Kam poputují investice do kybernetické bezpečnosti

Jednou z největších přednostní IT sféry, kterou dlouhodobě znova a znova prokazuje, je její schopnost rychle se adaptovat. Dovede zcela změnit svůj chod a rychle se přizpůsobit na nečekané podmínky. Právě proto stojí za úspěchem mnoha firem a slouží jim jako spolehlivá páteř, která podrží fungování organizace i v těch nejtěžších časech. Tím, co naopak podrží samotné IT, jsou investice do kybernetické bezpečnosti. Jak to s nimi vlastně bude v následujícím období?

Předvídat je těžší než kdy dříve

Předpovědi jsou vždy obtížný byznys, zvlášť v takto nestálých dobách. Důkazem toho nám může být velké množství protichůdných výsledků průzkumů, výzkumů a měření, které se současných trendů a financování kybernetické bezpečnosti týkají. Některé z těchto průzkumů překypují pozitivitou, která se v současné atmosféře zdá až podezřelá. Většina se však v predikcích drží takříkajíc při zemi, opatrně upozorňuje, že nás čeká obtížné období.

Prozatím platilo, že kyberbezpečnost je jednou z těch oblastí, jejichž rozpočet každý rok konstantně narůstá. Dobře patrné je to z pohledu delší časové perspektivy. Ještě začátkem minulého roku se předpokládalo, že trend financování IT bezpečnosti nebude v dalších pěti letech nijak zvlášť odlišný od toho, který můžeme vyčíst ze statistik za poslední dekádu. Odhadovalo se tedy, že množství prostředků vložených do bezpečnostních řešení mezi léty 2020 a 2025 by mělo opět narůst o 67–70%.

Jenže dnes je samozřejmě patrné, že situace jiná. Téměř 80 % organizací odhaduje, že většina jejich výdajů do IT bude mít v dohledném horizontu nejméně jednoho roku spíše provozní charakter, a tudíž nepočítají v oblasti zabezpečení s výraznými inovacemi. Cílem mnoha firem je nyní dokončit digitalizaci podniku, co nejvíce zefektivnit nástroje pro práci na dálku a zajistit svým zaměstnancům přístup k systémům, které k výkonu práce potřebují.

To je ale v přímém kontrastu s doporučením expertů, kteří firmy už od poloviny minulého roku urgují k zavádění bezpečnostních inovací. Ostatně, nedávno jsme psali o následující sezoně jako o době, pro kterou bude prioritou náprava chyb, které vznikly uspíšeným přechodem na nové digitální platformy. O vydatných investicích do zabezpečení jsme ještě před měsícem psali jako o součásti této nápravy. Zdá se ale, že proces digitalizace není pro mnoho organizací zdaleka dokončený a na tolik potřebné zdroje pro posílení ochrany přijdou prostředky až mnohem později.

Krátkodobé úspory a dlouhodobé výdaje

Samozřejmě, výše řečené neznamená, že by si firmy nebyly vědomy rizika. Na 73 % dotázaných společností přiznává, že dopady pandemie výrazně omezily jejich možnosti pro adopci nových bezpečnostních řešení. A navíc dodávají, že ta řešení, která plánovaly už dávno před nákazou, firmy musely odložit na neurčito anebo „smést ze stolu“ úplně. I bez vynaložených prostředků ale budou organizace chtít svou ochranu udržet a posílit. To vše způsobí větší tlak na bezpečnostní týmy, které zase pocítí nutnost najít nové cesty a způsoby, jak efektivněji využít a lépe integrovat již existující řešení.

Taková strategie je ale udržitelná jen po omezenou dobu. V dlouhodobém měřítku se firmy investicím zkrátka nevyhnou. Podle údajů společnosti Microsoft jsou v tomto ohledu priority organizací na následující období sice různé, společné body mezi nimi ale najdeme hned tři. Není překvapivé, že nejčastěji, ze 40 %, firmy vynakládají zdroje a kapitál do ochrany cloudu a do svých platforem, které na cloudu fungují. V závěsu je pak ochrana samotných dat, do níž firmy investují z 28 % a poslední styčnou položkou je implementace antiphishingových nástrojů. Ta reflektuje nepříjemný trend posledních měsíců, během nichž tento typ útoků nabíral na razanci, a s ním spojené obavy firem do budoucna. Do těchto řešení putuje na 26 % investic. Jen pro zajímavost, právě Microsoft je ve phishingových kampaních posledního čtvrtroku zdaleka nejužívanější značkou. Jeho jméno bylo zneužito ve 43 % všech útoků.

• Empatie a její důsledky

Mezi další běžné snahy, které dotázané společnosti považují za svou dlouhodobou prioritu, patří navyšování úrovně takzvané digitální empatie. V kontextu kyberbezpečnosti to znamená adoptovat nástroje, které mohou pomoci s co nejefektivnější inkluzí uživatelů s různými pracovními podmínkami.

Zjednodušeně řečeno, empatická síť je optimalizovaná tak, že pracuje ve prospěch koncového uživatele, usnadňuje jeho denní úkony a zvyšuje produktivitu práce, a nikoliv naopak. V jistém směru tedy jde o jednu z nezbytných podmínek úspěšné digitalizace podniku a přechodu na práci na dálku. Důležité je nejenom optimalizovat způsoby konání práce, ale také přístup k datům a co nejvíce zjednodušit pracovní nástroje, a to jak po stránce SW, tak i HW.

