Několik tisíc českých firem čeká v následujících měsících příprava na pravidla ochrany před elektronickými útoky. Tato nová evropská regulace vzniká na základě unijní směrnice označované jako NIS2. Lidé z kyberbezpečnostní branže proto pozorně sledují, jak zákonodárci směrnici začlení do vznikajícího zákona o kybernetické bezpečnosti. O jeho konkrétní podobě se právě v těchto týdnech svádí boj v Poslanecké sněmovně.
IT firma Bit Servis, sídlící v pražské Libuši, pomáhá svým zákazníkům budovat odolnou digitální infrastrukturu. Poskytuje analýzy bezpečnosti těchto systémů a pomáhá firmám například i s přípravou na požadavky nového zákona.
Ondřej Koutský, odborník na kyberbezpečnost, jednatel a spolumajitel Bit Servisu, připravovaná jednotná pravidla ochrany vítá. Podle něj je zásadní změnou, že nový zákon učiní jednatele a topmanažery firem zodpovědnými za bezpečnost elektronických systémů. „Pokud své nové povinnosti nebudou plnit, nejednají s péčí řádného hospodáře a může se stát, že třeba výkupné v případě ransomwaru budou platit ze své kapsy. To je výrazný posun proti stávající situaci, kdy kyberbezpečnost není zákonem stanovená,“ říká Koutský.
Rozsáhlý regulační proces z EU v Česku zasáhne tisíce nepřipravených firem
Máme dnes přesný obrázek toho, co se v kyberprostoru děje? Statistika Národního úřadu pro informační a kybernetickou bezpečnost (NÚKIB) hlásí desítky „incidentů“ měsíčně, ale úřad sám přiznává, že to jsou jen ty větší a nahlášené případy. Jaký je váš pohled na situaci?
Existují veřejně dostupné webové stránky a samozřejmě i jiné zdroje, které útoky online monitorují. Je tam vidět, že to rozhodně není dvacet případů za měsíc, spíše dvě stě za den. Všichni naši partneři říkají, že útoků přibývá a jsou sofistikovanější. U našich klientů řešíme nějakou formu útoku prakticky každý den. Je ovšem nutné zmínit, že NÚKIB eviduje pouze ty incidenty, které mu byly nahlášeny podle stávajícího zákona, tedy zdaleka ne vše.
Data jsou dnes skutečně jednou z nejdůležitějších komodit. Ochromit konkurenci elektronickou cestou nedá mnoho práce a lze tak způsobit opravdu velké škody. A to pomíjím útoky kvůli výpalnému. V souvislosti s napjatou geopolitickou situací také narostly útoky na orgány státní správy a místních samospráv.
Odborníci poukazují i na fakt, že dnes jsou někteří útočníci placeni nepřátelskými státy s velkými rozpočty…
Z praxe je vidět, že téměř jakýkoli systém lze nabourat. Jde jen o to, kolik má útočník času a peněz. A to, že někteří z nich mají hodně peněz a dalších zdrojů, je realita. Proto je třeba postavit bezpečnostní systém tak, aby aktiva co nejvíce chránil. Klíčové je také dokázat zmírnit dopady případného úspěšného narušení.
Jak by měla firma nebo instituce o kyberbezpečnostních opatřeních rámcově uvažovat? Co klientům na úvod radíte?
Na začátku si musíte definovat aktiva, jejich důležitost, a provést analýzu rizik. A pak kolik do ochrany hodlají investovat a proč. Investice může být velká a chránit toho víc, nebo si lze říci, která aktiva maximální ochranu nepotřebují a která si můžete dovolit na nějakou dobu ztratit. My nabízíme klientovi na úvod analýzu označovanou jako GAP, aby bylo jasné, jak na tom s kyberbezpečností je, ať již vůči návrhu nového zákona nebo jiné normě. Od výsledků se pak může odrazit při dalším postupu.
Některé systémy, například výrobní nebo zdravotnické, je nejlepší úplně odříznout od okolního světa. Pak ale zase nemůžete počítat s rychlou dostupností z internetu. Musíte také zajistit, že k vašemu zařízení fyzicky nikoho nepustíte. Je to o vybalancování adekvátní ochrany a takových opatření, aby se v systému ještě dalo efektivně pracovat.
V oboru kyberbezpečnosti sehrává hlavní roli překotný rozvoj technologií, zejména nástup umělé inteligence (AI). Jak se AI už nyní projevuje?
Dnes je AI zabudovaná do mnoha bezpečnostních nástrojů. My ji také využíváme při návrzích různých technických řešení a pro následnou implementaci. Role umělé inteligence je asi nejdůležitější ve vyhodnocování provozu v síti a v řízení superrychlé reakce na nastalé hrozby. Ale používá ji v obrovské míře i nepřátelská strana. Je to cítit například na rostoucích počtech útoků.
AI všechno zrychlila. Reakce jsou dnes mnohem rychlejší a protireakce musí být srovnatelně rychlá. A systémy zastarávají mnohem rychleji. Jak hardware, tak software.
Velkým tématem je zmíněná směrnice NIS2 a její přetavení do českého prostředí, konkrétně do nového zákona o kybernetické bezpečnosti. Potřebujeme přísnější pravidla, jaká prosazuje Evropská unie?
Ano, jsou jednoznačně třeba. Jedním z důvodů je geopolitická situace a fakt, že počet útoků stoupá a jsou stále sofistikovanější. Důležitým prvkem NIS2 je vzájemná spolupráce mezi evropskými státy, jež dosud nebyla tak propracovaná. Směrnice řeší to, aby úroveň kyberbezpečnosti byla napříč unií stejná a samozřejmě vyšší, než je nyní.
Někdo může namítnout, že ani nemůžete mluvit jinak, protože nová pravidla budou pro vaši firmu byznysem. Tisíce organizací se na nová pravidla musí připravit a budou potřebovat pomoc…
Moje odpověď zní, že zároveň jsme to my, kdo pak řeší následky kyberútoků u našich zákazníků. Podle informací, které prezentuje NÚKIB, je průměrná škoda způsobená jedním úspěšným kybernetickým útokem 90 milionů korun. Pokud toto společnosti považují za přijatelné riziko, tak O. K.
Nové povinnosti byly už několikrát v médiích zmiňovány: bezpečnostní audity, dedikovaní manažeři, proškolování zaměstnanců a řada technických požadavků. Co z toho je to nejpodstatnější?
Hlavní nová věc, kterou to přinese, je větší odpovědnost za kybernetickou bezpečnost na straně vedoucích pracovníků – jednatelů a členů představenstev. Pokud své nové povinnosti nebudou plnit, nejednají s péčí řádného hospodáře a může se stát, že třeba výkupné v případě ransomwaru budou platit ze své kapsy. To je výrazný posun proti stávající situaci u organizací, které dosud zákonu o kybernetické bezpečnosti nepodléhaly a kterých má být dle NÚKIB okolo 6000. Já jsem zaznamenal i odhad, který hovoří o čísle přes 10 tisíc. Nově má být kyberbezpečnost klíčovou součástí řízení společností a institucí.
Jak jsou české firmy z hlediska zabezpečení připravené už nyní? NÚKIB například říká, že úroveň připravenosti zase není tak špatná…
Má to několik rovin. Zaprvé, kyberbezpečnostní opatření jako taková. Tam si myslím, že vybavení firem špatné není a stále se zlepšuje, přestože opravdu špičkové úrovně dosahuje jen malý počet subjektů. Pak je tu organizační rovina, tedy směrnice, interní postupy, školení zaměstnanců, audity a podobně. V této části podniky a instituce ještě nejsou na potřebné úrovni, protože tyto požadavky většina z nich zatím ani plnit nemusela. A také bude třeba obsadit nebo externě zajistit pracovníky na nové bezpečnostní pozice. Tam to bude složité.
Vzhledem ke zmíněným změnám, s čím se na vás tedy zákazníci nejvíce obracejí?
Zákon pravděpodobně vstoupí v platnost v polovině příštího roku, to je realistický termín uváděný i ze strany NÚKIB. Pak firmy mají dva měsíce na to, aby se takzvaně samoidentifikovaly, tedy zjistily, zda pod nové povinnosti spadají a v jakém rozsahu. Když od NÚKIB obdrží registraci, mají pak 12 měsíců na splnění povinností. Už teď by se na vše měly připravovat, protože naše zkušenosti ukazují, že účinné projekty na zvýšení kybernetické bezpečnosti trvají více než rok.
Stáhněte si přílohu v PDF
Je komplikace, že definitivní podoba zákona stále ještě není na světě?
Vidím to bohužel jako velký problém. Navíc se obsah nového zákona o kybernetické bezpečnosti stále mění. A to ještě nejsou v legislativním procesu prováděcí vyhlášky, které definují vlastní rozsah bezpečnostních opatření.
A vaši klienti už přípravy řeší?
Ti zodpovědnější si už vyhodnotili, zda se jich nová regulace dotkne, a uvědomují si, že není mnoho času. Kdo chce ušetřit a například nakupovat technologie na základě výběrových řízení, snaží se to řešit včas. Ví, že kdyby to řešil před koncem oné zákonné lhůty, nesežene ani hardware, ani lidi. Ti, kdo se tím už nyní intenzivně zabývají, chtějí mít prostor na to najít dobré řešení, vysoutěžit si dodavatele a taky mít prostor vymýšlet konkrétní postupy, jak požadavky zákona splnit. Na to jsou třeba celkem složité analýzy, které nelze udělat ze dne na den. Pokud rizika vyhodnotíte nedostatečně, nesplníte podmínky zákona. Když opatření přeženete, zaplatíte zbytečně moc peněz.
Jsou podle vás znevýhodněné menší firmy, které třeba nemají zahraniční vlastníky a dostatečně silné zázemí?
Obecně si myslím, že podniky střední velikosti jsou v nejtěžší situaci. Z regulace nula vstupují do regulace určité úrovně. Nemají všechna patřičná compliance oddělení, nejsou ani zvyklé řešit takto velké projekty. Je stále spousta organizací a firem, které zatím jen zjišťují informace, ale konkrétní akce zatím nedělají.
Text vznikl ve spolupráci se společností Bit Servis.
Článek byl publikován ve speciální příloze HN Kybernetická bezpečnost.
Přidejte si Hospodářské noviny
mezi své oblíbené tituly
na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist
