Nákup černých skříněk kyberbezpečnost nevyřeší, říká Lucie Jahnová ze společnosti Seyfor

V kyberbezpečnosti se budou muset proškolit i vrcholoví manažeři firem, kteří za provedení opatření podle evropské směrnice o kybernetické bezpečnosti NIS2 ponesou osobní zodpovědnost, říká Lucie Jahnová, ředitelka týmu architektů a konzultantů divize Cloud and Security Competence Center společnosti Seyfor, která patří k největším evropským hráčům v oblasti podnikového ICT. Pro firmy, které zatím kybernetickou bezpečnost systematicky neřešily, bude nových povinností opravdu hodně a bez pomoci zvenčí se pravděpodobně neobejdou, dodává manažerka, která se v Seyforu věnuje komplexním řešením v oblasti bezpečnosti, včetně nových trendů, jako je umělá inteligence.

Do komerční sféry jste přišla po mnoha letech práce pro státní správu. Můžete posoudit stav kyberbezpečnosti státních institucí oproti soukromým firmám?

Situace se určitě liší podle konkrétních sektorů. Například ministerstvo vnitra a jemu podřízené organizace investují do kyberbezpečnosti intenzivně a dlouhodobě. Pak jsou zde ale obory jako školství nebo například zdravotnictví, které sice mohou v rámci Národního plánu obnovy získat finance z rozpočtu EU, ale potýkají se s náročnými procesy veřejných zakázek na projekty v ICT. Implementace nových řešení se pak často protahují a prodražují. Současně je státní správa limitována dostupností odborníků na kyberbezpečnost, kterým může nabídnout jen výrazně horší finanční podmínky než soukromý sektor. I díky regulacím, které některá kyberbezpečnostní opatření přímo vyžadují, se ale úroveň kyberbezpečnosti ve státní správě rozhodně zlepšuje.

Když hovoříte o regulaci, nebude s novým zákonem o kybernetické bezpečnosti, který vychází z evropské směrnice NIS2, stát přísnější na komerční firmy víc než sám na sebe?

Domnívám se, že to tak nebude, protože NIS2 se týká i institucí veřejné správy, jako jsou například obce s rozšířenou působností, stejně jako třeba státem provozovaných vysokých škol a nemocnic. Nový zákon zkrátka nerozlišuje zřizovatele nebo provozovatele povinných organizací, ale řeší jen jejich význam a potenciální rizika. Úplně jinou otázkou je ale kontrola dodržování nových povinností, protože ty se budou týkat tisíců organizací a poskytovatelů regulovaných služeb. Proto si nedovedu představit, jak bude NÚKIB všechny efektivním způsobem kontrolovat a také jak si poradí se zpracováním povinných hlášení incidentů.

Existují nějaké odhady, kolik incidentů budou povinné subjekty hlásit?

Zatím o žádných nevím, už proto, že zákon ani prováděcí vyhláška přesně nespecifikují, jak odlišit kyberbezpečnostní událost od incidentu, který bude nutné NÚKIB hlásit. Navíc událost může celkem snadno vygradovat v incident. Je tedy možné, že budou firmy hlásit téměř cokoli, aby se vyhnuly případnému postihu. Pro NÚKIB pak bude extrémně náročné takový příval informací efektivně zpracovat.

Je toto jediná nejasnost v novém zákoně, který aktuálně prochází čteními ve sněmovně?

Neřekla bych, že jde o nejasnosti, ale spíše o sporné body. NÚKIB se sice letos na jaře dobře vypořádal s připomínkami Legislativní rady vlády, ale během schvalování zákona ve sněmovně přibyla řada dalších. K nejzásadnějším patří například zařazení velkých výrobních podniků, které produkují i vlastní elektřinu a přebytky dodávají do sítě nebo třeba provozují vlastní vodovod či kanalizaci, mezi subjekty v režimu vyšších povinností. To způsobilo jejich značné, a myslím že i oprávněné, rozčarování.

Radila byste tedy firmám s investicemi do kyberbezpečnosti vyčkat na finální znění zákona?

Určitě ne – je to jen zbytečné odsouvání nevyhnutelného. Svoji kybernetickou bezpečnost musí systematicky řešit každý podnik, bez ohledu na to, jestli to nařizuje nějaký zákon. Po schválení zákona sice budou mít povinné subjekty ještě rok na implementaci potřebných opatření, ale je nutné si uvědomit, jak nevypočitatelným faktorem jsou i sami zaměstnanci.

V jakém smyslu?

Především v tom, jak se postaví k restrikcím, které s sebou kyberbezpečnostní opatření nutně přinášejí. Často se po zavedení opatření spojených se zvýšením úrovně kybernetické bezpečnosti dozvíme, že zaměstnancům „brání v běžné práci“. Se zaměstnanci je nutné pracovat dlouhodobě a postupně je na nová pravidla připravovat. Pokud by se zavedla ze dne na den, lidé nepochopí jejich důležitost a nebudou je chtít dodržovat. Pak by je ani nebylo možné efektivně vymáhat. NIS2 se týká i zdravotnických organizací, humanitních oborů vysokého školství, orgánů veřejné správy nebo zmíněných výrobních podniků, kde běžní zaměstnanci zpravidla nemají potřebný technický základ a je nutné s nimi intenzivně pracovat.

Nový zákon ale vyžaduje povědomí o povinnostech v kybernetické bezpečnosti také od vrcholového vedení podniků. Jsou na to topmanažeři připraveni?

Pravda je, že pro vrcholové manažery zatím většinou nebyla kyberbezpečnost velké téma, protože odpovědnost byla přenášena do oddělení IT. Nově ale mají být za její zajištění ze své funkce osobně odpovědní právě topmanažeři. Navíc musí prokazatelně projít školením o povinnostech, které nový zákon o kybernetické bezpečnosti ukládá – a samozřejmě také dohlédnout na jejich splnění.

Jsou tato školení nějak standardizovaná?

Není stanovena forma ani obsah, ale to myslím není ten hlavní problém. Riziko vidím spíše v tom, že se i dnes běžná školení v kyberbezpečnosti nebo třeba testovací phishingové kampaně často netýkají vrcholového vedení firem. Přitom právě na topmanažery jsou kvůli jejich pravomocem vedeny vysoce sofistikované, a bohužel často úspěšné, útoky.

Je pro podniky, které zatím kyberbezpečnost systematicky neřeší, stále dost času nová opatření zavést?

Pro subjekty, které budou spadat do režimu nižších povinností, určitě ano, ale opravdu je nejvyšší čas začít. Hlavní problém nebude s dostupností potřebných technologií, ale především s kapacitami odborníků nezbytných pro zavedení těchto technologií. Pravděpodobně bude potřeba spolupracovat s poskytovateli služeb v kyberbezpečnosti, kteří ale také nemají neomezené kapacity. Proto je už teď nejvyšší čas na hledání vhodného partnera.

A subjekty v režimu vyšších povinností?

Když pomineme zmíněné výrobní podniky, u kterých ještě během dalších čtení zákona ve sněmovně nejspíše dojde ke zmírnění, tak se už zpravidla jedná o subjekty, pro které není kyberbezpečnost velkou novinkou. A pokud navíc splňují normu ISO 27001, mají velmi dobrý základ, který zpravidla stačí doplnit jen o opatření spojená s potenciální rizikovostí dodavatelů, kontrolou zranitelností nebo hlášením incidentů.

Čím by měly podniky přípravu na nový zákon o kybernetické bezpečnosti začít?

Úplně prvními kroky by měla být analýza současného stavu kyberbezpečnosti, inventura řešení a nástrojů, které už má firma k dispozici, vytvoření plánu zavádění potřebných opatření a rozpočtu souvisejících investic. Manažeři mají často představu, že pro splnění povinností bude stačit nakoupit nějaká nová bezpečnostní řešení, ale to je omyl. Je nutné také nastavit procesy, proškolit zaměstnance a především mít k dispozici odborníky, kteří budou kybernetickou bezpečnost podniku dlouhodobě spravovat. Bez nich budou nová řešení jen černé skříňky, se kterými nebude nikdo umět efektivně pracovat.

Článek vznikl ve spolupráci se společností Seyfor.