Štítek: kyberbezpečnosti

S rostoucím počtem kybernetických hrozeb čekají správce kritické infrastruktury a poskytovatele klíčových digitálních služeb nové povinnosti týkající se kybernetického zabezpečení. Podle průzkumu aliance NIS2READY však s jejich implementací zatím začalo jen 28 % organizací. Zcela připravená je pouze každá sedmá. Dotázané soukromé společnosti očekávají výdaje v řádech milionů, o využití dotace však zatím uvažuje jen třetina z nich.

Ve druhé polovině roku se očekává přijetí nového zákona o kybernetické bezpečnosti, který do českého právního řádu implementuje evropskou směrnici NIS2^[1]. Ta ukládá správcům kritické infrastruktury a poskytovatelům klíčových digitálních služeb povinnost přijmout organizační a technická opatření, jejichž cílem je výrazně posílit kybernetickou bezpečnost klíčových prvků místní infrastruktury. Celkem by se v Česku měla tato opatření dotknout tisíců organizací pohybujících se v soukromém i veřejném sektoru.

Z průzkumu Aliance NIS2READY^[2] však vyplývá, že většina českých společností blížící se příchod těchto povinností zásadním způsobem podceňuje. Hned 72 % z nich zatím s implementací vůbec nezačalo. Mezi organizacemi působícími v soukromém sektoru je na změny připravených pouze 14 % dotázaných firem.

„Velká část organizací s implementací změn čeká na finální znění nového zákona o kybernetické bezpečnosti. To se jim však může vymstít. Určitě není na co čekat. Zákon bude přímo vycházet ze směrnice NIS2, jejíž finální podoba je známá už od konce roku 2022. Organizace, které budou dále vyčkávat riskují, že nestihnou včas splnit veškeré požadavky,“ upozorňuje David Kotris z poradenské společnosti enovation.

Proč posilovat kyberbezpečnost? Útoků přibývá

Ochrana před kybernetickými hrozbami se stává stále důležitější. Za loňský rok zaznamenal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) rekordní počet kybernetických incidentů. Celkem jich evidoval 262. V předešlém roce to přitom bylo jen 146, tedy skoro o polovinu méně. Hned dva z těchto útoků navíc spadaly do té úplně nejvyšší kategorie závažnosti.^[3]

Rostoucí počet útoků je navíc všudypřítomný. Trend potvrzuje i Policie ČR, podle které došlo jen v prvním pololetí loňského roku k 31 323 kybernetickým útokům na klienty bank. Jedná se o meziroční nárůst o 15 %. Škody se přitom vyšplhaly do řádů stovek milionů korun.^[4]

„Česko bylo letos ve světovém indexu NSCI ohodnoceno v rámci kybernetické bezpečnosti 98 body ze 100, což ho řadí vysoko jak v EU, tak na světě. Rozhodně to ale neznamená, že by u nás nebyla kybernetická rizika a že by Česko nemělo co vylepšovat. Například náš průzkum z roku 2022 odhalil, že čtvrtina firem nemá dle svého hodnocení dostatečnou kybernetickou ochranu. Výzkumníci z NSCI na druhou stranu velmi kladně ohodnotili českou legislativu a infrastrukturu pro řešení kybernetického bezpečí, jako je třeba NÚKIB,“ říká analytik portálu Evropa v datech Milan Mařík.

Právě NÚKIB upozorňuje na to, že útočníci začínají využívat nástroje generativní umělé inteligence a chatboty na bázi jazykových modelů, s jejichž pomocí už nyní vytváří texty pro phishingové útoky, nebo dokonce píší samotný škodlivý kód. Dá se tedy očekávat, že spolu s rychlým rozvojem těchto nástrojů bude v kontextu aktuální geopolitické situace počet útoků dále stoupat.

Obrana bude něco stát

Implementace bezpečnostních opatření znamená pro firmy výdaje navíc. Ty by podle průzkumu neměly být extrémně drahou položkou v rozpočtu, stále se však budou pohybovat v řádech milionů korun. 80 % dotázaných firem odhaduje, že jejich výše nepřesáhne hranici 10 milionů korun. Asi polovina firem dokonce uvádí, že si vystačí s méně než dvěma miliony korun. Konkrétní rozpočet si však zatím vyčlenilo jen 40 % dotázaných společností.

Dobrou zprávou pro organizace, kterých se nové povinnosti dotknou, je, že k jejich financování mohou využít některé dotační tituly. Průzkum však ukázal, že o této možnosti velká část z nich vůbec neví. V problematice dotací jsou podle dat zběhlejší organizace ve veřejném sektoru, kde o využití dotací uvažují hned tři čtvrtiny dotázaných. Mezi soukromými společnostmi to ovšem je pouhých 35 %, tedy jen o něco více než třetina.

