Boj s hackery dostane nová pravidla

Svaz průmyslu se aktivně podílí na přípravě nového zákona o kybernetické bezpečnosti, který zavede nové povinnosti pro tisíce firem.

Letos v únoru hackeři na celý den paralyzovali českou justici. Útočníci přetížili klíčové servery a způsobili výpadky nejen webových stránek ministerstva spravedlnosti a soudů, ale také databáze soudních jednání, insolvenčního rejstříku či portálu státního zastupitelství. Ministerstvo spravedlnosti přiznalo, že za nefunkčností systémů stál sofistikovaný kybernetický útok.

Mnohem déle se s důsledky rozsáhlého kybernetického útoku vyrovnávaly před třemi lety některé české nemocnice. Hackeři napadli například nemocnici v Benešově nebo brněnskou Fakultní nemocnici u sv. Anny. Zašifrovali jejich data a požadovali za jejich opětovné zpřístupnění výkupné. Útoky na zdravotnická zařízení se ve světě množí. Nemocnice kvůli nim nemohou poskytovat pacientům adekvátní péči, což může v některých případech skončit i zbytečným úmrtím. 

Nebezpečná zadní vrátka

Kybernetické útoky se nevyhýbají ani průmyslovým firmám. Jsou dokonce mezi hlavními cíli útoků, jejichž podstatou je vydírání a získání výkupného výměnou za obnovení kontroly nad firemními daty a podnikovými systémy. Na výrobní firmy směřovala loni skoro třetina z těchto incidentů, uvádí pravidelný report IBM Security X-Force. Jsou totiž nejcitlivější na jakékoliv narušení provozu, které se pak může snadno přenést do celého dodavatelského řetězce. „Firmy mohou přijít o přístup k datům, zastaví se jim stroje, nebudou moci komunikovat s dodavateli a odběrateli. Během takového výpadku se mohou škody ze zastavení výroby šplhat i do milionů nebo desítek milionů korun,“ vysvětluje Ondřej Ferdus, ředitel Útvaru digitální ekonomiky Svazu průmyslu a dopravy ČR.

Nejčastěji se hackeři dostávají do podnikových sítí pomocí phishingových útoků. Často také využívají zadní vrátka, která jim umožní obejít bezpečnostní mechanismy. Buď se nabourají do systému prostřednictvím slabých míst, která vytvořili sami programátoři systémů například kvůli snadnější údržbě, nebo je vytvoří sami instalací škodlivého software.

Přístup do firemní sítě a k firemním datům útočníci prodávají. V internetových aukcích za takový přístup zločinecké organizace platí od 5 do 10 tisíc dolarů. Výjimkou není ani cena 50 tisíc dolarů, uvádí report IBM. Schopnosti hackerů vytvořit si cestu do podnikových systémů se v posledních letech výrazně zlepšily. Zatímco v roce 2019 trvala v průměru příprava zadních vrátek dva měsíce, o dva roky později už to hackeři zvládli za necelé čtyři dny.

Nové povinnosti pro tisíce firem

Rozsah používání digitálních systémů a technologií v dnešní společnosti vyžaduje systematický přístup ke zvyšování kybernetické bezpečnosti. Evropská unie loni schválila směrnici o kybernetické bezpečnosti NIS2, která výrazně rozšiřuje počet firem a institucí, které budou muset zajistit adekvátní ochranu svých informačních systémů. Místo nynějších čtyř set se budou v Česku povinnosti vztahovat na více než šest tisíc subjektů. Do přípravy směrnice se aktivně zapojil také Svaz průmyslu, a to jak na evropské, tak na národní úrovni.

„Růstem počtu regulovaných subjektů se zvýší odolnost celé infrastruktury a tím i bezpečnost naší země a našich obyvatel,“ vysvětluje Adam Kučínský, ředitel odboru regulace Národního úřadu pro kybernetickou bezpečnost (NÚKIB). Úřad už pracuje na převedení směrnice do národního práva. 

Kybernetické hrozby jsou stále sofistikovanější a rozšířenější, a proto je nezbytné, aby firmy přijaly odpovídající opatření k ochraně svých informačních systémů. Nová regulace je bude nutit, aby minimalizovaly riziko kybernetických útoků a zajistily bezpečnost svých dat a systémů. „Od firem žádá, aby prováděly pravidelné audity, vyhodnocovaly rizika a přijímaly opatření k prevenci a odstraňování bezpečnostních rizik,“ říká Ondřej Ferdus ze Svazu průmyslu a dopravy ČR.

