O audit Lékařů bez hranic se v PwC staráme už řadu let. Podobně jako u mnoha dalších projektů jsme si ale byli vědomi toho, že audit společnosti by neměl být jen finanční, ale měl by najít i příležitosti k dalšímu rozvoji. Lékařům bez hranic proto svoji pomoc nabídl tým Cyber & Privacy a pětice kolegů pod vedením Michala Wojnara. Audit své kyberbezpečnosti by ale neměly podceňovat ani další neziskové organizace.
Máte data? A chcete, abychom je viděli? O datech je dnes vše a každá organizace si je musí chránit. Stačí se zamyslet nad tím, jaké informace vám procházejí pod rukou. Jsou to data dárců? Vašich klíčových zaměstnanců? Dodavatelů?
V případě Lékařů bez hranic, organizace, která už 50 let poskytuje pomoc v zemích zasažených válkou, přírodními katastrofami nebo epidemiemi, si lze cíle útočníků představit poměrně snadno. Citlivých informací, které by pro ně mohly být zajímavé, je tu víc než dost. Pokud by došlo k jejich ztrátě, mohla by být ohrožena nejen reputace neziskové organizace.
„Hrozby mohou mít různé zaměření – přesto, že útočníkům v případě neziskové organizace asi nepůjde o peníze, jejich motivace může být například politická nebo ideologická a ani přinejmenším ji nelze podceňovat,“ vysvětluje leader týmu Michal Wojnar.
3 fáze kyberbezpečnostního auditu
Spolupráce kolegů z Cyber & Privacy týmu PwC a Lékařů bez hranic prošla hned třemi fázemi, které jsou pro organizaci důležité. Zaměřili se na procesní bezpečnost, technickou bezpečnost a revizi bezpečnostního nastavení Office 365 (zkráceně O365), které organizace využívá. Takovou práci nelze udělat za odpoledne a důležité je do práce zapojit i management každé organizace, která auditem prochází. Co je v jednotlivých krocích čekalo?
- Procesní úroveň bezpečnosti – Zde je potřeba si promyslet, která data jsou pro vás klíčová, kde se zpracovávají a jakým způsobem probíhá jejich řízení v organizaci. Důležité je tedy pochopit, co potřebujete chránit a kde to máte.
- Technická úroveň bezpečnosti – Jak je na tom celková architektura bezpečnosti vaší organizace a bezpečnost jednotlivých komponent? Kde jsou slabá místa? A jak je chránit? V rámci této části jsme detailněji hodnotili úroveň zabezpečení pracovních stanic, lokální sítě a serverů i řízení přístupů.
- Bezpečnost a nastavení Office365 – Zde už se jednalo o revizi nastavení bezpečnosti O365 jakožto cloudového prostředí od společnosti Microsoft pro kooperaci týmu (MS Teams, Sharepoint, OneDrive, Outlook) obsahující kancelářské aplikace jako Microsoft Word nebo Excel.
Podobně jako u lékařské prohlídky i v případě kybernetického auditu je výstupem stanovená diagnóza bezpečnosti organizace a návrh léčebného plánu. Záleží pak na tom, jak vyspělá bezpečnost té či oné organizace je. Některé potřebují vytipovat cestu, kterou by se ve své kyberbezpečnosti měly dát. Jiné potřebují pochopit už jen konkrétní kroky, na které třeba zapomněly. Některé z těchto kroků bývají jednorázové, jako je to u očkování, častěji je ale nutné počítat s tím, že je potřeba je i v budoucnu zkoušet a trénovat podobně jako svalstvo.
„Ochranu dat bereme v naší organizaci velmi vážně a právě nezávislý pohled zvenčí je asi tím nejlepším způsobem, jak prověřit naše stávající nastavení,” vysvětluje Sylva Horáková, ředitelka organizace Lékaři bez hranic. „Audit nám přinesl možnost získat ucelený pohled na naše fungování jak na technické, tak procesní úrovni a zároveň jsou jeho výsledkem zcela specifická doporučení, která rozhodně nezůstanou jen na papíře, již nyní na jejich základě podnikáme první konkrétní kroky. Michalovi a jeho týmovým kolegům patří náš velký díky za skvěle odvedenou práci, moc si jejich pomoci vážíme.”
Kybernetickou bezpečnost nepodceňujte. Možností, jak se bránit, je spousta
„Jsme rádi, že v PwC naše podpora neziskových organizací nekončí u finančních darů a měli jsme možnost pomoci i s jejich rozvojem. Tak, jako jsme si to mohli vyzkoušet například právě v případě Lékařů bez hranic, a určitě bychom v této práci rádi pokračovali i dál,“ říká Michal Wojnar a upozorňuje, že kyberbezpečnost neziskových organizací je téma, na které by se nemělo zapomínat. „Pomoci jim mohou soukromé firmy, ať už skrze dlouhodobější spolupráci jako v tomto případě, nebo uspořádáním například hackathonu zaměřeného na konkrétní potřeby organizace. V případě kybernetické bezpečnosti se mohou obracet i na Národní úřad pro kybernetickou a informační bezpečnost, který například stanovuje bezpečnostní standard pro malé a střední podniky, který je vhodným nástrojem i pro oblast nezisku.“
V PwC nám zatím ke spolupráci s Lékaři bez hranic pomohl skvělý tým dobrovolníků z Cyber & Privacy ve složení Michal Wojnar, Lucie Carne, Petr Šimsa, Kristyna Bačová, Karolína Kubínová a Yulia Zhuleeva. Děkujeme jim všem.