Přísnější regulace: Jedna investice do zabezpečení firmy nestačí

Přijetí zákona o kybernetické bezpečnosti, který vychází z evropské směrnice NIS2, nabírá zpoždění. Vládní legislativci ho před časem vrátili Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) k přepracování. S tím padá i původní plán, že by se nová pravidla začala vztahovat na firmy už koncem letošního roku. Přestože směrnice požaduje účinnost nového zákona nejpozději v říjnu, nastane to nejdříve začátkem příštího roku.

Advokát ze společnosti Sedlakova Legal Ondřej Hlušička ovšem nečeká, že by se s požadovanými úpravami výrazně měnila opatření, která budou muset firmy v souvislosti s novým zákonem povinně zavést. Nedává tedy smysl, aby s přípravami vyčkávaly, až bude nové znění paragrafů na světě. „Firmy popravdě spíše získávají čas navíc,“ řekl Hlušička v debatě týdeníku Ekonom.

Nová legislativa dopadne zhruba na sedm tisíc společností a mnohé z nich dosud kybernetickou bezpečnost systematicky neřešily. Generální ředitel společnosti axelum Filip Štolle upozorňuje, že nová pravidla si vyžádají posun způsobu myšlení: Je třeba vybudovat systém řízení informační bezpečnosti a možných rizik, zavést a popsat příslušné procesy a kontrolní mechanismy. „Pro spoustu firem je to úplně cizí řeč,“ říká Štolle. Z pohledu NIS2 jde však o základní požadavky, které pomohou firmám reagovat na bezpečnostní incidenty. Řada podniků nicméně stále nevidí v kybernetické bezpečnosti něco, co by jim přineslo přidanou hodnotu pro výrobu. Mění se to až ve chvíli, kdy se jim nebo jiné firmě z jejich oboru přihodí nějaký bezpečnostní incident.

Co dokáže AI ve špatných rukou

Vedle organizací, kde o nových pravidlech vůbec nevědí nebo je podceňují, se naopak objevují také firmy, které si pořizují systém řízení bezpečnosti informací, aniž by to přímo pro ně zákon vyžadoval. „Říkají si, že by se mohly stát významnými dodavateli pro některé společnosti, které pod zákon spadají, a proto si ho dobrovolně zavedly,“ říká vedoucí konzultant Next Generation Security Solutions Antonín Šefčík. Kontrola zabezpečení u dodavatelů je přitom jedním z klíčových požadavků chystaného zákona.

Konzultant pro síťovou bezpečnost ve společnosti Greycortex Ondřej Hubálek říká, že kybernetická bezpečnost sama o sobě není cílem, je to nikdy nekončící cesta. Je potřeba se jí věnovat průběžně, rozhodně nestačí si nainstalovat nějaký software a nechat ho být. To by byly vyhozené peníze. „Jednou z povinností je použití nástroje pro detekci a analýzu kybernetických bezpečnostních událostí. Jeho nasazení nemá smysl bez někoho, kdo tomu bude rozumět, bude posuzovat relevanci událostí a případně dokáže zjednat nápravu,“ říká Hubálek.

Odborníků na tuto oblast je však kritický nedostatek. Odhaduje se, že celosvětově chybí pět milionů kyberbezpečnostních analytiků, připomíná Hubálek. V tomto případě dává podle něj smysl tyto služby svěřit specializovaným firmám. „Mají více zákazníků, řeší větší množství incidentů, často po celém světě. A díky tomu dokážou lépe a rychleji reagovat,“ říká Hubálek.

Povaha hrozeb se v posledních letech příliš nemění. Štolle však za velké riziko do budoucna považuje umělou inteligenci, která bude „pracovat“ pro špatnou stranu. „Hacker nemusí být geniální, potřebuje být konzistentní a umělá inteligence mu to umožní. Ze špatného hackera udělá obstojného. Situace mezi útočníkem a obráncem je nevyvážená. Ve firmě musím chránit všechno, ale útočníkovi stačí najít jednu službu, která je v jednu chvíli zranitelná,“ říká Štolle. S chystanou evropskou regulací AI se nevyváženost toho vztahu paradoxně ještě zvýší.

Pro podniky proto bude důležité, aby neustále vyhodnocovaly možná rizika a neustále jim přizpůsobovaly svůj systém. Musí zachytit vývoj v technologiích i mimo ně. „Nikdo nepředpokládá, že firmy budou už na začátku mít všechno stoprocentní. NÚKIB se při kontrolách nezaměřuje na to, zda máte všechny dokumenty, ale že to máte nastavené jako proces. Budete‑li mít analýzu rizik, která je čtyři roky stará, nesplníte organizační opatření,“ upozorňuje Hlušička. Je to logické – těžko lze navrhnout úplně neprůstřelná opatření. Počítá se s tím, že dříve nebo později nějaký útočník bezpečnost prolomí. „Proto je polovina opatření detektivního charakteru,“ vysvětluje Štolle.

Příležitost, a nikoliv povinnost

V debatě, kterou lze sledovat ze záznamu na stránkách Ekonom.cz, zazněla celá řada doporučení, jak se na nová pravidla nejlépe připravit. Od informace, kde začít a podle čeho posoudit aktuální stav bezpečnosti ve firmě. Až po rady, na co si dát nejvíce pozor, jaká konkrétní opatření zavést, jaké sankce hrozí v případě prohřešků a s jakými náklady je třeba počítat. Jejich výše záleží na tom, co firmy v kybernetické bezpečnosti dosud udělaly, i na vyžadované úrovni bezpečnosti.

Těžko lze navrhnout úplně neprůstřelná opatření. Počítá se s tím, že dříve nebo později útočník bezpečnost prolomí.

„U velkých firem se toho moc nezmění, jsou připravené. Ty, kterých se to dotkne nově, ovšem nemohou počítat, že to zavedou za desítky tisíc korun,“ říká Štolle. V minimální variantě budou muset vyčlenit jednoho člověka, který věnuje plný úvazek výhradně bezpečnosti. Případně dalšího nejméně na rok, který pomůže sepsat bezpečnostní politiku a procedury. K tomu i partnera, aby pomohl s technickým řešením. Na stovky milionů či miliardy korun by se náklady mohly podle Šefčíka vyšplhat jen u největších společností, a to jen v případě, že by byly přinuceny vyměnit klíčového dodavatele technologie.

Z diskuse vyplynulo i jedno důležité poučení. Firmy by neměly vnímat nová pravidla jako povinnost, ale vzít je spíše jako příležitost, jak zlepšit vlastní zabezpečení. Není nic horšího, než když se výroba v podniku či navazující činnosti kvůli kybernetickému útoku na nějakou dobu přeruší. „Opatření rozhodně nejsou bezúčelná. Z deseti klientů, které jsem v poslední době navštívil, kybernetický útok zažili dva. Jejich počet se zvyšuje,“ říká Šefčík.

Partneři: