Potřebujeme tu dobu srazit do třeba pěti dnů – ale toho nedosáhneme, když budeme 86 procent věnovat pouze první fázi útoku,“ dodává.
Situaci navíc komplikují ti, kteří umějí kouzelné moci slova bezpečnost využít ve svůj prospěch. Deník Washington Post přinesl v červenci obsáhlou zprávu o tom, jak korporace zařizují osobní bezpečnost členům svého vedení, mnohdy i bývalého. Například zbrojovka Lockheed Martin platí za ochranu bývalého generálního ředitele Roberta Stevense 1,3 milionu dolarů ročně. Konkurenta Northrop Grumman stojí zabezpečení jejího CEO Wese Bushe ještě o 200 tisíc dolarů více. Půldruhého milionu stojí i ochrana Larryho Ellisona, šéfa Oraclu, Amazon platí 1,6 milionu ročně za bezpečnost CEO Jeffa Bezose, kdežto republikánský sponzor Sheldon Adelson přijde svoji firmu Las Vegas Sands na 3,2 milionu.
Vtip je v tom, že americké firmy tyto peníze samozřejmě odepisují z daní. Naopak chránění by měli tyto náklady zdanit – ovšem když korporace prokáže, že opatření jsou nutná kvůli té či oné „legitimní bezpečnostní hrozbě“, zdaní je dotyční jen zhruba poloviční sazbou. To se týká třeba i soukromých letů firemními tryskáči, obstarání superbezpečných rezidencí a dalších výsad.
Není potom divu, že se to bezpečnostními hrozbami najednou jen hemží. I Theodoru Mundstockovi by bylo jasněji.
Trable s počítači Nejčastější příčiny bezpečnostních problémů v oblasti IT (odpovědi respondentů v %, více možností, součet nedává 100 %)
Zneužití ze strany zaměstnanců či externistů 43 %
Cílený e-mailový phishing 43 %
Nakažení malwarem/ /botnety 42 %
Zdroj: Risk, Loss and Security Spending in the Financial
O autorovi| Daniel Deyl, deyl@mf.cz