České firmy si jsou hrozeb vědomy. Více než tři čtvrtiny podniků, které se zúčastnily loňského průzkumu Svazu průmyslu o zavádění Průmyslu 4.0, považuje za největší digitální hrozbu kybernetický útok. Zlepšení kybernetické bezpečnosti si daly za jeden z hlavních digitálních cílů téměř dvě třetiny firem. Roste také podíl firem, které už podnikají kroky k většímu zabezpečování dat a interních systémů.

Dvě skupiny firem

Směrnice NIS2 a na jejím základě také český zákon o kybernetické bezpečnosti rozdělí firmy na dvě skupiny. Velké podniky a instituce, které jsou klíčové pro fungování státu, budou muset plnit přísnější povinnosti. Jde o firmy z oblasti energetiky, dopravy, bankovnictví, zdravotnictví, vodohospodářství, provozovatele digitální infrastruktury či infrastruktury finančních trhů a veřejnou správu. Na středně velké firmy v těchto odvětvích se budou vztahovat nižší nároky. 

Užší okruh povinností se bude vztahovat také na velké a střední firmy, které směrnice a zákon identifikují jako důležité pro fungování státu. Mezi ně patří poskytovatelé poštovních služeb, firmy z odpadového hospodářství, chemického průmyslu, potravinářství, ale také například výrobci zdravotnické techniky, motorových vozidel či počítačů a elektronických přístrojů. Menší povinnosti se budou týkat také poskytovatelů digitálních služeb.

Svaz průmyslu dlouhodobě upozorňuje, že ne každá společnost má finanční zdroje nebo personální kapacity na vybudování speciálního oddělení pro řešení kybernetické bezpečnosti. „Regulace zvýší také administrativní zátěž, která je už nyní pro firmy obrovská. Klíčové proto bude vzdělávání firem v oblasti kybernetické bezpečnosti, které budou nově spadat do působnosti zákona,“ upozorňuje Milena Jabůrková, viceprezidentka Svazu průmyslu.

Obecně platí, že dnes jsou na plnění povinností lépe připraveny velké firmy a nadnárodní společnosti, které často už mají zavedené postupy a týmy zabývající se kybernetickou bezpečností. U středních firem se situace může lišit. „Je možné, že některé z nich budou muset investovat do posílení svých kybernetických bezpečnostních opatření a mohou potřebovat více podpory a vzdělávání pro zvýšení své bezpečnosti,“ dodává Ondřej Ferdus.

Aktivní Svaz průmyslu

Práce na novém zákoně o kybernetické bezpečnosti, který směrnici převede do českého práva, už běží. NÚKIB v lednu vyhlásil veřejnou konzultaci k záměru zákona. Přes tisíc připomínek dostal od více než stovky institucí. Svaz průmyslu se do konzultace od začátku zapojil. Za problematickou mimo jiné považuje povinnost lokalizace uložených dat. „Je to čistě česká úprava, která nevychází z NIS2. Požadavky na ukládání dat na českém území popírají základní principy evropského trhu a jsou v rozporu s unijní Strategií kybernetické bezpečnosti,“ uvádí Ondřej Ferdus.

Nad rámec směrnice NÚKIB do zákona zařadil také mechanismus pro prověřování dodavatelského řetězce, aby dodávky technologických prvků pro strategickou infrastrukturu státu neposkytovaly nedůvěryhodné firmy nebo společnosti z bezpečnostně rizikových zemí. „Zásadní bude, aby systém prověřování byl jasný, pro byznys předvídatelný a aby nenarušil investiční a technologické cykly,“ dodává Ondřej Ferdus.

Své připomínky tlumočil Svaz průmyslu v jarním mezirezortním připomínkovém řízení a zapojí se také do další kroků při schvalování zákona. Do poslanecké sněmovny by se měl dostat na konci letošního roku. Platit by měl od října 2024.

(Jan Stuchlík)

Článek vyšel v časopisu Spektrum 02/2023. Celé číslo si můžete přečíst ZDE.