Společnost se v posledních letech přesunula do virtuálního světa, významně tam tak roste i kriminalita. Aktivitě útočníků navíc nyní výrazně nahrála pandemie covidu i válka na Ukrajině. Zatímco ve světě firmy investují miliony do ochrany, evropské země za nimi daleko pokulhávají. Evropská unie chce proto v boji proti hackerům přitvrdit zavedením přísnějších pravidel pro firmy v členských zemích.
„Už vyjednáváme o tom, že směrnici zvanou NIS 2 převedeme do tuzemského systému. Půjde de facto o podrobnější a hlubší úpravu původní verze vyhlášky, která se v novém znění propíše i do českého zákona o kybernetické bezpečnosti,“ řekla Vladěna Sasková z Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) na konferenci o kyberbezpečnosti, pořádané tento týden vydavatelstvím MAFRA. Na zavedení nových pravidel, která mají být zveřejněna v říjnu, do praxe bude podle Saskové čas zhruba do poloviny roku 2024.
Týkat se mají násobného množství českých podniků než nyní. Zatímco v současnosti pod vyhlášku spadá v Česku zhruba 400 subjektů, s jejím rozšířením k nim přibude dalších 6000. „Zvýšení tlaku a rozšíření okruhu subjektů, které budou muset v rámci kyberbezpečnosti dělat opatření, je důležité. Možnost napadení velké instituce totiž hrozí i přes malý subjekt. Cílem je tedy uhlídat nejen sebe, ale i všechny dodavatele v rámci řetězce,“ řekl na konferenci Jan Klouda z Asociace kritické infrastruktury ČR.
Dvojnásobné pokuty
Významným způsobem se s novou vyhláškou zvýší také pokuty, pokud pravidla podniky nedodrží. „Bavíme se o pokutách okolo dvou procent z obratu, případně o deseti milionech eur. To je dvojnásobek proti současným sankcím,“ řekla Sasková.
Příkladem nepřipravenosti tuzemských firem, ale také kritické státní infrastruktury je třeba nedávný kybernetický útok na systémy Ředitelství silnic a dálnic. I přesto, že k útoku došlo před více než dvěma týdny, instituci se dosud nepodařilo systémy obnovit. Více než dva týdny tak nefungují mimo jiné ani stránky s aktuálními údaji o dopravě – z těch přitom čerpají média, úřady, ale například také navigační systémy.
Jan Dienstbier.
Kybernetický útok takového rozsahu ovšem není v Česku zdaleka ojedinělý. Jen v posledních letech se hackeři zaměřili na mnoho dalších strategických institucí včetně nemocnic, škol, bank, energetických podniků a dalších organizací, přičemž škody šly často do desítek milionů korun. Právě tomu chce EU do budoucna zabránit.
Systém stojí na lidech
Na nová pravidla se už chystají významné podniky v Česku. „V našem zájmu je přiměřeně ochránit naše aktiva, tato ochrana ale musí být vždy efektivní,“ řekl na konferenci Daniel Rous, ředitel útvaru kybernetické bezpečnosti skupiny ČEZ. „Základ celého systému je postavený na lidech. A to se týká jak bezpečnosti fyzické, tak virtuální – když vám budou lidé skákat přes turnikety, tak je to špatně, stejně tak jako když si napíšou heslo do systému na papírek a nalepí si ho na monitor,“ dodal Rous.
„Asi před třemi lety jsme připravili strategii kybernetické informační bezpečnosti, což souviselo se změnami ve společnosti. Bráníme nejen integritu, dostupnost a důvěrnost informací, ale také prestiž společnosti, jejíž ztráta může firmu poškodit srovnatelně,“ uvedl Radek Hartman, člen představenstva elektroenergetické společnosti ČEPS.
S tím souhlasil i jednatel společnosti Česká pošta Security Tomáš Hampl. „Pokud nezajistíme fyzickou bezpečnost, pak se o té kybernetické pouze bavíme,“ uzavřel.