„Soukromé subjekty budou moci k pokrytí těchto nákladů využít třeba dotační výzvu Digitální podnik určenou na investice do informačních technologií, která bude vypsaná v nejbližší době. Tímto způsobem budou moci až 60 % nákladů spojených s těmito bezpečnostními opatřeními,“ upozorňuje David Kotris.

1. Network and Information Security 2. ↑
2. Průzkum provedla aliance NIS2READY sdružující 6 předních společností v oblasti kybernetické bezpečnosti (enovation, KPMG, Alef Nula, Soitron, eLegal a Cisco). Zúčastnilo se ho celkem 100 respondentů z řad CIO a IT security specialistů z českých organizací, které poskytují esenciální nebo klíčové služby podle nového zákona o kybernetické bezpečnosti. Sběr dat probíhal od 1. února do 30. dubna 2024. ↑
3. Zdroj dostupný zde. ↑
4. Zdroj dostupný zde. ↑

Pouze 2 % českých firem dosahuje úrovně kybernetické bezpečnosti definované aktualizovanou směrnicí o síťové a informační bezpečnosti (NIS2). Vyplývá to z průzkumu společnosti EY ČR, která jej provedla mezi desítkami tuzemských společností z 22 různých odvětví. Lhůta pro transpozici směrnice do české legislativy končí už letos v říjnu, a platnost povinností pro stanovený okruh organizací se tak dá předpokládat nejpozději do konce roku 2025. Určující bude novela Zákona o kybernetické bezpečnosti. Tu předložil vládě koncem letošního ledna Národní úřad pro kybernetickou a informační bezpečnost, tedy ve stejné době, kdy EY uzavřela dotazování k uvedenému průzkumu, který se zaměřil na připravenost firem na NIS2.

Více jak polovina respondentů (52 %) průzkumu uvedla, že největší výzvy spatřuje v nedostatečných personálních kapacitách a ve výši nákladů spojených s implementací požadavků směrnice NIS2. Více než čtvrtina dotazovaných firem nemá o NIS2 dostatečné povědomí, i když se jich bude týkat.

„Podle našich odhadů se jedná o více než tisíc firem, které se na regulaci nepřipravují,“ upozornil Jan Pich, Cyber Security Manager ve společnosti EY Česká republika, a dodal: „Zhruba polovina z respondentů, kteří odpověděli, že nemají dostatečné povědomí, zastává vrcholné řídící pozice nebo jsou členy představenstva. Podle NIS2 přitom právě vedení společnosti nese přímou odpovědnost za její zavedení.“

Průzkum také potvrdil, že společnosti, které jsou již regulovány jinými normami kybernetické bezpečnosti, přistupují k NIS2 systematicky a pragmaticky. Mají zkušenosti s implementací bezpečnostních opatření a vědí, jak je potřeba postupovat. Zatímco nově regulované společnosti očekávají navýšení nákladů na kybernetickou bezpečnost až o 40 %, již regulované subjekty počítají s průměrným navýšením nákladů o 15 %. To ukazuje, že tyto společnosti do své počítačové bezpečnosti v minulosti významněji investovaly.

O EY | Building a better working world

Smyslem EY je přispívat k tomu, aby svět fungoval lépe. Proto pomáháme klientům, našim zaměstnancům i širšímu společenství vytvářet dlouhodobé hodnoty a posilovat důvěru v kapitálové trhy. Týmy odborníků EY, vybavené nejmodernějšími technologiemi, působí ve více než 150 zemích celého světa – provádějí audity a poskytují klientům širokou poradenskou podporu, která jim umožňuje růst, transformovat se a efektivně fungovat.

Název EY zahrnuje celosvětovou organizaci a může zahrnovat jednu či více členských firem Ernst & Young Global Limited, z nichž každá je samostatnou právnickou osobou. Ernst & Young Global Limited je britská společnost s ručením omezeným garancí, která neposkytuje služby klientům. Informace o tom, jak EY shromažďuje a používá osobní údaje, a o právech fyzických osob stanovených právními předpisy o ochraně osobních údajů jsou k dispozici na ey.com/privacy. Členské firmy EY neposkytují právní služby v zemích, kde to zákon neumožňuje. Podrobnější informace o naší organizaci najdete na našich webových stránkách www.ey.com/cs_cz.

