Tisíce tuzemských firem se v příštím roce dotkne zákon, který určí, jak se budou muset chránit před kybernetickými útoky. Zavedení sady opatření pro firmy, které se svému zabezpečení doposud nevěnovaly, se může vyšplhat až k jednotkám milionů korun. Zákon bude představovat spíše vhodnou minimální míru zabezpečení, firmy by v praxi měly být v kybernetické ochraně důraznější a včasnější, komentuje Tomáš Kubíček, partner společnosti BDO zodpovědný za oblast technologického poradenství a kyberbezpečnosti.
„Zejména státní správa, zdravotnický segment a středně velké firmy v českém vlastnictví, z naší zkušenosti často vyčkávají na konkrétní legislativní pojetí zákona o kybernetické bezpečnosti a vůbec na to, zdali se jich povinnost bude týkat. I tyto subjekty by se každopádně měly před hackerskými útoky chránit, a to již nyní. Bez správného zabezpečení jim při úspěšném kybernetickém útoku hrozí až mnohamilionové finanční ztráty, případně i reputační problémy,“ tvrdí kyberbezpečnostní expert z BDO Tomáš Kubíček. Kybernetické zabezpečení podle Tomáše Kubíčka mívají obvykle detailněji nastavené firmy se zahraničními mateřskými společnostmi, které jim to přikazují.
Zákonná povinnost bude vycházet z evropské směrnice NI2, kterou se Česko společně s ostatními unijními státy zavázalo přijmout nejpozději do 17. října letošního roku, a to v rámci připravovaného zákona o kybernetické bezpečnosti. Již nyní je ovšem jasné, že zákon stihne nabýt účinnosti nejdříve až v lednu 2025.
Jeho přijetí se protáhne i z toho důvodu, že začátkem dubna vrátila Legislativní rada vlády návrh zákona Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) s připomínkami k přepracování. Očekává se, že u návrhu zákona se upraví řada detailů, nicméně hlavní povinnosti pro firmy zůstanou beze změny a měly by s nimi proto již teď předběžně počítat. Zákon se celkově dotkne minimálně šesti tisíc firem, v závislosti na parametrech může však podle Tomáše Kubíčka jít dokonce o dvojnásobný počet.
Firmy se musí kybernetické ochraně věnovat dlouhodobě, jednorázová investice nestačí
Pro firmy bude nová povinnost znamenat nejprve vytvoření dokumentů, které budou stanovovat postupy a chování organizace v souladu s novým zákonem o kybernetické bezpečnosti. Očekávají se výdaje řádově ve stovkách tisíc korun. Druhým krokem bude zavedení technických bezpečnostních opatření. Pokud firma nemá dosud žádná technická opatření, náklady se mohou pohybovat v rozmezí vyšších stovek tisíc až jednotek milionů korun. K tomu se přičte následná podpora těchto technologií v dalších letech jejich provozu. „Firmy by měly mít na paměti udržování aktivní ochrany a potřebného financování dlouhodobě. Stává se, že sice mají v pořádku nastavené procesy i dokumentaci, jenže samotná praxe za tím zaostává, čímž se firma zbytečně dostává do rizika,“ prohlašuje Tomáš Kubíček.
Až budou mít firmy svou ochranu nastavenou, měly by svou odolnost vůči útokům prověřit – externími testy zranitelnosti anebo tzv. penetračními testy. Zároveň by si firmy měly v kritických systémech udělat audit toho, jaké mají dodavatele, jak ti jsou zabezpečeni a jaká u dodavatelů existují rizika.
Citlivá data útočník vyláká ze zaměstnance i po telefonu
Kybernetické útoky jsou stále komplexnější a zákeřnější, pro firmy je tak zásadní sledovat aktuální trendy, aby se před nimi mohly chránit a mohly správně proškolit své zaměstnance. Jednou z relativních novinek je vylákání citlivých údajů už ne za pomoci široké a relativně nahodilé rozesílky spamu, ale díky zacílení na konkrétního zaměstnance. Metoda nazývaná spear phishing spočívá ve vytipování lidí, jejichž údaje jsou nejcennější, kterým útočníci pošlou zprávu přesně na míru, aby zvýšili pravděpodobnost úspěchu a vylákali z nich, co potřebují.
Zároveň útočníci nejsou omezeni už jen komunikací po mailech a chatech. „Útočníci využijí třeba veřejně dostupné telefonní číslo a zaměstnanci s cílem vylákat od něj citlivé informace zavolají. Díky nástrojům umělé inteligence navíc útočníci zvládnou napodobit i hlas, takže se mohou snadno za někoho vydávat. Případně dokáží zfalšovat i videohovor. K zajištění věrohodnosti využívají osobní a přitom veřejně dostupné informace, které o konkrétních lidech najdou na sociálních sítích,“ říká Tomáš Kubíček z BDO.
Firmy by si měly chránit své přístupy a mít aktuální firmware
Útočníci využívají AI také k tomu, aby se automaticky připojovala například do nezabezpečených videokonferencí k odposlechu citlivých informací, nebo aby narušila nápovědu kódu, který programátoři mohou automaticky využít, aby si práci urychlili.
Další riziko spočívá v tom, kolik různých zařízení již dnes pracuje online v rámci tzv. internetu věcí. Ve firmách jsou to zařízení k měření spotřeby, rezervaci zasedaček, dálkové nastavování světel či klimatizace a různá čidla. „Ačkoliv je to skvělé pro byznys a efektivitu, znamená to zároveň riziko napadení, kterému by firmy měly aktivně předcházet. Zejména tím, že budou mít ve všech čidlech a zařízeních neustále aktuální firmware, který bezpečnostní mezery zalepuje,“ prohlašuje Tomáš Kubíček.
O společnosti BDO
BDO je poradenská společnost poskytující auditorské, daňové, právní, účetní, znalecké a poradenské služby. Na českém trhu působí již přes 30 let. S více než 600 odborníky a dlouholetou praxí se řadí k předním společnostem s tímto zaměřením v České republice, kde také opakovaně vyhrála titul Největší poradenská firma roku. Kanceláře má v Praze, Plzni, Brně, Domažlicích, Českých Budějovicích, Jindřichově Hradci a Ostravě.
BDO je v České republice zastoupena společnostmi BDO Audit s.r.o., BDO Czech Republic s.r.o., BDO Consulting s.r.o., BDO Legal s.r.o., advokátní kancelář, BDO Valuation, s.r.o. a BDO Euro-Trend s.r.o. Společnost je součástí mezinárodní sítě BDO, která celosvětově tvoří jednu z největších sítí auditorských a poradenských skupin. Zaměstnává více jak 115 tisíc odborníků a působí ve 166 zemích, v nichž provozuje více než 1 750 kanceláří.
