Kyberbezpečnost po česku: tři řádky v Excelu a liknavý přístup vedení

Kolikrát v uplynulém roce pozvala průměrná firma na poradu boardu security manažera? Podle mých mnohaletých zkušeností bych tipnul, že často ani jednou. Setkal jsem se i s podniky, kde se téma kyberbezpečnosti neobjevilo v zápisech z porad vedení nikdy za celých posledních deset let.

Kde se stala chyba? Proč v zájmu o kyberbezpečnost pokulháváme nejen za západní Evropou, ale dokonce i za Rumunskem? A jak tohle všechno změní schválená přísnější kyberbezpečnostní směrnice NIS 2?

Tím zásadním problémem je lhostejnost, a to jak samotných expertů, tak i managementu firem. Nejednou jsem slyšel od techniků, kteří pracovali v organizacích patřících do kritické infrastruktury státu: „Děláme to tak třicet let a nikdy se nic nestalo“. Je ale rozumné se zabezpečením proti novým hrozbám čekat, až nějaký útočník uspěje, jako v květnu u Ředitelství silnic a dálnic?

Složité rozhodování

Od devadesátých let násobně přibylo hackerských útoků, jsou promyšlenější a zákeřnější. Vedení firem se však obvykle domnívá, že stačí mít techniky, firewally a penetrační testy a kyberbezpečnost je vyřešená. Vědí ale technici nebo etičtí hackeři co a proti čemu má podnik vlastně chránit?

Dám zjednodušený příklad: firma vyvíjí nový web, například e-shop, a má na jeho bezpečnost rozpočet milion korun. Má dát 500 tisíc do bezpečnosti webu a 500 tisíc do ochrany dat? Nebo je třeba víc zohlednit, že když spadne web, tak se naštve pár zákazníků, ale pokud uniknou data, může mít firma na krku milionové pokuty a pošramocenou pověst?

V tom případě by se mělo dát více prostředků do ochrany dat. Stačí ale 800 tisíc? Není potřeba milion a půl?

Než začnou nakupovat technologie, organizace si musí zpracovat pečlivou analýzu rizik, což je jedna z největších slabin řízení informační a kybernetické bezpečnosti v Česku. Vážnost situace ilustruje tento případ: NÚKIB před časem oznámil nadcházející audit u jedné z organizací z kritické infrastruktury. A daná organizace teprve potom spěšně sesmolila „analýzu“ rizik do tří řádků Excelu.

Revoluce jménem NIS 2

Doba ignorace či podceňování kyberbezpečnosti ale brzy skončí. V závěru českého předsednictví totiž EU schválila novou přísnější kyberbezpečnostní směrnici NIS 2, která začne platit už příští rok.

NIS 2 je bez nadsázky revoluční. Ukládá povinnosti nejen firmám z „VIP klubu“ kritické infrastruktury, ale všem podnikům, které mají obrat nad 10 milionů euro a nad 50 zaměstnanců. Zvýšené nároky klade i na státní správu. NIS 2 dopadne přímo na přibližně 17krát větší počet organizací, než které regulovala dosavadní směrnice NIS 1.

EU přitvrdila i v oblasti sankcí. Podobně jako GDPR hovoří i NIS 2 o odpovědnosti vedení, takže budoucí kiksy už nepůjde hodit jen na bezpečnostního manažera. Za porušení NIS 2 si může firma vykoledovat pokutu až 10 milionů eur (bezmála 239 milionů Kč).

Nová směrnice navíc očekává, že si podniky pohlídají náležitou úroveň kyberbezpečnosti i u svých dodavatelů. Mohou u nich kvůli tomu dokonce provádět audit. Doufejme tedy, že NIS 2 otevře top manažerům oči a kyberbezpečnost už nebude baby, co sedí v koutě a čeká na svou pozvánku do boardu.

Pokud vám ještě nyní vstávají vlasy na hlavě, když si vzpomenete, jak rychle se vaše společnost musela přizpůsobovat GDPR, pak se na NIS 2 začněte připravovat už teď. Osvícené firmy už analyzují, zda se nová regulace vztahuje i na ně a vypracovávají gap analýzy toho, jak kyberbezpečnost (ne)plní a co musí dohnat.

Bude to stát hodně peněz a času. Ale vyplatí se to. Tak nám všem držím palce.

Kam dál? Podnikavé Česko na Finmagu:

• Kamil Vacek zblízka. Místo mobilů budou čipy v mozku, říká prodejce telefonů
• Jak zvýšit ziskovost firmy? Průzkum ukázal na klíčové technologie dneška
• Žádný technologický smažák. Tvoříme stroje s osobností, říká český startup
• Airbnb či Booking sypou víc. Provozovat pracovní útočiště není pro každého
• Datovou schránku dostanou OSVČ i spolky. Aktivuje se automaticky