Letos v srpnu ochromil kybernetický útok – zašifrování dat v síti – fungování hlavních agend úřadu jedné městské části hlavního města. Nefungovaly počítače, systémy, neprobíhala žádná komunikace elektronickou cestou a úřad se načas musel vrátit k papírové agendě.
Takovéto narušení bezpečnosti neznamená ovšem „jen“ dočasnou nespokojenost občanů a prodloužení lhůt třeba při vydání občanských průkazů. Obvykle musí být i kompletně přeinstalováno softwarové vybavení a obnovení provozu znamená často nemalé finanční náklady.
Právě takové incidenty jsou dnes častější, než si mnohé firmy chtějí připustit. A příčinou proniknutí hackerů není často přímý útok, ale série opomenutí, která vyústí v kritickou zranitelnost.
Například neproškolený zaměstnanec otevře přílohu podvrženého e-mailu a dojde k napadení systému. Pokud navíc chybí krizový plán, zálohování není aktuální a správce systému zpanikaří, je problém na světě. Přitom ve většině případů jde takovým napadením předejít, nebo jejich úspěšnost značně eliminovat.
„Kybernetické hrozby se dnes týkají všech. Bez ohledu na velikost firmy nebo její zaměření. Firmy si často myslí, že když nejsou bankou, nemocnicí nebo zbrojovkou, nejsou zajímavým cílem. Jenže opak je pravdou. Útočníky dnes tolik nezajímá, kdo jste, ale hledají slabá místa – a najdou je tam, kde bezpečnost není řízena jako integrální součást byznysu,“ říká Radim Trávníček, ředitel a spolumajitel společnosti BeSecured.
Zákon jako příležitost
Nový zákon o kybernetické bezpečnosti, který do českého práva zavádí evropskou směrnici NIS2 a který je od 1. 11. 2025 účinný, by měl přinést zásadní změnu a posun v přístupu k zajištění a řízení kyberbezpečnosti ve firmách.
Týká se nejen největších hráčů na trhu, ale tisíců středních i menších firem, které doposud nemusely žádná bezpečnostní opatření systematicky řešit. Důvodem může být typ byznysu, který spadá do regulovaných kategorií, nebo velikosti podniku. Spadají pod něj i firmy, které těmto regulovaným společnostem dodávají. A s novým zákonem a příslušnými vyhláškami přichází samozřejmě obavy, jak zákonu správně vyhovět, a občas také pokusy, jak jej obejít.
„Firmy se často bojí složitosti. Zákon ale nemá být strašákem. Spíš impulzem k systematickému přístupu k ochraně firmy. Nemusíte hned nakoupit drahá technologická řešení. Jde o změnu přístupu, o procesy, odpovědnosti, prevenci,“ vysvětluje Trávníček. „A tento přístup by se neměl týkat jen společností, které pod zákon spadají. Měl by být vlastní všem firmám, které chtějí chránit svůj byznys. Opatření neděláte pro regulátora, ale sami pro sebe,“ zdůrazňuje.
Podle něj nestačí papírově naplnit požadavky zákona. Smyslem regulace je, aby firmy fungovaly i za krizových podmínek, aby ochránily data svých klientů a byly schopné se rychle zotavit z útoku. Nyní je tedy pro všechny podniky prvořadé zjistit, zda pod zákon takzvaně spadají, nebo ne.
Postup i další náležitosti a detaily jsou podrobně popsány na portálu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Pokud firma zjistí, že některá z jejích aktivit spadá do regulovaných služeb nebo odpovídá svou velikostí, musí se na portálu do 60 dnů od účinnosti zákona, tedy do 30. prosince, zaregistrovat. Poté do 30 dnů nahlásit kontaktní osobu. Pak firma vyčká na potvrzení registrace NÚKIB a následně má 12 měsíců na zavedení příslušných opatření stanovených zákonem.
Kromě těchto povinností má firma ještě jednu – hlásit všechny incidenty, které by mohly mít vliv na regulovanou službu, a také opatření, která v tomto ohledu realizovala. Všechny tyto kroky mají vést k lepší ochraně firem před kybernetickými útoky. Měly by být inspirací i pro ty podniky a společnosti, které pod zákon nespadají.
„Chápeme, že se mnoha firmám může tento postup zdát složitý, nebo dokonce zbytečný. My si naopak myslíme, že vůbec nejde o to, jestli jste povinný subjekt. Každá firma má co ztratit – data, know-how, peníze, reputaci. A každý by měl vědět, jak je chránit,“ říká Trávníček.
Odbornost a empatie v praxi
A právě nejen s tím, jak postupovat při implementaci požadavků a povinností vyplývajících z nového kybernetického zákona, ale zejména s budováním dostatečné kybernetické bezpečnosti umí firma BeSecured klientům pomoct. To bez ohledu na velikost.
