Jakým útokům české firmy a instituce nejčastěji čelí a v čem přesně spočívají?

Jde o několik typů útoků. Mezi ty časté patří tzv. DDoS útoky. V praxi jde o to, že dojde například k zahlcení erver společnosti extrémním množstvím požadavků, které web nemůže zvládnout, a proto spadne nebo má velké obtíže a pro návštěvníky zůstává nedostupný. Terčem bývají často i státní instituce a úřady. Mezi další velmi častý typ patří ransomware, kdy útočníci zašifrují data společnosti a požadují výkupné za jejich zpřístupnění. Tyto útoky se v poslední době zintenzivnily. Pak je tu phishing, kdy se útočníci tváří jako důvěryhodné subjekty a snaží se oběti přimět k vyzrazení přihlašovacích nebo osobních údajů nebo ke stažení škodlivého softwaru. Hlavním vektorem útoku dodnes zůstává e-mail. Phishing je hrozbou nejen pro firmy, ale i pro jednotlivce a při úspěšném útoku bývá skoro vždycky na vině lidská nepozornost nebo nedostatečné proškolení.

Na jaké úrovni jsou v kybernetické bezpečnosti české podniky?

V praxi vidím velké rozdíly. Určitě existují firmy, zejména z energetiky, telekomunikací nebo bankovního sektoru, které situaci nepodceňují, případně spadají pod existující zákon o kybernetické bezpečnosti a kybernetickou bezpečnost mají dobře zvládnutou. Pak je tu ale řada zejména středních a menších firem, které situaci podceňují, řeší nedostatečně anebo dokonce vůbec. A to může být opravdu problém, protože své podnikání vystavují velkému riziku.

Čím to, že jsou mezi podniky tak výrazné rozdíly?

Velká část těch, kteří patří do zmíněných strategických odvětví, kyberbezpečnost nepodceňují, protože už dnes spadají pod Zákon o kybernetické bezpečnosti. To spolu s velikostí těchto firem vede k tomu, že najímají nejlepší lidi na trhu a v oblasti se neustále zdokonalují. Střední a menší podniky takové finanční možnosti většinou nemají, což se na jejich situaci podepisuje. Z praxe ale vím, že zdaleka nejde jen o peníze, ty jsou v kyberbezpečnosti jen část mozaiky. Znám i případy firem, které sypou obrovské částky do technických řešení, jenž přitom ani nepotřebují.

Nemůže být důvodem i to, že na střední a menší firmy se tolik neútočí, tudíž se na kyberbezpečnost méně soustředí?

To možná platilo kdysi, ale dnes už ne. Přesto tento rozšířený mýtus, že menší podniky za to útočníkům nestojí, a proto se nemusí bát, dál přetrvává. Ve skutečnosti však útočníci k hledání slabých míst firem používají automatizaci a často pro ně střední nebo menší firmy představují snadnější a zranitelnější oběť. Netřeba dodávat, že některé z nich může rozsáhlý útok paralyzovat a způsobit dokonce až likvidační škody.

Kde mají firmy v kyberbezpečnosti největší mezery?

Ke kybernetickým opatřením doporučuji přistupovat systematicky, na základě analýzy reálných rizik a s ohledem na konkrétní firmu. Opravdu nelze srovnat všechny společnosti na stejnou úroveň, každá má jiné potřeby i odlišná slabá místa. Mezi ukázkové mezery patří například to, že v dané firmě neexistuje někdo, kdo by měl kyberbezpečnost na starosti. V rámci firmy je totiž potřeba mít jednu dedikovanou osobu, která bude mít téma pod sebou. Kyberbezpečnost je totiž záležitostí celé firmy, už dávno není jen téma pro IT oddělení. A tento člověk má spolu se svým týmem téma koordinovat, zastřešovat a propojovat napříč podnikem. Je však důležité dodat, že k tomu, aby to opravdu fungovalo i v praxi, potřebuje silnou podporu firmy, zaměstnanců i jejího vedení. Kdybych měl zmínit ještě další slabiny firem, tak by šlo o chybějící analýzu rizik, nedostatečný rozpočet nebo chybějící školení zaměstnanců a programy průběžného edukování lidí.

Co by firmy měly udělat jako první?

Ze všeho nejdříve by firma měla důkladně zanalyzovat svou pozici a relevantní rizika. Pak by měla sestavit seznam požadavků na eliminování těchto hrozeb a až potom se pustit do hledání vhodných nástrojů. Důležité pravidlo totiž zní –⁠⁠⁠⁠⁠⁠ nezačínáme nástrojem. Ve firmách však bohužel často vidím, že ne vždy se touto základní poučkou řídí.

V souvislosti s tímto tématem se často mluví o směrnici NIS2 a novele zákona o kybernetické bezpečnosti? Pro které firmy to bude platit?

Aktuálně se zákon vztahuje zejména na ty největší a strategicky nejdůležitější podniky, které jsou klíčové pro chod státu a fungování společnosti. To se nyní změní. Tuzemská novela zákona o kybernetické bezpečnosti, která vychází z evropské směrnice NIS2, totiž přinese několik novinek. Jedna z hlavních změn je ta, že dojde k významnému rozšíření množství subjektů, na které zákon dopadne. Zjednodušeně řečeno půjde o velké a střední firmy nad 50 zaměstnanců s určenou výší ročního obratu nebo bilanční sumy, které podnikají v určených sektorech ekonomiky. Podle odhadů NÚKIB se počet subjektů spadajících pod zákon zvýší z aktuálních zhruba čtyř stovek na více než 6 000, což je obrovské množství. A jsou mezi nimi podniky z celé řady sektorů, včetně potravinářství, poštovních služeb nebo například nakládání s odpady.

Kdy má tato novela začít platit v Česku?

V platnost by měla vejít už do října letošního roku. Velká část expertů, se kterými mluvím, však říká, že je to nerealistické a je více než pravděpodobné, že to bude o něco později. NÚKIB se dvěma předchozími návrhy novely tohoto zákona neuspěl u Legislativní rady vlády, aktuální třetí pokus už byl úspěšný a návrh pokračuje legislativním procesem. Spolu s kolegy situaci sledujeme a naše klienty o ní průběžně informujeme. Je však potřeba dodat, že i kdyby se proces přijetí novely zadrhnul na jakkoliv dlouho, tak je nevyhnutelné, že ji Česko bude muset přijmout a že zmíněná opatření na více než šest tisícovek podniků dříve nebo později dopadnou.

To tedy znamená, že novela může přijít už v nejbližší době. Jsou na její požadavky české firmy připravené?

Z mých dosavadních zkušeností jsem přesvědčen, že spíše nejsou a je to opravdu vážná věc. Analýza slabých stránek a implementace opatření totiž většině firem zabere jednotky měsíců, někdy jde dokonce o delší časové období. O nákladech ani nemluvě. Mnoho společností situaci podceňuje a existují dokonce i takové, které ani netuší, že na ně novela dopadne.

Co hrozí, když subjekty nesplní některé z podmínek?

NÚKIB bude mít pravomoc ukládat nápravná opatření, které firmy budou muset splnit do určité lhůty. Úřad ale ubezpečuje, že sankce budou až poslední možností. Pokud je však udělí, tak mohou být skutečně velmi vysoké. Pro poskytovatele tzv. regulované služby v režimu vyšších povinností zákona může jít až o 250 milionů korun nebo 2 % čistého celosvětového ročního obratu –⁠⁠⁠⁠⁠⁠ podle toho, která z těchto částek bude vyšší. Bavíme se ale stále o návrhu zákona, který neprošel legislativním procesem, takže finální verze může vypadat trochu jinak.

S čím firmám vy a váš tým z Deloitte nejčastěji pomáháte?

Českým podnikům hlavně se začátkem celého procesu, což často spočívá v rozdílové GAP analýze, která mapuje aktuální situaci v porovnání s cílovým stavem, kdy bude firma plnit nároky zákona o kybernetické bezpečnosti. Není to ale tak, že bychom se soustředili výhradně na návrh tohoto zákona. GAP analýzy také doplňujeme o dobré příklady z naší praxe, kdy jsme pracovali pro podobně velké nebo typově příbuzné podniky. Není pro nás zkrátka důležité jen to, aby firmy dodržovaly regulatorní požadavky, odškrtly si tuto povinnost a hotovo, šmitec. Klíčové pro nás je, aby kybernetická ochrana fungovala opravdu dobře, proto našim klientům dovedeme vystavět takovou efektivní kyber ochranu, která bude odpovídat nejen zákonným požadavkům, ale i potenciálním rizikům, kterým daná firma čelí. Proto pomáháme i s implementací našich doporučení, od systému řízení informační bezpečnosti až po technická řešení typu monitoring sítě. Naši velkou přidanou hodnotou oproti ostatním firmám spatřují naši klienti hlavně v tom, že jsme pod jednou střechou s experty z dalších důležitých oblastí, ať už jde o právníky naší advokátní kanceláře Deloitte Legal, konzultanty poradenských služeb nebo technicky zaměřené experty. Poradit se s těmito kolegy nebo je přizvat ke konzultaci či spolupráci je tak otázkou chvilky, což nám umožňuje velmi úzkou, pružnou a agilní kooperaci. Klienti se tak na nás mohou obránit prakticky s čímkoliv a my jim vždy dovedeme pomoct.

Více se dozvíte na webové stránce NIS2 a nový zákon o kybernetické bezpečnosti.