Nový zákon o kybernetické bezpečnosti, který již prošel schvalováním a brzy začne platit, výrazně rozšiřuje okruh firem, které se musí zaměřit na svou kyberbezpečnost. Experti novou legislativu, která mimo jiné zavádí i evropskou směrnici NIS2, vítají. Je to podle nich krok správným směrem. Shodli se na tom při debatě zaměřené na kyberbezpečnost, která se konala na konci června v sídle Hospodářských novin.
Jisté výhrady však diskutující měli k metodice, podle které firmy zjistí a zdokumentují, jak na tom vlastně s kyberbezpečností jsou. „Zákon stanovuje jakousi statickou dokumentaci. Tedy dnes napíšu analýzu a za rok si ji překontroluji. Ale kybernetický svět je dynamický. Měla by za tím být další vrstva analýzy rizik provozovaného systému na dynamické bázi,“ řekl Vladimír Kaděra, specialista na kybernetickou bezpečnost z ATS‑Telcom Praha.
Diskutující řešili také otázku, jak se mají o svou kyberbezpečnost začít starat firmy, které to dosud systematicky nedělaly a nemají k tomu potřebné interní know‑how.
„Jednou z cest je vychovat si vlastního manažera kyberbezpečnosti, dále je možné najmout si odborníka nebo tuto službu celou outsourcovat,“ shrnul Martin Konečný, CEO společnosti Guardians. Ideální podle něj je, když se bezpečnostní nástroje propojují s analýzami rizik, protože firma pak má informace o reálných rizicích, tedy není to věštění z křišťálové koule, ale pracuje se s reálnými hrozbami.
Se zaučením pomůže zkušený mentor
Požadavky na manažera kybernetické bezpečnosti jsou jasně dané. „Buď musí mít tři roky praxe, nebo úspěšně ukončenou školu v tomto oboru a za sebou minimálně jeden rok praxe. Ovšem v současnosti je na trhu odborníků na kybernetickou bezpečnost málo,“ podotkl Vlad Cohen, CEO společnosti AuditMaster.ai. „Trh je tedy nucen hledat nová řešení, jak pokrýt poptávku, která s novým zákonem přichází.“
Cestou podle něj je jmenovat člověka ze svého týmu coby manažera kybernetické bezpečnosti a k němu přiřadit zkušeného odborníka, klidně i externistu. „Ten internímu kolegovi pomáhá, školí jej a během roku až tří let váš člověk načerpá dostatek zkušeností a znalostí, aby mohl činnost vykonávat samostatně,“ poradil Cohen. Je také podle jeho slov možné outsourcovat jednotlivé činnosti a využívat inovativní řešení, která teď na trhu vznikají. Celosvětově je rok co rok nárůst množství kyberútoků podle jeho slov víc než poloviční, tím pádem bude rovněž stoupat poptávka po odbornících na kyberbezpečnost.
Konzultantské firmy, které nabízejí služby v tomto oboru, by podle Cohena měly už mít vlastní metodiku, jak nové požadavky zákona ve firmách nasadit, mít k problematice vypracované implementační plány a předpřipravené šablony politik směrnic. „Takže k zákazníkovi jdou již s vypracovaným implementačním toolkitem a nevytváří vše až během procesu nasazení,“ poznamenal Cohen s konstatováním, že takto firma významně ušetří čas. „Buduji nástroj, který zkracuje dobu posouzení souladu z desítek dnů na hodiny. Využíváme přitom i umělou inteligenci,“ podotkl Cohen.
Vladimír Kaděra upozornil, že firmy, které čekaly na nový zákon a dosud neudělaly vůbec nic, ztrácely čas. „Ten ale ještě je, pokud zákon začne platit na konci roku, do té doby firma ještě zvládne vytvořit základní kostru toho, co bude potřebovat, aby už měla podklady pro konzultanta,“ vybídl Kaděra.
AI využívají nejen firmy, ale i hackeři
Důležitou roli v kyberbezpečnosti hraje také umělá inteligence. A to nejen z pohledu obrany, ale také z pohledu útočníka, který ji rovněž využívá. Díky tomu jsou manažeři kyberbezpečnosti nuceni nezaspat a zaměřovat se na preventivní opatření, jak připomněl Martin Konečný.
„Snažíme se propojovat a automatizovat sběr důkazů z jednotlivých bezpečnostních nástrojů. Je jen otázkou času, kdy i audity budou probíhat tak, že se tyto důkazy jednoduše načtou do auditního nástroje, který rovnou ukáže, kde jsou slabá místa,“ popsal Konečný. Dodal, že k průniku útočníka do systému někdy stačí i pouhých 51 vteřin a i sami útočníci používají automatizace a vytvářejí například deepfakeová média pomocí hlasu a obrazu.
Důležité je řádně proškolit zaměstnance
Vladimír Kaděra je přesvědčen, že zhruba šedesát procent kyberbezpečnosti stojí a padá na uživatelích, na konkrétních lidech. „Můžete nakoupit sofistikovaná řešení, ale bude je vyhodnocovat člověk. Když se dostane do stresové situace a je s ním obratně psychologicky manipulováno, zapomene na všechny dobré zvyky a udělá, co po něm útočník chce,“ upozornil Kaděra. Proto je třeba vést lidi k ověřování všeho, co jim připadá jakkoliv podezřelé.
„Pokud jakákoli zpráva ve vnitřní síti působí podezřele, nátlakově nebo nabízí něco neobvyklého, měli by lidé zapojit zdravý rozum a informace si ověřit – například se přímo zeptat nadřízeného,“ podtrhl Kaděra. I z toho důvodu je důležité pravidelně školit zaměstnance v kyberbezpečnosti.
„Představa, že jednou za rok uspořádám školení, odškrtnu si fajfku a všechno je v pořádku, není dobře. Každý měsíc by se mělo řešit jedno téma a to by mělo být rozpracované tak, aby člověk v každé situaci věděl, jak má reagovat,“ zmínil Kaděra. Konečný doplnil, že se již například dělají screeningy zaměstnanců, jakési prověrky, které zamezí náboru lidí, kteří nastupují se záměrem způsobit firmě škodu.
Partnery debaty jsou společnosti ATS - Telcom Praha, Guardians.cz a AuditMaster.ai.
Přidejte si Hospodářské noviny
mezi své oblíbené tituly
na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist