Článek
Článek si také můžete poslechnout v audioverzi.
Na začátku června proběhla médii zpráva o tom, jak hackerský útok na dodavatele laboratorních služeb paralyzoval část provozu v londýnských nemocnicích. Jde o jednoznačnou odpověď na otázku, proč by poskytovatelé významných služeb měli dbát nejen na vlastní kybernetickou bezpečnost, ale i na bezpečnost celého dodavatelského řetězce. A právě to bude snad vyžadovat nový zákon o kybernetické bezpečnosti.
Je to ale také ukázka toho, že česká debata ohledně zákona zakrývá to podstatné: nejde zde o pokuty, kterými někteří konzultanti rádi straší, ale o to, abychom jako společnost začali brát kybernetické hrozby vážně.
Když se podíváme na to, jaké narativy se v souvislosti s novým zákonem o kybernetické bezpečnosti objevují, najdeme několik opakujících se témat. Zákon prý přináší další byrokracii, je příliš přísný a Národní úřad pro kybernetickou bezpečnost (NÚKIB) si prý uzurpuje příliš vysoké pravomoci. Dále slýcháme o vysokých pokutách a o tom, kolik to firmy bude všechno stát a že už včera bylo na přípravu pozdě. Nejnověji se objevil také apel na to, aby vláda přerušila projednávání zákona, protože jde v některých částech nad rámec povinností uložených ve směrnici NIS2.
Směrnice NIS2
- Směrnice NIS2 je klíčová legislativa Evropské unie, která má posílit kybernetickou bezpečnost v oblasti kritické infrastruktury. Do této oblasti spadají například energetika, doprava, zdravotnictví, finanční sektor a další strategická odvětví. Cílem NIS2 je chránit tato odvětví před kybernetickými útoky.
- V ČR se promítne do legislativy formou nového zákona o kybernetické bezpečnosti. Ten významně rozšíří počet regulovaných subjektů i rozsah jejich povinností.
- Nařizuje například existenci bezpečnostní dokumentace, určení bezpečnostních rolí v organizaci, řízení ICT dodavatelů, školení vrcholového vedení v oblasti kybernetické bezpečnosti, řízení identit a přístupových oprávnění, detekci nežádoucích aktivit v podnikové síti.
Zaniká ale to opravdu podstatné. Jako společnost jsme totiž zaspali dobu a stále se nedokážeme probudit. Řada firem kybernetickou bezpečnost řeší pouze formálně nebo dokonce vůbec. Dnes už firmy jednoduše více než zamčené a hlídané kanceláře potřebují zamčené a hlídané IT, protože veškerý firemní provoz se odehrává zde. A potřebují vědět, jaké dveře dovnitř vedou a které z nich jsou otevřené. A ty potom samozřejmě zavřít a zamknout. Pokud vám někdo z kanceláře ukradne počítače a osobní věci, není to taková ztráta, jako když vám hackeři zašifrují firemní data.
Samozřejmě najdeme hodně firem, které si rizika uvědomují a snaží se je minimalizovat. Mimochodem, pro ně je téma NIS2 celkem marginální, zvlášť pokud se jich bude týkat režim, který zahrnuje ty méně náročné povinnosti. Ať totiž slýcháme cokoli, pokud někdo bude chtít pouze obstát u případné kontroly, zase tolik práce ho nečeká. Zákon je nyní nastavený tak, že při troše snahy umožňuje obstát i firmám, které nesplňují ani základní hranice kybernetické hygieny. A těch je překvapivě hodně. Vidíme to jak z naší praxe, tak z praxe dalších firem zabývajících se bezpečností, a můžeme to odvodit také z celé škály průzkumů, které téma kybernetické bezpečnosti pravidelně pokrývají.
Za bezpečnost bude zodpovědné vedení. Konečně
Je dobře, že alespoň u firem, kterých se bude nový zákon týkat, bude za kybernetickou bezpečnost a odolnost zodpovědné vedení, konkrétně statutární zástupce. A vedení se tak prostě bude muset naučit, co firmě reálně hrozí. Pro mnohé to bude budíček, ale firmám to v konečném důsledku pomůže. Manažeři firemní bezpečnosti totiž dnes často narážejí na nepochopení ze strany vedení, které v těchto výdajích vidí pouze čistý náklad. Těžko se jim vysvětluje, proč mají nabírat další lidi, investovat do nákladných technických řešení a služeb externích specialistů nebo do nepopulárních interních opatření, jako je zákaz používání osobních telefonů a počítačů, zákaz instalace programů na firemních zařízeních už na úrovni operačního systému, nebo blokace přístupu na sociální sítě či služby pro sdílení dat typu Dropbox. Doufejme, že od příštího roku budou mít takové diskuze o něco snazší.
Vraťme se ale k tomu, co bychom si z diskuze ohledně nového zákona měli odnést především, a to je změna pohledu na IT bezpečnost, která by se měla stát přirozenou součástí uvažování firmy. Změna by měla začít u vedení a následně se propsat do celé firemní kultury. Všichni zaměstnanci by měli alespoň v obecné rovině vědět, co firmě může hrozit, jak mají poznat podezřelé aktivity a jak se mají a nemají chovat a proč. Taková změna je totiž nakonec tou nejúčinnější a nejlevnější ochranou před hackery, bez ohledu na to, jaká technická opatření ve firmě aktuálně fungují. Sama o sobě ji neochrání, ale výrazně zvýší účinnost jednotlivých opatření tím, že útočníkům omezí prostor pro jejich aktivity.
V této oblasti je přitom stále co zlepšovat. Pouze čtvrtina zaměstnanců má aktuálně pocit, že jejich zaměstnavatel dbá na to, aby měli přehled o digitálních hrozbách. Lidé z těchto firem si přitom nejen osvojují bezpečnější pracovní návyky, ale také dokážou lépe rozeznat pokročilé phishingové podvody i v osobním životě.
Pro celou naši společnost by bylo proto dobré, aby v diskuzi ohledně NIS2 zaznívalo také to, proč je důležité brát kybernetickou bezpečnost vážně, proč vůbec zákon vzniká a že určitě máme co dohánět. Zda se regulace dotkne šesti tisíc firem, nebo 12 tisíc, jak tvrdý bude požadavek na prověřování dodavatelů a kolik papírů budou firmy potřebovat, je sice také důležité, ale zakrývá to podstatu celého problému. Tou je, jak jako společnost přistupujeme ke kybernetické bezpečnosti a jestli ji bereme dostatečně vážně.
Roky se snažíme zvýšit finanční gramotnost, ale digitální gramotnost je podobně důležitá. Neměli bychom ji povinně vyučovat na školách? A jak zajistíme, abychom měli v budoucnu dostatek odborníků na oblast kybernetické bezpečnosti? Mimochodem, zákonu se mimo jiné vyčítá, že nedostatečně vyčísluje náklady na regulaci. Neměli bychom se ale bavit také o nákladech za neregulaci a pokračování v pštrosí taktice schovávání se před hrozbami měnícího se světa?
