EU vyrazila do boje proti kyberpodvodům a využívá pro to i české firmy. Část z nich se však bojí přeregulovanosti a nedostatku expertů

Vlivem digitalizace a většího přechodu do online světa během covidu se značná část kriminality přesunula do virtuálního prostředí. Tento trend pak ještě zrychlil po vypuknutí války na Ukrajině, kdy se kromě běžných uživatelů internetu začaly stávat stále častěji terčem útoků – ze strany ruských anebo čínských hackerských subjektů – i soukromé firmy či státní úřady a instituce.

Jde přitom nejen o problém Česka, ale i celé Evropské unie. Ta si to uvědomuje, a i proto v poslední době přichází s řadou právních norem a iniciativ, jejichž cílem je společný unijní kyberprostor více zabezpečit. Významnou roli v tom hrají i tuzemské firmy.

Nová evropská pravidla

Nejaktuálnějším příkladem snahy EU je její směrnice NIS 2. Ta si klade za cíl výrazně posílit kybernetické zabezpečení firem v unii a také sjednotit jejich přístup k ní. Zatímco pod dřívější regulaci NIS z roku 2016 spadaly jen takzvaní provozovatelé základních a digitálních služeb – například velké banky, energetické či telekomunikační společnosti –, nyní přibudou i další a současně dojde k rozšíření povinností, které tyto firmy budou muset splňovat. V Česku nově půjde až o šest tisíc podniků a také veřejných subjektů, třeba ministerstev, státních úřadů, ale i vysokých škol či vědeckých institucí.

Implementaci směrnice do českého právního rámce má na starosti Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Ten je také hlavním autorem připravované novely zákona o kybernetické bezpečnosti, kterým NIS 2 bude transponována. „V tuto chvíli je v Poslanecké sněmovně v prvním čtení a jednotlivé odbory ji připomínkují,“ říká Anna Zádrapová, mluvčí úřadu. Není proto vyloučeno, že legislativní proces se stihne ještě do konce roku.

Kromě NIS 2 pak EU chystá i další iniciativy. Jsou jimi například nařízení DORA, které v oblasti kyberbezpečnosti stanovuje povinnosti primárně subjektům z finančního sektoru, a také CRA (Cyber Resilience Act), předepisující pravidla pro výrobce softwarových i hardwarových produktů. Ty budou muset splňovat určitou minimální úroveň kybernetického zabezpečení, kterou určí EU. Cílem je, aby zákazníci v unii měli jistotu, že se jim za jejich peníze nedostane do ruky nějakým způsobem nedostatečně zabezpečené zařízení.

„Z dlouhodobého hlediska je nutné, aby se státy centrálně podílely na ochraně svých páteřních institucí a nejzranitelnějších míst, které samy nemají dostatečné prostředky se bránit, například nemocnice, úřady, municipality a vzdělávací instituce. Jen díky tomu je možné zajistit doopravdy masovou adopci ochranných prostředků na nejvyšší úrovni,“ říká Robert Šefr, hlavní technický ředitel brněnské společnosti Whalebone.

České firmy v čele evropských projektů

Jde ale nejen o implementaci evropských regulací a směrnic, EU podporuje i další iniciativy, například projekt DNS4EU. Jeho cílem je vytvořit pro jednotný evropský prostor DNS resolver, jež poskytne ochrannou, soukromí respektující a odolnou DNS službu veřejným institucím, státním úřadům, zdravotnickým zařízením či firmám z kritické infrastruktury.

DNS je zkratkou anglického slovního spojení Domain Name System a představuje protokol zajišťující překlad názvů domén webových stránek z číselné podoby využívané stroji na takzvané doménové jméno – tedy název, který uživatel vidí v prohlížeči a jejž zadává při vstupu na stránku. Velmi zjednodušeně se jedná o stejný princip jako v mobilním telefonním seznamu, kde člověk nehledá přímo číslo, ale jména, která už k číslu dříve přiřadil.

Whalebone projekt vysoutěžil v rámci veřejné zakázky a nyní vede alianci několika firem a subjektů, které na DNS4EU spolupracují. Celkově se z evropských peněz na vývoj alokuje okolo 14 milionů eur, v přepočtu něco přes 353 milionů korun. Testovací verze již byla spuštěna a plný provoz se plánuje v dohledné době.

Že je Whalebone brněnskou firmou, není úplně náhodné, v Česku platí Jihomoravský kraj za jeden z klíčových hubů pro výzkum a vývoj kyberbezpečnosti. Své podnikání zde v minulosti zahájila společnost Gen, první brněnský jednorožec a dnes jedna z nejvýznamnějších firem zabývajících se kyberbezpečností a vývojem antivirů pro běžné uživatele i podniky na světě. Své výzkumné centrum má v Brně i další známý dodavatel antiviru Eset. Mezi další významné firmy z oboru patří třeba SolarWinds Czech, Flowmon nebo Jamf Software.