Nové trendy v oblasti kybernetické bezpečnosti, rostoucí počet kybernetických útoků a hrozby spojené s digitalizací kritických průmyslových odvětví. To vše jsou důvody, proč Rada Evropské unie během českého předsednictví v listopadu 2022 schválila konečné znění směrnice o opatřeních pro vysokou společnou úroveň bezpečnosti sítí a informačních systémů celé EU. Zatímco dosavadní právní úprava dopadala na poměrně úzký okruh subjektů, nově bude pod regulaci spadat každý podnik, který zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu alespoň 10 milionů euro nebo 250 milionů korun. 

Nová směrnice NIS 2 navazuje na stávající směrnici NIS 1, ale značně rozšiřuje okruh povinných subjektů a odstraňuje často vytýkané nedostatky. Původní verze zavazovala členské státy k vypracování strategie v oblasti kybernetické ochrany a zaváděla povinnosti v oblasti kyberbezpečnosti pro některé společnosti. S rozvojem digitalizace a stále se zvyšujícím počtem kybernetických útoků ovšem dochází k navýšení rizik, než tomu bylo dříve, a proto nově Rada EU přistoupila k vytvoření směrnice NIS2 a zásadnímu rozšíření počtu společností, kterých se tato změna bude týkat. „Skok z 360 subjektů na více než 6 tisíc je dost razantní. Nicméně cíle jako takové jsou pochopitelné a nějak se začít musí, aby se v dohledné době kyberneticko-informační bezpečnost celkově zlepšila,“ říká expertka Kateřina Hůtová, spoluzakladatelka konzultantské společnosti Cybrela, která se zaváděním nové směrnice do firem zabývá.

Cílem je lepší kybernetická odolnost EU

Podle výroční zprávy Bezpečnostní informační agentury patří v posledních letech mezi hlavní hrozby především kybernetické útoky z Číny a Ruska. Zpráva BIS přímo uvádí, že v roce 2021 zaznamenala aktivity zejména ruských a čínských státních nebo státem podporovaných kyberšpionážních aktérů, kteří se zaměřovali nejen na Česko, ale směřovali také proti dalším členským zemím EU a NATO. Čína se přitom v posledních letech zařadila mezi nejčastější zdroje na poli kybernetických útoků. Zvýšilo se nejen jejich množství, ale zejména jejich závažnost a sofistikovanost. Zpravidla se totiž jedná o velmi technický pokročilé, dlouhodobé, a především skryté a těžko odhalitelné kyberšpionážní aktivity, jejichž důsledky mohou mít dopad na chod zasažených organizací i několik následujících let od odhalení. Covid a celková situace napomohly tomu, aby se urychlila práce na nové směrnici NIS 2, nicméně globální krize startérem iniciativy jako takové nebyly. „Dnešní svět funguje na informacích, datech. To nejcennější, co společnost má, jsou informace a ty je potřeba v digitálním světe chránit,“ popisuje Hůtová. Podle ní bychom si měli zároveň být vědomi toho, kolik věcí dnes funguje díky různým softwarům a IT oddělením ve společnostech obecně. „Představte si například situaci, kdy by například potravinové řetězce kvůli kybernetickému útoku nedovezly do obchodů jídlo, protože by nevěděly kam, komu a co. To by vyvolalo paniku. A to se nebavíme o velkých věcech jako systémy elektráren, vodáren a tepláren,“ vysvětluje. 

Jaké povinnosti NIS 2 pro společnosti zavádí?

1. Povinnost přijmout vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik
2. Odpovědnost vedoucích orgánů za přijatá opatření v oblasti kybernetické bezpečnosti a povinnost dohledu. Za účelem získání dostatečných znalostí a dovedností mají členové vedoucích orgánů také povinnost absolvovat pravidelná školení v oblasti kybernetické bezpečnosti
3. Oznamovací povinnost pro každý incident, který má závažný dopad na poskytování služeb

Konečné znění směrnice bylo zveřejněno v prosinci 2022 a vstupuje v platnost 20. den po jeho zveřejnění. Od této doby mají členské státy lhůtu 21 měsíců na implementaci směrnice do svých vnitrostátních právních předpisů. Stát a experti na kybernetickou bezpečnost se ovšem snaží komunikovat vše potřebné s předstihem. „V první řadě jde především o zvýšení kyberneticko-informační bezpečnosti. Aktuálně platí, že informace jsou cennější než zlato. A vy si musíte vybudovat stabilní zázemí tak, aby váš byznys přežil určité incident, které se dějí dnes a denně. Tím myslím snahy o získání citlivých dat samozřejmě. Zároveň jde ale i o to, aby i stát byl dostatečně silný a připravený udržet si odpovídající standard při poskytování služeb svým občanům,“ uzavírá Kateřina Hůtová.