Keď v USA nedávno vypadla časť infraštruktúry Amazon Web Services, tisíce používateľov smart postelí doslova na vlastnej koži zistili, aké zraniteľné sú ich „inteligentné“ riešenia. Postele sa uprostred noci zasekli vo zvislej polohe, niektoré sa začali prehrievať a ľudia ostali ako v bizarnom horore zo 70. rokov doslova uväznení v produkte, ktorý mal paradoxne zvyšovať ich komfort. Svet internetu sa na tom dobre pobavil, ale pritom, ako sú dnes technológie závislé na konektivite, nie je vylúčené, že už onedlho môže byť “na smiech“ ktokoľvek z nás.
Zrejme oveľa menej vtipný bol aj pre niekoľko tisíc slovenských zamestnancov prípad, ktorý zasiahol svetového výrobcu áut JaguarLand Rover. Hackerský útok podľa dostupných informácií vyradil globálne systémy renomovanej značky a priamo sa dotkol aj nitrianskeho závodu na Slovensku, kde sa musela na týždne zastaviť výroba. Práve JLR je exemplárnym príkladom toho, ako problém na jednom mieste sveta dokáže veľmi rýchlo ochromiť celý reťazec. V absolútne prepojenom svetovom priemysle má každý výpadok potenciál na globálny problém.
Bezpečnosť v cloude nie je business continuity management
Dva príklady z úvodu sú pomerne veľké a mohutné a týkajú sa skutočne veľkých organizácií. Dokonale ale ilustrujú, že aj napriek masívnym investíciám do bezpečnosti a infraštruktúry dokáže aj gigantov zraziť na kolená dobre cielený hackerský útok. V súčasnosti pritom vidíme trend stále častejších útokov na menšie ciele v podobe malých a stredných podnikov. Na mieste je zamyslieť sa, ako môže vaše podnikanie ovplyvniť výpadok spôsobený útokom z vonku a či ho dokážete vôbec biznisovo prežiť.
Zo skúseností expertov Binary Confidence býva odpoveď rovnaká: „My sme v cloude, nás sa to netýka.“ Práve to je ale jeden z najnebezpečnejších omylov súčasnosti. Manažéri firiem si zamieňajú infraštruktúru so stratégiou prežitia. Cloud rieši dostupnosť serverov, nie schopnosť firmy fungovať počas krízy. Neodpovedá na otázku, čo sa stane, keď vypadne kľúčový proces, keď ochorie nenahraditeľný človek alebo keď sa firma zo dňa na deň ocitne bez prístupu k svojim dátam. Podnikatelia a spoločnosti si myslia, že presunom do cloudu získali biznis kontinuitu. V skutočnosti len presunuli riziká inde.
Vyspelosť firiem začína až pri prvom útoku
Záujem o business continuity manažment má väčšinou veľmi konkrétny impulz. Niekedy je to tlak veľkého zákazníka, ktorý si chce chrániť vlastné dodávateľské reťazce. Inokedy núti firmy zvyšovať svoju bezpečnosť regulácia alebo audit. Mnohokrát je to ale až reálny incident, ktorý majiteľov firiem presvedčí, že pocit bezpečia nebol založený na realite. Zaujímavé pritom je, že iba 29 % firiem reaguje na úspešný prienik do vlastnej siete posilnením IT kapacít a až polovica malých a stredných podnikov investuje do kyberbezpečnosti aj napriek prieniku nanajvýš pár tisíc eur. Poznáme prípady, kedy firmy po incidente urobia len úplné minimum, papierovo splnia požiadavky a dúfajú, že nabudúce sa im problém vyhne.
Cloud v tomto kontexte pôsobí štandardne ako alibi. Ak vypadne veľký poskytovateľ, vypadnú tisíce firiem naraz. Manažéri si preto nahovárajú, že zodpovednosť sa rozplynie v mase a zákazníci budú zhovievaví. Problém je, že výpadok môže byť ospravedlniteľný, no jeho dôsledky sú stále veľmi reálne. Stratené objednávky, meškajúce dodávky, poškodená dôvera a v niektorých prípadoch aj vážne existenčné ohrozenie.
Biznis kontinuita nie je o IT infraštruktúre
V Binary Confidence sa pri posudzovaní firmy pozeráme zvyčajne na jej biznis zhora. Nie len cez servery a aplikácie, ale cez procesy, ľudí a závislosti. Prvým krokom je vždy nevyhnutná business impact analýza (BIA). Bez nej firma netuší, čo je pre ňu skutočne kritické.
BIA často odhalí veci, ktoré si manažment predtým neuvedomoval. Sú to procesy, ktoré pôsobia okrajovo, no ich výpadok môže zastaviť celé oddelenie. Systémy, ktoré nemajú náhradu. Zamestnanci, ktorých know-how nie je nikde zdokumentované. V každej firme sa nájde niečo, čo by ju položilo, keby to vypadlo na dlhší čas. Len o tom zvyčajne zodpovední ľudia vo firme nevedia.
BCM pritom nemusí automaticky vyžadovať obrovské investície. Nie je nevyhnutné, aby mala každá firma zdvojené dátové centrá a najdrahšie riešenia. Ide o to vedieť, aký výpadok si môže dovoliť a kde je tzv. „firemný prah bolesti“. Niektoré procesy môžu stáť týždeň, iné naopak maximálne hodinu. Práve tieto rozdiely rozhodujú o tom, kde má zmysel investovať a kde nie.
Viete, čo vám môže zlomiť väz?
Impact analýza je relatívne dostupná, časovo zvládnuteľná a prináša viac hodnoty než drahé technologické projekty. Umožní firme vedome sa rozhodnúť, aké riziká akceptuje a kde už ide o hazard. Niektorí majitelia sa po nej rozhodnú, že do ochrany investovať nebudú. Aj to je legitímne rozhodnutie, pokiaľ je vedomé. Problém nastáva vtedy, keď firma žije v presvedčení, že je chránená, hoci v skutočnosti stojí na veľmi krehkých základoch.
Príbehy smart postelí alebo „vypnutých“ automobiliek sú náhľadom do budúcnosti, v ktorej budú incidenty častejšie a dopady komplexnejšie. Cloud v nej bude hrať dôležitú rolu, ale rozhodne nebude záchranou sieťou. Tou môže byť len pochopenie vlastného biznisu, jeho slabín a reálnych dopadov. Podľa globálneho prieskumu spoločnosti Allianz vnímajú firmy ako top risk práve kybernetické útoky (42 %) s problémami spojenými s využitím AI v tesnom závese (32 %), čo len podčiarkuje naliehavosť prioritizovať IT bezpečnosť a vnímať ju ako esenciálnu podmienku úspešného podnikania.
V Binary Confidence máme dlhodobé skúsenosti s posudzovaním rizík a nastavovaním business continuity managementu. S určitosťou vieme povedať, že systematicky riešená biznis kontinuita výrazne skracuje čas návratu do normálu. Namiesto chaotického hasenia problémov má firma jasnejší plán, ako obnoviť kritické činnosti a v akom poradí. To sa priamo premieta do toho, ako výpadok vnímajú zákazníci. Či ho považujú za zvládnutú nepríjemnosť alebo za dôkaz, že sa na firmu nedá spoľahnúť. A práve v tomto bode BCM prestáva byť „internou IT témou“ a stáva sa otázkou dôvery, reputácie a dlhodobého prežitia biznisu.
Projekt financovaný cez grantovú zmluvu číslo 101145856 je podporovaný Európskym kompetenčným centrom pre kybernetickú bezpečnosť.
