Kyberbezpečnost po česku: tři řádky v Excelu a liknavý přístup vedení

Kolikrát v uplynulém roce pozvala průměrná firma na poradu boardu security manažera? Podle mých mnohaletých zkušeností bych tipnul, že často ani jednou. Setkal jsem se i s podniky, kde se téma kyberbezpečnosti neobjevilo v zápisech z porad vedení nikdy za celých posledních deset let.

Kde se stala chyba? Proč v zájmu o kyberbezpečnost pokulháváme nejen za západní Evropou, ale dokonce i za Rumunskem? A jak tohle všechno změní schválená přísnější kyberbezpečnostní směrnice NIS 2?

Tím zásadním problémem je lhostejnost, a to jak samotných expertů, tak i managementu firem. Nejednou jsem slyšel od techniků, kteří pracovali v organizacích patřících do kritické infrastruktury státu: „Děláme to tak třicet let a nikdy se nic nestalo“. Je ale rozumné se zabezpečením proti novým hrozbám čekat, až nějaký útočník uspěje, jako v květnu u Ředitelství silnic a dálnic?

Složité rozhodování

Od devadesátých let násobně přibylo hackerských útoků, jsou promyšlenější a zákeřnější. Vedení firem se však obvykle domnívá, že stačí mít techniky, firewally a penetrační testy a kyberbezpečnost je vyřešená. Vědí ale technici nebo etičtí hackeři co a proti čemu má podnik vlastně chránit?

AEC

Lžou, kradou a podvádějí. A vy jim za to ještě zaplatíte

Kdejaká firma má pocit, že zabezpečení svých dat i sítí má už dávno vyřešené. Antivir v počítačích přece už všichni mají, firewall funguje, a na školení také všichni byli... Že tomu tak ovšem není, ukazují takzvané red teamingové testy. Až při nich se ukážou ty pravé díry v systému.

Dám zjednodušený příklad: firma vyvíjí nový web, například e-shop, a má na jeho bezpečnost rozpočet milion korun. Má dát 500 tisíc do bezpečnosti webu a 500 tisíc do ochrany dat? Nebo je třeba víc zohlednit, že když spadne web, tak se naštve pár zákazníků, ale pokud uniknou data, může mít firma na krku milionové pokuty a pošramocenou pověst?

V tom případě by se mělo dát více prostředků do ochrany dat. Stačí ale 800 tisíc? Není potřeba milion a půl?

Než začnou nakupovat technologie, organizace si musí zpracovat pečlivou analýzu rizik, což je jedna z největších slabin řízení informační a kybernetické bezpečnosti v Česku. Vážnost situace ilustruje tento případ: NÚKIB před časem oznámil nadcházející audit u jedné z organizací z kritické infrastruktury. A daná organizace teprve potom spěšně sesmolila „analýzu“ rizik do tří řádků Excelu.

Revoluce jménem NIS 2

Doba ignorace či podceňování kyberbezpečnosti ale brzy skončí. V závěru českého předsednictví totiž EU schválila novou přísnější kyberbezpečnostní směrnici NIS 2, která začne platit už příští rok.

NIS 2 je bez nadsázky revoluční. Ukládá povinnosti nejen firmám z „VIP klubu“ kritické infrastruktury, ale všem podnikům, které mají obrat nad 10 milionů euro a nad 50 zaměstnanců. Zvýšené nároky klade i na státní správu. NIS 2 dopadne přímo na přibližně 17krát větší počet organizací, než které regulovala dosavadní směrnice NIS 1.

Věděli jste, že...?

Shutterstock

Podle expertů společnosti AEC, která se oblastí kybernetické bezpečnosti zabývá, patřily ještě nedávno k nejčastějším hrozbám v kyberprostoru náhodné útoky. V současnosti však výrazně přibývá těch cílených, které jsou mnohem sofistikovanější. Trendem je kombinace nejrůznějších typů agresivních útoků stále diferencovanějších zločineckých skupin, které samy fungují jako firmy: mají své dodavatele i zákazníky. Útočníci, kteří dnes mají k dispozici špičkové technologie včetně umělé inteligence, zároveň zdokonalují metody, jak dostat svoje oběti pod co největší tlak.

EU přitvrdila i v oblasti sankcí. Podobně jako GDPR hovoří i NIS 2 o odpovědnosti vedení, takže budoucí kiksy už nepůjde hodit jen na bezpečnostního manažera. Za porušení NIS 2 si může firma vykoledovat pokutu až 10 milionů eur (bezmála 239 milionů Kč).

Nová směrnice navíc očekává, že si podniky pohlídají náležitou úroveň kyberbezpečnosti i u svých dodavatelů. Mohou u nich kvůli tomu dokonce provádět audit. Doufejme tedy, že NIS 2 otevře top manažerům oči a kyberbezpečnost už nebude baby, co sedí v koutě a čeká na svou pozvánku do boardu.

Pokud vám ještě nyní vstávají vlasy na hlavě, když si vzpomenete, jak rychle se vaše společnost musela přizpůsobovat GDPR, pak se na NIS 2 začněte připravovat už teď. Osvícené firmy už analyzují, zda se nová regulace vztahuje i na ně a vypracovávají gap analýzy toho, jak kyberbezpečnost (ne)plní a co musí dohnat.

Bude to stát hodně peněz a času. Ale vyplatí se to. Tak nám všem držím palce.

Finmag.cz

Kam dál? Podnikavé Česko na Finmagu:

• Kamil Vacek zblízka. Místo mobilů budou čipy v mozku, říká prodejce telefonů
• Jak zvýšit ziskovost firmy? Průzkum ukázal na klíčové technologie dneška
• Žádný technologický smažák. Tvoříme stroje s osobností, říká český startup
• Airbnb či Booking sypou víc. Provozovat pracovní útočiště není pro každého
• Datovou schránku dostanou OSVČ i spolky. Aktivuje se automaticky

Jak jde dohromady byznys a medicína? Dočtete se v novém Finmagu

Je medicína byznys? Jak pro koho. „Frustraci mladých lékařů chápu. Nemají ani na chůvu, aby jim pohlídala děti, když pracují,“ říká přednosta chirurgické kliniky Robert Lischke.

Zdroj: Finmag

MEDICÍNA A BYZNYS

Jak venkovští praktici nepřicházejí o iluze • Ženy mění medicínu • Nejstarší pražská nemocnice objektivem Alžběty Jungrové • Nejdražší léky na světě • Obézních přibývá, Česko dohání USA.

BYZNYS JE HRA

„Investice do umění se do tabulek nevtěsná,“ říká Pavlína Pudil z Kunsthalle • Nejdražší materiál roku 2023? Hrst štěrku z vesmíru za miliardu dolarů • Ekologie musí být podle Tomáš Nemravy, výrobce dřevěných domů, ekonomická.

Koupit Finmag