Kybernetických útoků na firmy i veřejné instituce přibývá. Letos v březnu bylo jen těch nahlášených 28, tedy takřka jeden denně. V besedě týdeníku Ekonom odborníci na kybernetickou bezpečnost debatovali o možnostech, jak ochranu před hackery co nejrychleji a nejsnadněji zvýšit, jak dosáhnout toho, aby digitální systémy byly odolné, a na co by si všemožné organizace měly dávat pozor. Zavládla shoda v tom, že mnohde se nebezpečí plynoucí z ataků na počítačové sítě stále ještě podceňuje.
Na řadu přišlo i téma přípravy na příchod přísnější regulační legislativy, tedy evropské směrnice NIS 2 a s ní spojeného nového domácího zákona o kybernetické bezpečnosti.
Debata Ekonomu
Debaty Ekonomu o kyberbezpečnosti se zúčastnili (zleva) Adam Škarka z advokátní kanceláře Sedlakova Legal, Aleš Hok, obchodní ředitel společnosti Zebra Systems, Petr Mojžíš, bezpečnostní konzultant společnosti Anect, Vladěna Sasková z Národního úřadu pro kybernetickou a informační bezpečnost a zástupce šéfredaktora týdeníku Ekonom Martin Petříček.
Útoky z poslední doby většinou míří na dostupnost webových stránek obětí. Podle Vladěny Saskové z oddělení regulace soukromého sektoru Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) jde o odraz častějšího používání elektronických prostředků a informačních systémů. Konstatovala, že útoků bude víc, než kolik jich je evidováno, protože zdaleka ne všechny incidenty napadení nahlásí.
Pokračuje trend, že útočníci si počínají stále sofistikovaněji. Podle obchodního ředitele společnosti Zebra Systems Aleše Hoka přitom data ze světa ukazují, že někde už akce záškodníků nejsou zdaleka tak lukrativní jako dřív. Ochota firem vyděračům platit klesá.
Útoky bez zábran
V Česku zatím agresivita stále roste. „Problémem jsou právě sofistikované útoky zkušených hackerů bez jakýchkoliv morálních zábran. Bodnou, ať jde o nemocnici, nebo dodavatele elektronických řešení, to je jim jedno,“ dodal Adam Škarka z advokátní kanceláře Sedlakova Legal.
Zaměstnanec musí vědět, že je součástí týmu a že ho může poškodit. Trestat za porušení kyberbezpečnosti je ale špatné.
Petr Mojžíš, bezpečnostní konzultant ze společnosti Anect, za tím víc než samotnou aktivitu útočníků vidí nedostatečnou ochranu proti nim. To, že mnohé organizace podceňují riziko, podle Saskové platí hlavně pro ty, které nejsou zaměřeny na zisk. „Viděli jsme to například na počátku covidu – stačilo pár útoků, ani ne cílených, a nemocnice lehly a nebyly schopné poskytovat základní péči,“ připomněla tři roky staré události.
Od té doby se ve zdravotnictví alespoň zlepšila informovanost o možných hrozbách. Například zaměstnanci postižené benešovské nemocnice zodpovědní za IT nyní šíří osvětu a prevenci. Podle Aleše Hoka jsou právě nemocnice zajímavým cílem, protože pracují se zdravotnickými daty a ta jsou na černém trhu nejcennějšími aktivy: „Jsou násobně dražší než například informace o kreditních kartách.“ Bude to platit i dál, protože zdravotnictví se začíná digitalizovat a bez předávání rozsáhlých dat o pacientech se neobejde.
Také běžné firmy potřebují s identifikací hrozícího nebezpečí pomoci. „Vzdělávání a odbornost, ať už se bavíme o specialistech na kybernetickou bezpečnost, nebo o lidech ze standardních IT oddělení, jsou nedostatečné,“ potvrdil Mojžíš.
Účastníci debaty týdeníku Ekonom se shodli, že obranu proti kybernetickým útokům komplikuje dosavadní praxe tajit, že se podnik stal jejich obětí. Ve zveřejnění vidí vedení firem reputační riziko. Tendence zametat vše pod koberec brání bezpečnostní komunitě se s kybernetickými útoky vypořádat, přidal Mojžíš.
Sdílení informací je podle něj důležité, protože i útočníci spolupracují. Pro kybernetický útok dnes už ani není nutné umět programovat. Potřebný malware lze koupit, stejně jako technickou infrastrukturu nebo návod, jak útok provést. Shoda panuje i v tom, že jednou z cest, jak se účinně bránit, bude síť propojených center, která budou sdílet kapacity a potřebné zkušenosti. NÚKIB také plánuje jednotný informační systém, jehož prostřednictvím se mají incidenty hlásit.
Tak jako mezi nemocnicemi ani ve firemním prostředí se lepší ochrana neobejde bez další osvěty a kvalitního školení pracovníků. „Každý zaměstnanec musí vědět, že je součástí týmu a že jej může ohrozit,“ připomněl Hok. Podle Saskové je přitom důležité netrestat zaměstnance, kteří se nechají od hackerů napálit (například prozradí domnělému kolegovi po telefonu utajované heslo a podobně). Jiní by se svá pochybení tohoto druhu snažili spíš ututlat, přičemž podstatné naopak je, aby se informace o nich dostaly ke kompetentním osobám.
Zákon pro nepřipravené
Všichni se v době rizika hackerských útoků musí připravit také na další vlnu kyberbezpečnostní regulace, kterou od příštího roku přinese evropská směrnice NIS 2. Česko na ni naváže příslušným zákonem.
Přísná pravidla se už nebudou týkat jen asi 400, ale nejméně šesti tisíc domácích institucí. Neoficiální odhady na základě slovenských zkušeností hovoří dokonce o dvojnásobku. Dotknou se nejen energetiky, dopravy a zdravotnictví, ale i poštovních a doručovacích služeb, výzkumu a vývoje, výrobců motorových vozidel a zdravotnických zařízení.
Splnit nové požadavky budou muset i místa náhodného setkávání lidí, jako jsou benzinové pumpy. „Je potřeba nastavit, jak má fungovat zabezpečení informačních systémů, které jsou důležité pro společnost, ekonomiku státu i pro stát obecně,“ zdůraznila Sasková z NÚKIB, který se na sepsání zákona podílel. Hok ze Zebra Systems připomněl, že v připravenosti na nová pravidla je patrný rozdíl mezi veřejným a soukromým sektorem. „Stát je špatný manažer, komerční sféra je rychlejší, flexibilnější a ochotná využívat externí pomoc,“ řekl. Advokát Škarka z kanceláře Sedlakova Legal tento rozdíl přičítá i problémům s odměnami IT specialistů ve státních službách.
Podle Mojžíše ze společnosti Anect ani firmy na požadavky nové legislativy moc připravené nejsou, což je alarmující, protože zavádění potřebných opatření v průměru trvá dva roky. Požadovaná kybernetická odolnost přitom podle něj není ani tak věcí používaných technologií, jako spíš lidí. „Hlavně musíme mít odborníky, kteří jsou ve střehu a umí reagovat,“ řekl v besedě Ekonomu.