Nový zákon firmy donutí konečně se postarat o svoji kyberbezpečnost

Moderní kyberzločinecké skupiny fungují jako efektivní korporace. Jejich útoky jsou promyšlené, finančně motivované a čím dál dostupnější. A ani nový zákon o kybernetické bezpečnosti jim v tom nemůže podle kybernetického experta Jana Picha ze společnosti EY zabránit. „Může ale přimět firmy zavést opatření, která jim umožní útok přežít,“ zdůrazňuje.

Dnes se často mluví o kybernetických útocích prováděných formou RaaS, Ransomware – as–a-Service, tedy „ransomware jako služba“. Jak to funguje?

Je to přesná paralela k běžnému modelu Soft ware-as-a-Service, tedy „softwaru jako službě“, kdy si firma namísto toho, aby si software kupovala a instalovala, jej pronajímá jako službu. Jen namísto legální aplikace jde o zločinecký produkt, tedy ransomware. Konkrétně: na jedné straně stojí „centrála“, tedy vývojáři. Ti vytvoří samotný škodlivý software, tedy ransomware, zajistí jeho aktualizace, aby obcházel běžné antiviry, a hlavně připraví celou infrastrukturu. Ta zahrnuje platební portály nebo ty na darknetu pro příjem výkupného v kryptoměnách. A často i takzvanou leak site, web, kde zveřejňují ukradená data obětí, aby zvýšili tlak. Tento celý „balíček na klíč“ pak pronajímají takzvaným affiliates, partnerům, kteří útoky reálně provádějí. Celé to funguje jako franšíza – vývojář dodá produkt, partner jej provede a zisk z výkupného se dělí.

Takže útoky nejdou jen z jednoho zdroje?

Ano, není to jedna skupina, která zvládne všechno. To je ten největší omyl a důvod, proč jsou útočníci tak úspěšní. Dnešní zločinecký ekosystém je postavený na extrémní dělbě práce a je rozdělený na specializované role. Jak jsem zmínil, vývojáři dodají platformu a „partneři“ útočí. Ale specializace jde mnohem dál. Existují celé skupiny, takzvaní Initial Access Brokers (IAB) neboli zprostředkovatelé přístupu, jejichž jediným byznysem je získat přístup do firemní sítě. Třeba přes cílený phishing nebo nalezenou zranitelnost. Tento přístup pak jednoduše prodají v aukci na darknetu tomu, kdo dá nejvíc. A nemluvíme o astronomických částkách, data evropské agentury ENISA ukazují, že cena za plný přístup do firemní sítě se často pohybuje pod hranicí 2800 eur. Je to komodita. Partner RaaS si tak koupí „otevřené dveře“ a jeho tým specialistů se soustředí jen na to, jak se v síti pohybovat, uchvacovat práva a dostat se k cenným datům a zálohám. Je to efektivní, škálovatelné a dramaticky to snižuje vstupní bariéry. K provedení devastujícího útoku už dávno nemusíte být geniální programátor.

Můžeme to vyčíslit? O jak velkou hrozbu se jedná a jak rychle roste?

Data jsou alarmující a dokládají přechod od náhodných pokusů k průmyslové frekvenci. Globální reporty se sice mohou v detailech lišit, protože zahrnují data z různých typů různě velkých společností, shodují se ale v řádu čísel. A ukazují, že průměrná organizace čelila loni týdně průměrně až 2000 pokusům o útok. To je ten neustálý „šum“, kterému musí IT oddělení odolávat. Meziročně se celkový počet pokusů zhruba zdvojnásobil.

To jsou globální čísla. Jaké jsou škody v Česku?

Přesná čísla za B2B sektor se dlouho těžko sbírala, protože firmy neměly povinnost incidenty hlásit, což je ale přesně to, co nový zákon o kybernetické bezpečnosti mění. Pro kontext si můžeme vzít data z útoků na koncové uživatele. Česká bankovní asociace reportovala, že jen škody způsobené podvody na bankovních klientech dosáhly za první pololetí letošního roku částky 885,9 milionu korun. To je meziroční nárůst o 19 procent.

Nový zákon o kybernetické bezpečnosti (ZKB), který do Česka přenáší evropskou směrnici NIS2, se má dotknout tisíců firem. Co nejzásadněji mění?

Původní zákon se týkal řádově stovek subjektů, typicky ze strategických odvětví, jako je energetika nebo bankovnictví. Nová legislativa díky NIS2 dopadne na tisíce, možná i nízké desítky tisíc organizací. Oficiální data NÚKIB uvádějí za celý rok 2024 jen 268 hlášených incidentů, jenže úřad zatím evidoval jen zhruba 500 subjektů spadajících pod původní zákon. Dosud se tedy sledovala jen malá část ekonomiky a právě to se mění. Díky novému zákonu bude do evidence spadat mnohem více subjektů a získáme tak přesnější data. Nově se to týká sektorů, jako je výroba, například automobilový nebo strojírenský průmysl, potravinářství, odpadové hospodářství, poštovní a kurýrní služby nebo klíčové digitální služby. Zákon je dále dělí na dvě kategorie, na základní a důležité, které se liší v povinnostech, hlavně co se týče dohledu a sankcí.

Jak konkrétně zákon mění samotné řízení firem?

Tou největší změnou je, že zavádí osobní odpovědnost managementu. Vedení se už nemůže vymlouvat, že je to věc IT oddělení. Musí bezpečnostní opatření schvalovat, dohlížet na ně a nést za ně odpovědnost. A druhou novinkou je, že posiluje i důležitost řízení rizik v dodavatelském řetězci. Firmy musejí aktivně ověřovat, jak jsou zabezpečení jejich dodavatelé IT služeb. Už tak nebude stačit jen podepsat smlouvu s IT firmou, budete muset vědět, jak má ona sama zabezpečené své systémy, kterými spravuje ty vaše. To je pro mnoho firem naprostá novinka.

Zabrání tedy zákon napadání firem ransomwarem?

Nezabrání. Myslet si, že implementací NIS2 postavíme neprolomitelnou digitální zeď, je iluze. Žádný zákon nemůže zastavit samotný útok, útočníci jsou kreativní, motivovaní a často působí z míst, kde jim nehrozí postih. Cílem legislativy není stoprocentní prevence, ale odolnost. Je to nástroj, jak donutit byznys zavést opatření, která mu umožní útok přežít. Tedy schopnost ho včas odhalit, reagovat a minimalizovat škody.

Jak zákon tuto odolnost posiluje v praxi?

Tím, že nutí firmy mít skutečně fungující procesy, nejen papírové směrnice. Pokud to firma pojme jako „papírové cvičení“ jen proto, aby měla „checklist“ pro případnou kontrolu, pak jí ten zákon skutečně v ničem nepomůže a budou to vyhozené peníze. Nicméně kromě zavádění přímé odpovědnosti vedení nebo ručení firem nově i za rizika, která jim přinášejí jejich partneři a poskytovatelé služeb, zákon také ukládá povinnost hlásit incidenty – a první hlášení musí proběhnout do 24 hodin. V praxi to znamená, že organizace musí být schopna útok včas odhalit a mít připravené postupy, jak na něj reagovat. A právě tyto požadavky dohromady nutí firmy vybudovat reál ný, funkční systém bezpečnosti, nikoli jen mít šanony plné formálních dokumentů.

Jaké největší chyby se mohou firmy při zavádění zákona dopustit?

Udělat z toho už zmíněné formální „papírové cvičení“ a předat vše IT oddělení. To je jistá cesta k selhání. Implementace ZKB a NIS2 je strategické řízení rizik, nikoli technický úkol. Musí začít u vedení společnosti. A pokud k tomu firmy přistoupí správně, nebudují jen „splnění zákona“, ale reálnou odolnost, která jim v krizové situaci může zachránit podnikání