Jenže taková digitální empatie může ve významné míře omezovat možnosti zabezpečení sítí. Mezi ochranou a empatií je tedy vždy třeba najít kompromis, rovnovážnou pozici pro každou organizaci tolik specifickou. Její hledání považuje za svůj hlavní cíl do budoucna na 41 % společností.

• Směr k zero trust politice

Plány na adopci politiky nulové důvěry, jak se anglický výraz zero trust občas překládá, jsou také důsledkem digitalizace a práce z domova. Dřív opomíjená a ve většině případů jen volitelná politika nulové důvěry se stává životní potřebou a nutností čím dál většího počtu společností a stává se další prioritní položkou na seznamu investic do kyberbezpečnosti. Ve světě, který potřebuje vzdálenou práci, se více než 51 % byznysů kloní k co nejrychlejší adopci zero trust architektury a politiky. Očekává se, že už v průběhu současného roku se tak nulová důvěra stane novým standardem.

Tuto nastupující realitu reflektuje fakt, že naprostá většina organizací, na 94 %, už tuto politiku má nebo je na cestě k jejímu zavedení. Jak daleko nebo jak úspěšné toto zavádění je, to už se liší případ od případu. Celá polovina z těchto organizací adopci hodnotí jako úspěšnou, ale dalších 44 % váhá a dovede udat důvody, proč necítí její začlenění jako uspokojivé. Překážkami jsou obvykle neshody a nízká úroveň spolupráce mezi jednotlivými týmy nebo týmem a vedením společnosti, nedostatečné nástroje pro zavedení zero trust principů do praxe, a především nedostatečné investice. Asi 31 % organizací neuvolnilo pro tento proces dostatečné zdroje.

Ostatně, mnoho bezpečnostních expertů se tomuto faktu nediví: často se setkávají s postoji společností, které považují implementaci politiky nulové tolerance za docela nenákladný a rychlý proces. Často je tomu ale opačně, je třeba nakoupit podpůrné technologie, změnit nastavení sítí a podobně. A příliš nízké investice celou tuto operaci ještě o poznání zpomalí.

• Především odolnost infrastruktury

V úvodu jsem přirovnal důležitost firemní IT infrastruktury k funkci páteře, pevného a spolehlivého bodu, o který se může podnik kdykoliv opřít. Taková spolehlivost ale není nikdy samozřejmá a je třeba ji upevňovat a rozvíjet. A i do tohoto rozvoje hodlají firmy v následujících letech výrazně investovat.

Zabezpečit fungování všech vitálních prvků podniku i během neočekávaných událostí, jako jsou výpadky, poruchy nebo útoky, pomůže jen pravidelná evaluace rizik a definování všech dostatečných podmínek, za kterých podnik neztratí schopnost bez přerušení fungovat. To samozřejmě vyžaduje nejenom technické, ale i značné lidské zdroje. Díky vydatnému rozvoji služeb cloudových poskytovatelů se definování rizik a upevňování infrastruktury firmám značně zjednodušilo, v mnoha případech se celý princip také zlevnil. Ovšem, vzhledem k tomu, že jde o nikdy nedokončený proces, vyžaduje od společností pravidelné investice.

Ve více než polovině případů se ukazuje, že podniky, které své operace spravují na cloudu nebo využívají k jejich provozu hybridní architektury, mají lépe a levněji zařízenou ochranu svého provozu, v porovnání s těmi podniky, které své sítě spravují na bázi on-premise. Druhé zmíněné společnosti ve 40 % případů uvádějí, že nemají dostatečně definované plány pro všechna rizika, která jim hrozí. Navíc, 19 % těchto organizací s on-premise řešením se obává, že už v horizontu tohoto roku nebude moci do údržby a ochrany své sítě vložit potřebné investice.

• A zase ten cloud

Asi nepřekvapí, že tématem číslo jedna co do investic v dalších letech, je cloudová infrastruktura. A tudíž nepřekvapí ani fakt, že na rozdíl od mnoha jiných prvků kybernetické bezpečnosti, u investic do ochrany cloudu firmy šetřit nebudou a ani nemohou. V kontextu současných globálních trendů je provoz bezpečného a spolehlivého cloudového prostředí pro každou organizaci absolutní nutnost.

V tomto roce se očekává nárůst asi 18,4 % všech investic do cloudových služeb oproti roku předchozímu a prostředky vložené do jejich ochrany se podle některých očekávání navýší až o neskutečných 250 %. To z této součásti firemního rozpočtu na kyberbezpečnost činí nejvýznamnější položku. A stejné to nejspíš bude i v nejméně třech následujících letech.

Bohužel, nemůžeme popřít, že firmy stále jsou globální krizí negativně ovlivněny. Těch necelých 30 % byznysů, kterým se v minulém roce podařilo udržet svou tržní hodnotu na víceméně stejné úrovni jako v roce 2019, nyní cítí nejistotu, která jim bude v následujících měsících při investicích do inovací držet ruku. V tomto ohledu jsou ekonomové často pesimističtí, předpovídají pomalé zotavení. Pokud však existuje sféra, která musí reagovat pružněji než kdykoliv předtím, je to právě bezpečnost. A ta, jak se v minulosti ukázalo už tolikrát, se bez vydatných investic neobejde.

Až čas ukáže, jestli ona zmíněná páteř každé firmy zůstane i v dalších letech dostatečně silná, aby se o ni mohly v případě potřeby opřít, anebo se páteře postupně prohnou a společnosti si až po delší době uvědomí, že zanedbaly jednu ze svých nejdůležitějších součástí.

Autor textu: Jan Hanáček