„Máme dlouhou praxi a zkušenosti a mluvíme jazykem byznysu, ne jen IT zkratek. Umíme vysvětlit, co je důležité, proč a kolik to bude stát. Dokážeme firmám zhodnotit jejich stávají stav, tedy provést vstupní audit, penetrační testy a testy zranitelnosti. Uděláme phishingové testy, tedy ověříme obezřetnost zaměstnanců. Umíme udělat audit bezpečnosti IT infrastruktury. Po této vstupní analýze připravíme doporučení, jak budovat bezpečnost v organizaci a také jaká pořídit optimální řešení v rozumné, tedy nepřemrštěné nebo naopak neúměrně nízké ceně,“ vysvětluje Trávníček s tím, že přímé řešení implementují, případně se zavedením pomohou.
„Všechny tyto služby dokážeme outsourcovat, poskytneme klientovi odpovídající odborníky na potřebnou dobu a budujeme systém ve spolupráci s klientem nebo dodáme přímo na klíč. Následně obvykle zůstáváme u klienta v roli mentora, či jak se říká přítele na telefonu,“ popisuje možnosti Trávníček.
Kromě toho považuje za velmi důležitý pilíř pomoct klientům se vzděláváním a školením jejich zaměstnanců, a to jak ve smyslu obecné obezřetnosti a bezpečného chování, tak školení specialistů a odborníků, bezpečnostních manažerů, architektů a řízení rizik. Na tento pilíř se chce firma výrazněji zaměřit i v příštím roce.
Řízení rizik je jako motor v autě
Řzení rizik považuje Trávníček za naprosto klíčové. Za jádro či srdce bezpečnosti. „Je to jako motor auta. Bez něho nepojede. Můžete ho ručně tlačit, ale daleko nedojedete. A stejně je to s bezpečností. Pokud provedu správně a důsledně analýzu rizik ve své firmě, v tom byznysu, který ji živí, dobře výsledky vyhodnotím a navrhnu relevantní opatření, mohu své podnikání významně ochránit,“ je přesvědčený Trávníček.
„Nelze pochopitelně stoprocentně zabránit všem napadením, ale je možné výrazně minimalizovat možnost jejich vzniku a následný dopad. Zásadní je tedy analýza a prevence,“ zdůrazňuje Trávníček.
K základním preventivním opatřením bezesporu patří správná a důsledná politika přístupových práv, tedy nastavení pouze nezbytného přístupu k systémům a datům. Dalším důležitým krokem je pak sestavení politiky práce se zařízeními, tedy pravidla pro používání firemních a v dnešní době tolik rozšířené používání soukromých zařízení pro pracovní účely.
Zásadní je i zálohování, jelikož umožňuje obnovit fungování systémů, potažmo procesů a mnohdy celé organizace po úspěšném kybernetickém útoku. Nejlepší praxí je stále zálohování minimálně metodou ”3-2-1”, tedy tři kopie dat uložené na dvou různých typech médií. Jedna záloha by pak měla být off-site, tedy mimo lokalitu, kde pracovní činnosti vykonáváme. V neposlední řadě by měly být zálohy bez chyb, tedy pravidelně kontrolované a dostatečně často obnovované.
A pokud již k narušení bezpečnosti dojde, je pro organizaci klíčová schopnost reakce na takové situace a havarijní připravenost, tedy mechanismy, jak se co nejrychleji vrátit do provozuschopného stavu.
„Měly by k tomu sloužit podrobně vypracované a pravidelně aktualizované takzvané playbooky s přesnými postupy, kdo má kdy co dělat a kdo má jakou zodpovědnost. A tyto postupy by se měly pravidelně testovat, protože v době klidu všichni všechno vědí a umí, ale v okamžiku krize, při skutečném napadení a selhávání systému, zapomenou i to, jak se jmenují,“ varuje před liknavostí a přílišným sebevědomím Trávníček.
I proto považuje za velmi důležité pravidelné školení zaměstnanců a odpovědných pracovníků a ověřování jejich povědomí o možných hrozbách.
Nikdy není hotovo
Mohlo by se zdát, že splněním povinností daných zákonem pro ty, kterých se regulace týká, či provedením auditu a zavedením doporučených opatření, má firma hotovo a kybernetickou bezpečnost vyřešenu.
„Bohužel tomu tak není. Kybernetická bezpečnost není jednorázová aktivita. Hrozby se stále vyvíjejí a firmy musí být ve střehu a snažit se nejen reagovat, ale nebezpečím předcházet. Důležitá je prevence, povědomí a připravenost řešení,“ reaguje Trávníček na mylnou domněnku.
Pro ty, kteří se chtějí v oboru kybernetické bezpečnosti pohybovat s jistotou, vydal Radim Trávníček knihu, průvodce a rádce touto oblastí: Umění války pro bezpečnostní manažery. Knihu je možné objednat na webu společnosti.
Bezpečnost provozu, vlastních dat, ale i dat zákazníků je dnes nejen obranou před riziky, ale i konkurenční výhodou. Doložení důkazu o vysoké úrovni kyberbezpečnosti organizace může výrazně zvýšit její důvěryhodnost a přispět k úspěšnému uzavření obchodu.
Text vznikl ve spolupráci se společností BeSecured.
Přidejte si Hospodářské noviny
mezi své oblíbené tituly
na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist
