Kybernetická bezpečnost a připravenost velkých i malých podniků, bank, nemocnic i jednotlivců vzdorovat plošným i cíleným kybernetickým útokům jsou velkým tématem už řadu let, přesto jsou útočníci stále napřed. Jde o ohromný byznys a množství bezpečnostních incidentů se v posledních letech každý rok zdvojnásobí.

Poslanecká sněmovna nyní projednává nový zákon o kybernetické bezpečnosti, který implementuje evropskou bezpečnostní směrnici NIS2. Rozsah regulovaných odvětví a služeb směrnice výrazně rozšiřuje, nový zákon se tak dotkne nejen velkých, ale nově i středních a malých podniků včetně jejich subdodavatelů. „Zákon už měl být přijat v říjnu loňského roku, musí se ale vypořádat s řadou připomínek a jeho finální přijetí a účinnost předpokládáme v druhé čtvrtině letošního roku,“ upozornil na začátku března v debatě Hospodářských novin Petr Kocmich, bezpečnostní manažer a architekt kyberbezpečnosti ve společnosti Soitron. Tématem debaty bylo zabezpečení před kyberútoky a zejména připravenost firem fungovat v rámci nových pravidel, která ze směrnice NIS2 a nového zákona vyplynou.

 

Tato připravenost je podle Romana Kropáče, manažera obchodního rozvoje ve Skupině ICZ, u společností velmi rozdílná. Firmy, které již spadaly pod zákon o kybernetické bezpečnosti, budou řešit pouze rozdíly v rámci nové legislativy. „Jsou zde ale i firmy a celá odvětví, které dosud stavěly IT jen ve formě, aby nějak fungovalo. A ty jsou nyní postaveny do situace, že to nemá jen fungovat, ale má to být i bezpečné,“ upozornil Kropáč.

Netuší, že se jich zákon týká

Rozdílný je ovšem také přístup firem v posouzení toho, zda se jich zákon týká, nebo ne. Jednodušší to mají podle Kocmicha státní organizace, kde je poměrně jasné, na koho budou padat povinnosti a jaké. Horší to však podle něj bude z pohledu naplnění. Jiná je situace v soukromém sektoru u středních a menších společností. Existuje řada firem, které vůbec netuší, že se jich bude zákon týkat, domnívají se, že se týká pouze IT společností. „Určitá pravidla bezpečnosti se ale budou vztahovat například i na velmi malý e‑shop, soukromníka, který po večerech plete svetry, ale nabízí je online,“ varoval Vladimír Kaděra, seniorní specialista kybernetické bezpečnosti ATS‑Telcom Praha.

Pro posouzení, zda, jak a koho se nový zákon týká, pomohou vládní návody. Na stránkách Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) je možno snadno a rychle vyhodnotit, do jaké kategorie – střední, malý, mikropodnik – firma spadá podle počtu zaměstnanců a podle ročního obratu. „Po této sebeidentifikaci vezme vodítko pro vyhodnocení regulovaných služeb, kde je dobře a podrobně popsáno všech 18 odvětví, a z něho alespoň v základním měřítku zjistí, do jaké míry je třeba brát nové regule v potaz,“ doplnil Kocmich. Podle Kropáče je důležité neřešit pouze situaci ve firmě, ale propojit další články řetězce – subdodavatele, poskytovatele služeb a podobně.

Zbývá už málo času

Firmy také podle Kaděry velmi podceňují časové hledisko. „Pokud budou vše řešit až v okamžiku, kdy zákon vstoupí v platnost, budou mít devět, maximálně dvanáct měsíců. A to je krátká doba na to, aby se tím teprve začaly zabývat. Mohou pak pod tlakem učinit kroky neúměrně finančně nákladné. Nebo naopak podhodnocené, nedostatečné a budou rizikem pro další navazující subjekty,“ varoval Kaděra.

Pro firmu to může znamenat nejen velké finanční a obchodní ztráty a náklady při likvidaci následků případného útoku, ale také vysokou pokutu při prokázání pochybení dle kybernetického zákona. A pochopitelně je tady velké reputační riziko. Pro malé a střední firmy může být i plošný, nezacílený útok likvidační. Vstupní finanční zátěž je oproti tomu mnohem únosnější. Podle Kocmicha a Kaděry to pro menší společnosti mohou být řádově vyšší stovky tisíc až 1,5 milionu korun, u středních jednotky milionů. A často lze využít i stávajících řešení, nalézt konkrétní levnější, ale přesto dostačující produkt, outsourcing a podobně.

Účastníci debaty se shodli, že naprostým základem kyberbezpečnosti je kontinuita. Nestačí jednorázová investice, ale je třeba technologie průběžně spravovat a rozvíjet. Na počátku je důležitá analýza aktuálního stavu firmy, všech jejích segmentů včetně návazných řetězců. „Je dobré udělat dva kroky. Promluvit se svým standardním dodavatelem IT a zjistit, zda má kompetence zajistit odpovídající kyberbezpečnost a soulad s legislativou. A za druhé navštívit a prostudovat materiály na NÚKIB, zjistit pozici firmy a získat návod, jak postupovat. A co bliká červeně, to neprodleně řešit,“ radil Kropáč z ICZ.

Následovat by měly praktické kroky jako nastavení architektury, systému vyhodnocování rizik a řízení kompetentním kybernetickým managementem. A v neposlední řadě účastníci debaty zdůraznili potřebu vnímat rizikovost lidského faktoru a nutnost důsledného a opakovaného proškolování a vzdělávání lidí v oblasti kybernetické bezpečnosti. Přináší to totiž další přidanou hodnotu, kdy si člověk bezpečnostní pravidla, která se naučí ve firmě, přinese i do občanského života. Půjde o příspěvek k vyšší gramotnosti lidí a potažmo státu v oblasti kyberbezpečnosti.

Partnery debaty jsou společnosti ATS‑Telcom Praha, Soitron a Skupina ICZ.

Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.

  • Veškerý obsah HN.cz
  • Možnost kdykoliv zrušit
  • Odemykejte obsah pro přátele
  • Ukládejte si články na později
  • Všechny články v audioverzi + playlist
za 40 Kč nebo za 80 Kč
Navíc mobilní aplikace
a web bez reklam