Firmy by neměly vyčkávat na to, co jim přikáže zákon o kybernetické bezpečnosti

Zej­mé­na stát­ní sprá­va, zdra­vot­nic­ký seg­ment a střed­ně velké firmy v čes­kém vlast­nic­tví často vyčká­va­jí na kon­krét­ní legi­sla­tiv­ní poje­tí záko­na o kyber­ne­tic­ké bez­peč­nos­ti a vůbec ne na to, zda­li se jich povin­nost bude týkat. I tyto sub­jek­ty by se kaž­do­pád­ně měly před hac­ker­ský­mi útoky chrá­nit, a to již nyní. Bez správ­né­ho zabez­pe­če­ní jim při úspěš­ném kyber­ne­tic­kém útoku hro­zí až miliono­vé finan­ční ztrá­ty, pří­pad­ně i repu­tač­ní pro­b­lé­my.

Zákonná povinnost bude vycházet z evropské směrnice NIS2, kterou se Česko společně s ostatními unijními státy zavázalo přijmout nejpozději do 17. října letošního roku, a to v rámci připravovaného zákona o kybernetické bezpečnosti. Již nyní je ovšem jasné, že zákon stihne nabýt účinnosti nejdříve až v lednu 2025.

Jeho přijetí se protáhne i z toho důvodu, že začátkem dubna vrátila Legislativní rada vlády návrh zákona Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) s připomínkami k přepracování. Očekává se, že u návrhu zákona se upraví řada detailů, nicméně hlavní povinnosti pro firmy zůstanou beze změny a měly by s nimi proto již teď předběžně počítat. Zákon se celkově dotkne minimálně šesti tisíc firem, v závislosti na parametrech může jít dokonce až o dvojnásobný počet.

Pro firmy bude nová povinnost znamenat nejprve vytvoření dokumentů, které budou stanovovat postupy a chování organizace v souladu s novým zákonem o kybernetické bezpečnosti. Očekávají se výdaje řádově ve stovkách tisíc korun. Druhým krokem bude zavedení technických bezpečnostních opatření. Pokud firma nemá dosud žádná technická opatření, náklady se mohou pohybovat v rozmezí vyšších stovek tisíc až jednotek milionů korun. K tomu se přičte následná podpora těchto technologií v dalších letech jejich provozu. Firmy by měly mít na paměti udržování aktivní ochrany a potřebného financování dlouhodobě. Stává se, že sice mají v pořádku nastavené procesy i dokumentaci, jenže samotná praxe za tím zaostává, čímž se firma zbytečně dostává do rizika.

Až budou mít firmy svou ochranu nastavenou, měly by svou odolnost vůči útokům prověřit – externími testy zranitelnosti anebo tzv. penetračními testy. Zároveň by si firmy měly v kritických systémech udělat audit toho, jaké mají dodavatele, jak ti jsou zabezpečeni a jaká u dodavatelů existují rizika.

Kybernetické útoky jsou stále komplexnější a zákeřnější, pro firmy je tak zásadní sledovat aktuální trendy, aby se před nimi mohly chránit a mohly správně proškolit své zaměstnance. Jednou z relativních novinek je vylákání citlivých údajů už ne za pomoci širokého a relativně nahodilého posílání spamů, ale díky zacílení na konkrétního zaměstnance. Metoda nazývaná spear phishing spočívá ve vytipování lidí, jejichž údaje jsou nejcennější, kterým útočníci pošlou zprávu přesně na míru, aby zvýšili pravděpodobnost úspěchu a vylákali z nich, co potřebují.

Autor:
Tomáš Kubíček

V BDO je díky svým zkušenostem zodpovědný za IT poradenství nadnárodním společnostem, jakož i vybraným klientům veřejné správy a zdravotnictví. Zaměřuje se na digitální transformaci pomáhající klientům lépe využívat dostupné technologie a data pro lepší obsluhu zákazníků, pro lepší rozhodování a samotné řízení firmy včetně souvisejících změn v procesech, postupech a firemní kultuře.