O kybernetické bezpečnosti slyšíme v posledních měsících především ve spojení s připravovanou novelou zákona o kybernetické bezpečnosti, která do české legislativy přenáší povinnosti dle evropské směrnice NIS 2. Tato regulace představuje poměrně zásadní zpřísnění povinností v oblasti zabezpečení informačních systémů a dat v rámci organizací, které budou svojí velikostí, významem a potenciálním vlivem na chod celého státu novému zákonu podléhat.
Pod nový zákon, který by mohl společně se souvisejícími vyhláškami a předpisy začít platit už počátkem příštího roku, budou spadat možná až desítky tisíc firem a organizací. Bylo by ale velkou chybou spoléhat se na to, že firmy, kterým to nová legislativa nebude přímo nařizovat, se nemusí své kybernetické bezpečnosti intenzivně věnovat. „Kybernetická bezpečnost je dnes esenciální součástí každého podnikání, bez ohledu na odvětví nebo velikost firmy. S všudypřítomnou digitalizací roste i naše závislost na různých informačních systémech, aplikacích a úložištích dat a kybernetická bezpečnost se stává otázkou přežití firmy v prostředí globální konkurence a každodenních útoků,“ upozorňuje Martin Půlpán, bezpečnostní konzultant Českých Radiokomunikací. Připomíná, že každá firma spravuje přinejmenším data o svých zákaznících, finanční údaje a další cenné informace, z nichž mnohé už dnes spadají pod regulaci GDPR.
Fantastický byznys, hodnotí nákup Českých Radiokomunikací Steven Marshall, šéf londýnského fondu Cordiant
A co víc, nový zákon o kybernetické bezpečnosti řeší zabezpečení povinných subjektů v rámci celého dodavatelského řetězce. „V praxi to bude znamenat rozšíření působnosti zákona na tisíce dalších firem, po kterých budou jejich zákazníci, kteří sami musí splnit povinnosti dle nového zákona, vyžadovat konkrétní bezpečnostní opatření. Může přitom jít třeba o malé vývojářské firmy nebo dodavatele služeb, kteří spolupracují například s nemocnicemi nebo zákazníky z oblasti energetiky,“ dodává Půlpán. „Máme zkušenosti s podniky, kde je sice technické zabezpečení na poměrně vysoké úrovni, ale současně se dříve neřešily například situace, kdy přijde servisní technik a připojí svůj počítač do místní sítě. K mnoha zásadním kybernetickým útokům například u výrobních podniků přitom dochází právě prostřednictvím dodavatelského řetězce, a je tedy správné, že se na něj nová legislativa soustředí,“ popisuje jednu z typických situací.
O kyberbezpečnost jde každý den a náklady jdou do milionů
Snad nejčastějším argumentem, proč především menší firmy nezavádějí opravdu systematická opatření v kybernetické bezpečnosti, je právě velikost, a tedy i předpokládaná „nezajímavost“ pro útočníky. Právě to je ale velký omyl. Například studie společnosti Check Point uvádí, že ve druhém čtvrtletí letošního roku čelila každá česká společnost v průměru více než dvěma tisícům kybernetických útoků týdně. Meziročně narostlo množství útoků na české firmy o více než třetinu a celkově je podstatně vyšší než celosvětový i evropský průměr. „České firmy i další organizace jsou pod nepřetržitou palbou kyberútočníků nejpozději od roku 2014, kdy se internet proměnil v další válečnou frontu. Kromě útoků podporovaných nepřátelskými státy se navíc rychle množí také útoky vedené s pomocí automatizovaných nástrojů, které zásadně snižují nároky na nezbytné znalosti kyberzločinců,“ vysvětluje Martin Půlpán, proč velmi rychle roste množství vyděračských (ransomwarových) útoků nebo útoků typu DDoS, jejichž cílem je vyřadit z provozu internetové služby či aplikace jejich zahlcením falešnými požadavky. Plošný kybernetický útok tedy nutně nevyžaduje pokročilé znalosti, je lehce dostupný a nemusí být ani nijak nákladný. Způsobené škody ale mohou být obrovské.
Soukromé firmy se zpravidla příliš nechlubí výší nákladů, jaké pro ně kybernetický útok znamenal. Společnosti Sophos se ale v rámci její studie podařilo zjistit, že z firem, které se v roce 2023 rozhodly získat svá data zašifrovaná ransomwarem zpět zaplacením výkupného útočníkům, zaplatila plná třetina přes šest milionů korun. Další třetina si cenila svá data až na čtyři miliony. „Jedna věc jsou částky zaplacené vyděračům, které samy o sobě nemusí být pro firmu likvidační. Úspěšný kybernetický útok ale představuje i náklady na odstávku a také zásadní ránu pro reputaci podniku před jeho zákazníky a obchodními partnery. A zaplacení výkupného také neznamená, že jste se útočníka nadobro zbavili,“ doplňuje Půlpán.
