V digitálnom svete, kde informácie predstavujú nové zlato, otázka zodpovednosti za kybernetický útok rezonuje viac než kedykoľvek predtým. Často sa zodpovednosť zúži len na IT oddelenie, čo však môže byť zavádzajúce. Aby sme pochopili, kto skutočne nesie zodpovednosť v prípade kybernetického útoku, je potrebné preskúmať úlohy a povinnosti jednotlivých kľúčových aktérov v organizácii.
IT špecialista alebo admin
IT špecialisti sú prirodzene prvými, na ktorých padne pohľad, keď dôjde k kybernetickému problému. Títo profesionáli zabezpečujú infraštruktúru, nastavujú firewally, inštalujú antivírusové riešenia a spravujú siete. Ak sa niečo pokazí, zvyčajne sa vina automaticky pripíše im. Ich činnosť sa však často riadi politikami a rozhodnutiami vyššie postavených osôb. Keď nadriadení ignorujú ich odporúčania, akú majú potom možnosť ovplyvniť výsledok?
Osoba poverená kybernetickou bezpečnosťou
Špecialisti na kybernetickú bezpečnosť definujú bezpečnostné smernice, vykonávajú audity systémov a pravidelne analyzujú riziká. Ich úloha je strategická a súvisí s dodržiavaním zákonných povinností, ako je GDPR alebo iné právne predpisy. Ak vedenie ignoruje ich návrhy a varovania, kde sa potom začína zodpovednosť?
Vedúci IT oddelenia
Manažér IT oddelenia koordinuje prácu svojho tímu a zodpovedá za implementáciu stratégií. Tento vedúci musí rozhodovať o prioritách, rozpočte a časových plánoch. Ak nemá k dispozícii dostatočné zdroje na zabezpečenie ochrany, jeho možnosti sú výrazne obmedzené. Zároveň nesie morálnu aj právnu zodpovednosť za prípadné dôsledky.
Riaditeľ spoločnosti
Riaditeľ stanovuje strategické hodnoty spoločnosti, schvaľuje rozpočty a určuje priority. Ak sa kybernetická ochrana ignoruje alebo podceňuje, zodpovednosť spočíva priamo v jeho rozhodnutiach. Ak riaditeľ odmieta financovať dôležité opatrenia alebo ignoruje odporúčania špecialistov, riziká rastú a s nimi aj jeho podiel na zodpovednosti.
Dozorná rada a akcionári
Dozorná rada dohliada na správnosť rozhodnutí vedenia a chráni záujmy akcionárov. Ak ignoruje správy o nedostatkoch v bezpečnosti alebo nevykoná potrebné opatrenia, nesie svoj diel zodpovednosti. Ich pasivita môže spôsobiť vážne škody, ktoré ohrozia nielen povesť spoločnosti, ale aj jej finančnú stabilitu.
Každý je súčasťou reťazca
V konečnom dôsledku neexistuje len jeden vinník. Kybernetická bezpečnosť je kolektívna zodpovednosť, ktorá zahŕňa každú úroveň organizácie. Efektívna ochrana závisí od správne nastavených procesov, pravidelného vzdelávania zamestnancov, dôkladných auditov a otvorenej komunikácie medzi jednotlivými oddeleniami.
Takže, keď sa nabudúce objaví snaha zvaliť vinu na IT oddelenie, zastavte sa a zamyslite sa – má organizácia jasno v tom, kto a za čo zodpovedá? Ak nie, následky kybernetického útoku môžu niesť všetci, nielen jednotlivci, ale celá firma.
