Firmy by neměly vyčkávat, co jim přikáže zákon o kybernetické bezpečnosti

Tisíců tuzemských firem se v příštím roce dotkne zákon, který určí, jak se budou muset chránit před kyber­ne­tic­ký­mi útoky. Pro firmy, které se svému za­bez­pe­če­ní doposud příliš nevěnovaly, může být zavedení nut­ných opatření velmi nákladné. Podle předpokladů přitom bude zákon představovat spíše minimální míru zabezpečení a firmy by měly být v kybernetické ochraně ve vlastním zájmu důslednější. A měly by se kybernetické ochraně věnovat dlouhodobě, jednorázová investice nestačí.

„Zej­mé­na stát­ní sprá­va, zdra­vot­nic­ký seg­ment a střed­ně velké firmy v čes­kém vlast­nic­tví, z naší zku­še­nos­ti často vy­čká­va­jí na kon­krét­ní legi­sla­tiv­ní poje­tí záko­na o kyber­ne­tic­ké bez­peč­nos­ti a vůbec na to, zda­li se jich povin­nost bude týkat. I tyto sub­jek­ty by se kaž­do­pád­ně měly před hac­ker­ský­mi útoky chrá­nit, a to již nyní. Bez správ­né­ho zabez­pe­če­ní jim při úspěš­ném kyber­ne­tic­kém útoku hro­zí až mno­ha­mi­lio­no­vé finan­ční ztrá­ty, pří­pad­ně i repu­tač­ní pro­b­lé­my,“ tvrdí kyber­bez­peč­nost­ní expert z BDO Tomáš Kubíček.

Zákonná povinnost bude vycházet z evropské směrnice NIS2, kterou se Česko společně s ostatními unijními státy zavázalo přijmout nejpozději do 17. října letošního roku, a to v rámci připravovaného zákona o kybernetické bezpečnosti. Již nyní je ovšem jasné, že zákon stihne nabýt účinnosti nejdříve až v lednu 2025.

Jeho přijetí se protáhne i z toho důvodu, že začátkem dubna vrátila Legislativní rada vlády návrh zákona Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) s připomínkami k přepracování. Očekává se, že u návrhu zákona se upraví řada detailů, nicméně hlavní povinnosti pro firmy zůstanou beze změny a měly by s nimi proto již teď předběžně počítat. Zákon se celkově dotkne minimálně šesti tisíc firem, v závislosti na parametrech může jít dokonce o dvojnásobný počet.

Pro firmy bude nová povinnost znamenat nejprve vytvoření dokumentů, které budou stanovovat postupy a chování organizace v souladu s novým zákonem o kybernetické bezpečnosti. Očekávají se výdaje řádově ve stovkách tisíc korun. Druhým krokem bude zavedení technických bezpečnostních opatření. Pokud firma nemá dosud žádná technická opatření, náklady se mohou pohybovat v rozmezí vyšších stovek tisíc až jednotek milionů korun. K tomu se přičte následná podpora těchto technologií v dalších letech jejich provozu. „Firmy by měly mít na paměti udržování aktivní ochrany a potřebného financování dlouhodobě. Stává se, že sice mají v pořádku nastavené procesy i dokumentaci, jenže samotná praxe za tím zaostává, čímž se firma zbytečně dostává do rizika,“ prohlašuje Tomáš Kubíček.

Až budou mít firmy svou ochranu nastavenou, měly by svou odolnost vůči útokům prověřit – externími testy zranitelnosti anebo tzv. penetračními testy. Zároveň by si firmy měly v kritických systémech udělat audit toho, jaké mají dodavatele, jak ti jsou zabezpečeni a jaká u dodavatelů existují rizika.

Kybernetické útoky jsou stále komplexnější a zákeřnější, pro firmy je tak zásadní sledovat aktuální trendy, aby se před nimi mohly chránit a mohly správně proškolit své zaměstnance. Jednou z relativních novinek je vylákání citlivých údajů už ne za pomoci široké a relativně nahodilé rozesílky spamu, ale díky zacílení na konkrétního zaměstnance. Metoda nazývaná spear phishing spočívá ve vytipování lidí, jejichž údaje jsou nejcennější, kterým útočníci pošlou zprávu přesně na míru, aby zvýšili pravděpodobnost úspěchu a vylákali z nich, co potřebují.

Zdroj: systemonline.cz