Za několik měsíců začne v Česku platit nový zákon o kybernetické bezpečnosti, který zavádí evropskou směrnici NIS2. Nová legislativa výrazně rozšiřuje počet firem a dalších organizací, které budou podléhat pravidlům kyberbezpečnosti, a to z několika stovek na několik tisíc podniků. Problém však je, že firmy často nevědí, do jaké míry se na ně kyberzákon vztahuje. Upozornili na to experti v diskusi Hospodářských novin, která se konala v sídle mediálního domu Economia.

„Zákon stanovuje povinnosti i pro klíčové dodavatele povinných subjektů,“ řekl Jan Dobrý, technický ředitel společnosti Bit Servis. A diskutující hned uvedli situaci, jak se kromě velkých firem může regulace týkat i menších podniků. Když by například malá pekárna dodávala pečivo na Úřad vlády a jejich IT systémy by byly propojené, třeba objednávkovým systémem, pod novou bezpečnostní regulaci by spadala také.

Pokud si některá firma není jistá, zda se jí zákon týká, či nikoliv, může se poradit. Buď přímo u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), nebo u specializované IT firmy. „My pracujeme na úrovni vztahů větších firem a dokážeme jim poradit, do jaké hloubky mají sledovat svůj dodavatelský řetězec. Dám příklad: Pivovar má logistickou firmu, která vozí pivo zákazníkům, a pak má někoho, kdo mu dodává automatizovaný sklad. V tomto případě by pod nový zákon spadaly všechny tři tyto firmy, protože se jedná o výrobu potravin,“ ilustroval Marian Kulhavý, obchodní ředitel společnosti GAPP System.

Firma zodpovídá i za své dodavatele

Novinkou také je, že zákon bude skutečně postihovat firmy, které v kyberzabezpečení nic nedělají, přestože by měly. „Nyní tu máme šest až sedm tisíc firem, které jsou potenciálně zodpovědné za docela velké průšvihy. Ale pozor, není to tak, že zlá Evropská unie vymyslela regulaci, která uzurpuje podnikatele. Naopak, jde o výsledek faktu, že dnes je opravdu nebezpečné se o kyberbezpečnost nestarat,“ zmínil Kulhavý. Dodal, že postihy za nekonání by měl vymáhat NÚKIB skrze své auditory a pokuty se pohybují v procentech obratu dotyčných firem. Existuje také možnost zbavit jednatele funkce.

„Pakliže by hackeři napadli logistickou firmu, která pivovaru rozváží pivo, zodpovědný bude i jednatel pivovaru, že po té logistické firmě nevymohl, aby byla v souladu se směrnicí NIS2,“ vysvětlil Kulhavý.

Podle Václava Svátka, generálního ředitele společnosti ČMIS, je situace s kyberzabezpečením katastrofální nikoli ve větších firmách, které už pod nějakou regulaci spadají, ale ve státních a polostátních organizacích, jako jsou zdravotnická zařízení, školy a podobně. Příkladem je slovenský katastr, který letos v lednu ochromili hackeři. „Odhaduji, že z těch komerčních firem, které budou nově pod zákon spadat, to má dvacet procent v pořádku a osmdesáti procentům nepomůže zákon ani nic jiného. Když kyberbezpečnost neřešily dosud, nebudou ji řešit ani v budoucnu,“ je přesvědčen Svátek. Zmínil také, že průměrně se v Česku úspěšně realizuje 14 ransomwarových útoků měsíčně.

Přitom začít se zabezpečovat proti kybernetickým hrozbám podle jeho slov není zas tak náročné. „Základy, které každá firma musí mít, jsou pořádné zálohování, dvoufaktorové ověřování, segmentace sítě, firewally, aktuální systémy a tak dále. Na to není třeba dělat žádnou analýzu, která by trvala rok, tohle každá specializovaná firma zvládne za tři dny. A když k vám letí ransomware, rychlou analýzu musíte udělat do 24 hodin,“ vysvětlil Svátek. Shrnul, že první věc, kterou by každá firma měla udělat, je selským rozumem posoudit, jestli má, nebo nemá tyto základní bezpečnostní prvky.

Jan Dobrý souhlasil, že vždy jde o práci s riziky, některá se dají akceptovat a některá je třeba nutně vyřešit. „Jde o posouzení zdravým rozumem a některé kroky je možné udělat hned,“ doplnil Dobrý.

Hackeři jsou profíci, vybírají si slabší kusy

V GAPP Systemu nejčastěji řeší ransomware, který firmě zašifruje data a za odblokování požadují hackeři výkupné. „Dnes je již zasílání ransomwaru cílené, hackeři si vybírají slabší kusy a daří se jim to. Hackeři jsou profíci,“ zmínil Kulhavý.

Diskutující se zabývali také otázkou, zda platit, nebo neplatit výkupné. „Samozřejmě nejlepší je nedostat se do stadia, kdy jste před takovou otázku postaveni. Pokud opravdu zjistíte, že i zálohy jsou zašifrované, buď začnete od nuly, což pro firmu pravděpodobně bude likvidační nebo ji to před konkurencí velmi oslabí, nebo budete muset zaplatit,“ řekl Dobrý a dodal, že ani po zaplacení firma nemá stoprocentní jistotu, že svá data získá zpět.

Václav Svátek však zmínil paradoxní fakt, že i útočníci mají svou reputaci. Zažil dokonce situaci, kdy firma po útoku ransomwaru zaplatila výkupné, ale nefungoval obnovovací klíč a data nešlo dešifrovat. „Útočníci peníze vrátili. Je to ale kuriózní situace a nespoléhal bych na to,“ usmál se Svátek.

V diskusi padla také otázka, zda regulací v kyberbezpečnosti již není v EU až příliš. Kromě směrnice NIS2 existuje také nařízení DORA a několik dalších. „Ano, je to přeregulované a pro středně velké firmy je nařízení moc. A u nich to pak vede k tomu, že nařízení splní jen papírově, ale praktická pomoc to není,“ míní Svátek. Jan Dobrý však podotkl, že právní předpisy se do velké míry překrývají. „Když organizace splní ten pro ni odpovídající, obvykle tím naplní i případné další. U menších firem je to ale opravdu o tom, opřít se v zabezpečení o partnery, o poradenské společnosti,“ dodal Dobrý.

Partnery debaty jsou společnosti Bit Servis, ČMIS a GAPP System.

Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.

  • Veškerý obsah HN.cz
  • Možnost kdykoliv zrušit
  • Odemykejte obsah pro přátele
  • Ukládejte si články na později
  • Všechny články v audioverzi + playlist
za 40 Kč nebo za 80 Kč
Navíc mobilní aplikace
a web bez reklam