HN BeNative

České firmy jsou pod nepřetržitou palbou kyberútočníků. Rychle se množí útoky vedené s pomocí automatizovaných nástrojů

▪ 7 min. čtení

Kromě NÚKIB, který agendu zastřešuje na národní úrovni a má své sídlo také v Brně, v regionu firmy vzájemně již přes dvacet let propojuje agentura JIC, jejímž úkolem je dlouhodobě i podpora start-upů nejen v kyberbezpečnostním odvětví.

Nedostatek expertů je problém

V souvislosti s nástupem rozsáhlých požadavků ze strany EU ovšem Šefr z Whalebone vidí i možná negativa, například riziko přeregulovanosti. „Je potřeba najít rovnováhu mezi vymáháním kybernetické bezpečnosti a novými pravidly. Musí být nastaven bezpečnostní standard zajišťující ochranu firem i běžných lidí před kyberzločinem, který způsobuje čím dál větší finanční ztráty, jež mohou být pro jednotlivce i byznys zcela likvidační. Na druhou stranu přílišné nároky mohou způsobit, že budou naplněny jen naoko, aby se neřeklo. V menším měřítku se to děje i na úrovni firem, říká se tomu security fatigue (únava bezpečností – pozn. red.), kdy člověku bezpečnostní opatření tak moc komplikují život, že je začne vědomě ignorovat,“ říká.

Další výzvou je nedostatek kvalifikovaných pracovníků v oblasti kybernetického zabezpečení, což je dlouhodobý problém, který se ale s rostoucí evropskou regulací ještě zhoršuje. Největší problém v tomto směru existuje ve veřejné sféře, kde státní instituce často nedokážou zaplatit drahé specialisty. Problém to může být v souvislosti s požadavky vyplývajícími z NIS 2 zejména pro menší nemocnice a další zdravotnická zařízení.

„Tabulková ohodnocení IT specialistů ve státní správě často neodpovídají tržní realitě. To vede k tomu, že organizace nedokážou udržet kvalitní zaměstnance, což způsobuje fluktuaci a zvyšuje závislost na externích dodavatelích,“ říká Pavel Minařík, viceprezident technologií v Progress. Ani outsourcing není minimálně z pohledu výše nákladů úplně ideálním řešením, protože firmy specializující se na dodávky kyberzabezpečovacích řešení jsou pro tyto menší subjekty drahé.

V obecné rovině pak experti vnímají problém hlavně ve stále nedostatečné digitální gramotnosti uživatelů – právě selhání lidského faktoru stojí za kompromitováním osobních dat a finančních prostředků jak běžných lidí, tak firem. „Nízkou úroveň počítačové gramotnosti a nebezpečné chování v populaci vnímám jako zásadní problém. Na zlepšení těchto dovedností je třeba začít pracovat už od základních škol,“ dodává Minařík.

AI jako hrozba pro společnost

Útoky internetových útočníků, které lákají na podvodné investice či podvržené e-maily a SMS – při nichž kriminálníci sází primárně právě na nepozornost lidí –, stály klienty bank v posledních letech nízké jednotky miliard korun. U firem pak obdobné techniky – například skrze podvržené faktury – vedou nejčastěji ke ztrátě citlivých dat, třeba klientských, pro jejichž znovuzískání musí daný podnik zaplatit vysoké výkupné v řádech i jednotek milionů eur. V poslední době se stala terčem kyberútoku například česká firma MultiSport.

I v oblasti kybernetické bezpečnosti je velkým tématem nástup generativní umělé inteligence, která útočníkům pomáhá vylepšovat jejich nástroje, techniky a způsoby kriminální činnosti. Příkladem z praxe může být útok na slovenskou společnost GymBeam z loňského roku, kdy se podvodníci pomocí deepfake videa, jež vytvořilo virtuální kopii zakladatele firmy Dalibora Cicmana, snažili od zaměstnanců firmy vylákat finanční prostředky.

„S ohledem na deepfakes se určitě budeme muset zásadně zlepšit v práci se zdroji, ověřovat informace a nevěřit hned všemu, co vidíme, protože upravovat realitu pomocí AI je lákavé a do budoucna to bude snadné. Toto není problém jen Evropy, ale současné populace jako celku,“ říká Michal Salát, ředitel výzkumu hrozeb ve společnosti Gen.

Článek vznikl ve spolupráci s inovační agenturou JIC.