Kyberbezpečnost řeší každý, ale často chybí procesy a dokumentace
Povědomí o kybernetických rizicích je dnes už natolik rozšířené, že se nějakým způsobem už prakticky v každé firmě zabezpečení sítě, aplikací i dat řeší. Co je ovšem důležité, zdaleka ne vždy se na kyberbezpečnost pohlíží opravdu komplexně. „Kybernetická bezpečnost má tři základní pilíře – technologické řešení, procesy a dokumentaci,“ vyjmenovává Martin Půlpán. „Technologie poskytuje nástroje a funkce pro zabezpečení, zatímco procesy určují, jak s nimi pracujeme, jak zabezpečení řídíme a také kontrolujeme. A dokumentace nám popisuje, jak vlastně celé řízení kyberbezpečnosti funguje, definuje kompetence a umožňuje tyto informace v rámci podniku předávat.“
Půlpán tím naráží na obvyklý problém, kdy firma sice pořídí třeba i velmi nákladná bezpečnostní řešení, ale už nemá nastavena pravidla (a často ani dostatečné znalosti či zkušenosti), jak s nimi pracovat. A pokud už tato pravidla existují, ale odpovědní zaměstnanci je nosí jen v hlavě, tedy bez příslušné dokumentace, nastává obrovský problém ve chvíli, kdy dojde k útoku či jiné krizové situaci a zaměstnanec není k dosažení nebo třeba už z firmy dávno odešel.
Bezpečnost jako služba nahradí chybějící specialisty
Je prakticky jisté, že v následujících měsících začnou svoji kybernetickou bezpečnost řešit tisíce firem, které zatím vyčkávaly, co přesně budou nová legislativa nebo jejich obchodní partneři vyžadovat. Stejně tak se objevuje stále více nabídek na „vyřešení NIS2“ prostřednictvím hardwaru či softwaru. Martin Půlpán z Českých Radiokomunikací ale odkazuje na zmíněné tři pilíře kyberbezpečnosti a upozorňuje, že: „Čistě technologické řešení nemůže zajistit soulad s požadavky nového zákona. Už proto, že budou požadována rovněž zmíněná procesní opatření, řízení rizik a také odpovídající dokumentace. A komě toho jsou v případě takzvaného režimu vyšších povinností vyžadovány také konkrétní personální role v rámci organizace.“
Martin Půlpán
Je technologický vizionář, zkušený manažer a kybernetický expert. V IT oblasti, se pohybuje téměř 30 let, v posledních 15 letech se věnoval zejména kybernetické bezpečnosti.
Prošel si zahraničními firmami, velkými korporacemi, investičním fondem i akvizicemi. Za České Radiokomunikace pomáhá firmám a organizacím s digitální transformací, udržitelným rozvojem s důrazem na kybernetickou bezpečnost a s inovativním přístupem v zavádění bezpečnostních řešení a služeb, které se přesně zaměřují na potřeby zákazníků a legislativních požadavků.
Zvýšená poptávka po řešení kybernetické bezpečnosti nutně „odsaje“ z trhu už dnes nedostatkové specialisty, kteří navíc dávají zpravidla přednost větším podnikům a korporacím, případně poskytovatelům služeb. A právě služby jsou jednou z cest, jak si mohou firmy svoji cestu ke splnění požadavků na kybernetické zabezpečení usnadnit. „Služby představují možnost, jak přenést starosti a částečně i odpovědnost na spolehlivého dodavatele. Za zvážení stojí například migrace do cloudu, kdy za nás poskytovatel vyřeší fyzickou bezpečnost, dostupnost, zálohování i mnoho dalších požadavků. Navíc lze dnes jako službu čerpat i komplexní bezpečnostní řešení,“ vysvětluje Půlpán.
Služby v oblasti kybernetické bezpečnosti dnes sahají od virtuálního manažera pro informační bezpečnost až po kompletní outsourcing zabezpečení v podobě napojení na bezpečnostní operační centrum, které zajišťuje nepřetržitý monitoring sítě a zařízení, detekci incidentů a reakci na ně. „Vzhledem ke složitosti a náročnosti oboru kybernetické bezpečnosti a kritickému nedostatku bezpečnostních specialistů je částečný nebo plný outsourcing stále žádanější. Je přitom důležité, aby si firma dokázala nejen správně spočítat náklady různých alternativ, ale také si zvolila spolehlivého partnera,“ doporučuje Půlpán.
Článek vznikl ve spolupráci s Českými Radiokomunikacemi.
Přidejte si Hospodářské noviny mezi své oblíbené tituly na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist