Kyberprostor je nové bitevní pole. Aktéry útoků se často stávají žáci a studenti

Naše rostoucí závislost na informačních a komunikačních technologiích nutně vede k tomu, že se kybernetická bezpečnost stává významnou záležitostí geopolitiky. Stále více kybernetických útoků, narušujících provoz klíčových informačních systémů, totiž přichází ze zahraničí. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) uvádí, že za první tři měsíce letošního roku firmy a instituce nahlásily více než 50 kybernetických útoků. Množství kyberútoků se navíc zásadně zvýšilo v období po vypuknutí války na Ukrajině. „V souvislosti se zhoršující se globální bezpečnostní situací počet kybernetických útoků narůstá. Kyberprostor se stal dalším válčištěm, jak ostatně potvrzují i závěry posledního summitu NATO ve Varšavě, ale přibývá i útoků na firemní úrovni. Počet útoků, který uvádí NÚKIB, je navíc jen špičkou ledovce, protože zahrnuje pouze ze zákona povinná hlášení. Skutečnost bude o řád či dva vyšší,“ říká Aleš Špidla, odborník na kyberbezpečnost a pedagog Vysoké školy CEVRO.

Množství kyberútoků se navíc stupňuje i vlivem dostupnosti technologií, které lze za takovým účelem zneužít. „Aktéry útoků se často stávají i žáci a studenti škol, kteří mají dnes velmi snadný přístup k dark webu a všem nástrojům, které pro kybernetický útok potřebují,“ varuje Marie Potůčková, projektová manažerka Střední školy informatiky, poštovnictví a finančnictví Brno. Týká se to také dlouhodobě nejčastějších typů kybernetických útoků. Mezi ty patří útoky typu DDoS, jejichž cílem je omezit dostupnost internetové služby jejím zahlcením falešnými požadavky, a ransomwarové útoky, kdy kyberzločinci proniknou do sítě své oběti, zašifrují důležitá data a požadují výkupné za jejich opětovné zpřístupnění. „Útoky typu DDoS jsou ideálním nástrojem na zdůvěryhodnění institucí, konkurenční boj i rozkolísání společnosti. Důvěra veřejnosti vychází i z toho, jak instituce a podniky fungují. A jestliže je pod vlivem DDoS útoků poskytování jejich služeb narušeno, významně to ovlivní i důvěru veřejnosti,“ dodává Aleš Špidla. Stejně jako útoky typu DDoS lze i ransomwarové útoky spouštět prostřednictvím služeb, jednoduše dostupných k zakoupení na internetu, společně s detailními návody, jak kyberútoky provést.

„Takové útoky označujeme jako asymetrické, protože útočníka prakticky nic nestojí, na rozdíl od obrany, která je naopak velmi nákladná,“ vysvětluje Špidla.

Na prostředí se sílící intenzitou kyberútoků musí reagovat také legislativa. Proto je v současnosti horkým tématem evropská regulace NIS2 a její transpozice do české legislativy v podobě nového zákona o kybernetické bezpečnosti. Ten nařídí nové povinnosti přibližně 6000 menších firem a institucí ze všech různých oborů. „Transpozice evropské směrnice měla proběhnout do 18. října letošního roku a NÚKIB odvedl s návrhem příslušného zákona velmi dobrou práci. A přestože v legislativním procesu dochází ke zpoždění, bude Česko stále jednou z prvních zemí EU, která bude mít směrnici NIS2 transponovanou,“ říká Jiří Císek, managing partner advokátní kanceláře Cisek. NÚKIB nyní upravil návrh zákona dle připomínek Legislativní rady vlády a dalším krokem již může být projednávání zákona v Poslanecké sněmovně. „Na provedení směrnicí vyžadovaných kyberbezpečnostních opatření budou mít organizace, na které se bude zákon nově vztahovat, ještě další 12měsíční lhůtu. Takže ještě máme čas se na transpozici směrnice připravit,“ dodává Císek. Nicméně, pro organizace, které mají již podle stávající legislativy povinnost dodržovat kyberbezpečnostní opatření, budou nová pravidla platit okamžitě.

Kybernetickou bezpečnost dnes nějakým způsobem řeší většina firem či organizací, jen to často nedělají systematicky a nevedou si příslušné záznamy. „Existuje bohužel stále hodně firem, které nemají pud sebezáchovy a kyberbezpečnost systematicky neřeší. NÚKIB přitom na svých stránkách poskytuje pomůcku pro audit kybernetické bezpečnosti, se kterou si může každá firma zjistit, jak si v tomto ohledu stojí,“ vysvětluje Aleš Špidla. Mezi největší změny v legislativě přitom patří například povinné vzdělávání vrcholového managementu v kyberbezpečnosti a možnost pozastavit výkon funkce statutárních zástupců firem v případě jejich selhání při plnění zákonných povinností.

I proto bude připravovaná legislativa klást nároky také na vzdělávací systém, kde dále poroste už dnes vysoká poptávka po odbornících na kybernetikou bezpečnost. „Máme za sebou osm let pilotního ověřování výuky kyberbezpečnosti v rámci středoškolského vzdělávání a naše zkušenosti sdílíme s dalšími školami po celé republice,“ uvádí Marie Potůčková a dodává: „Vše směřuje k tomu, že bude kybernetická bezpečnost zakotvena jako nový obor vzdělávání, což nám umožní nastavit jednotný standard.“ Střední škola informatiky, poštovnictví a finančnictví Brno má již čtvrtou generaci absolventů oboru kyberbezpečnost a kromě středoškolského vzdělávání nabízí rovněž dvouleté pomaturitní studium managementu kybernetické bezpečnosti a funguje jako centrum informační a kybernetické bezpečnosti pro pedagogy i management ostatních škol.

Přestože zatím není k dispozici konečné znění nového zákona o kybernetické bezpečnosti, je již nyní možné zjistit, zdali se na danou firmu či instituci bude nová zákonná úprava vztahovat – a pokud ano, je nutné začít s přípravami opatření. Nicméně, jak říká Aleš Špidla: „V tento okamžik by organizace určitě neměly slyšet na nabídky implementace NIS2 tzv. na klíč, jednoduše proto, že ještě nemáme platnou legislativu.“