Regulace kyberbezpečnosti má smysl

Rozhovor původně vyšel v květnovém vydání magazínu Reportér.

Škodí, nebo pomáhá? Překotný rozvoj nástrojů takzvané umělé inteligence (AI) stále více ovlivňuje i oblast kybernetické bezpečnosti, a to v pozitivním, ale i negativním směru. Napomáhá útočníkům k větší rychlosti i sofistikovanosti jejich akcí, a tak jsou kybernetické útoky stále častější a mění se jejich povaha – stává se z nich organizovaný byznys a nástroj státních aktérů. Jak na tuto rostoucí hrozbu reaguje Evropská unie novými pravidly jako NIS2? Proč jsou podle Jana Picha, experta na kyberbezpečnost z poradenské společnosti EY, tyto regulace potřebné, i když u některých firem vyvolávají obavy, a jaký mají reálný smysl v dnešním digitálním světě?

Novinkou posledních zhruba pěti let je podle Jana Picha to, že se z kybernetických podvodů stal doslova byznys: ten v realitě vypadá tak, že jeho aktéři normálně docházejí do zaměstnání ve velkých call centrech, z nichž pak volají do celého světa a snaží se z lidí vymámit přístupy do bankovnictví nebo je podvést jiným způsobem. „Například Filipíny se staly známou líhní těchto aktivit, odtud jsou typické zejména podvodné seznamky, kdy si útočníci nejprve získají důvěru, pak vyžádají intimní fotky a následně oběti vydírají. Setkáváme se ale i s kryptopodvody a dalšími taktikami. Druhým hlavním typem útočníků jsou pak skupiny dotované státy, přičemž těmi nejčastějšími sponzory zůstávají země jako Rusko, Severní Korea nebo Čína,“ vysvětluje expert Jan Pich z EY.

Po všeobecně známé ochraně kyberprostoru, kterou označuje zkratka GDPR, přišla Evropská unie s dalším regulačním mechanismem, NIS2. Jaký je jeho smysl?

Evropa vydala takzvanou Strategii 2030 s cílem stát se do uvedeného roku globálním subjektem v rámci digitálního trhu. A součástí té strategie je několik regulací, které se týkají kybernetické bezpečnosti. Obecně jsou tam regulace zaměřené na data, jako zmíněné GDPR. NIS2 je pak směrnice, která cílí na klíčové služby. De facto rozšiřuje segment regulovaných subjektů z elektráren a podobných zařízení na služby, jako je třeba řízení provozu ve městech, chemický průmysl, potravinářství, vodárenství… Existují ale i další regulační mechanismy. Například DORA, zacílená na finanční sektor.

Má Evropa tuto regulaci nejpřísnější ze všech?

To bych neřekl. Přístupy k této problematice se rychle mění. Regulace kybernetické bezpečnosti se objevují po celém světě. Vždy se v nich odráží konkrétní politická a socioekonomická situace dané země. Typicky se Evropská unie zaměřuje na ochranu jednotlivce a tvorbu jednotného digitálního trhu. Spojené státy zase více upřednostňují tržní standardy. Regulace v Číně se pak orientuje na to, aby měl stát kontrolu nad důležitými službami.

Zaslechl jsem kritické hlasy od těch, na které dopadla nově povinnost implementovat regulaci NIS2. Jde o stížnosti podobné reakcím automobilek na klimatickou politiku Unie, známou jako Green Deal. Proč potřebuje třeba konzervárna o padesáti zaměstnancích pravidla pro kybernetickou bezpečnost?

Ano, ty kritické hlasy vnímáme, obzvlášť od menších firem, na které regulace dopadá nově. Naše průzkumy potvrzují, že z ní mají obavy – je to přirozený strach z něčeho nového, co dosud aktivně řešit nemusely. Digitalizace dnes prostupuje všemi segmenty. I malý podnik má systémy a často i výrobní stroje připojené k internetu, což představuje riziko. Úspěšný útok může takový provoz zcela odstavit. Pokud je firma třeba významným dodavatelem v potravinářském řetězci, může výpadek způsobit problémy podobné těm, když chyběly čipy pro automobilky. Obecně platí – všichni víme, že bychom kybernetickou bezpečnost řešit měli, ale bez vnějšího impulzu to často neděláme, i kvůli nákladům. Přitom je důležité zmínit, že NIS2 rozlišuje mezi subjekty a zavádí dvě úrovně požadavků – ty méně přísné platí právě pro menší firmy.

Proč ten zmíněný dluh podle vás existuje?

Právě v tom, co jsem naznačil – firmy, zejména ty menší, často vědí, že by kybernetickou bezpečnost řešit měly, ale bez regulace to aktivně nedělají. NIS2 tedy přichází, aby nastavila ono nutné minimum. Pravidla sama o sobě nejsou nijak extrémně přehnaná, ale pokud firma začíná od nuly, dostat se do souladu nějaký čas a investice vyžaduje. Navíc oproti zmíněnému Green Dealu mají některé kybernetické regulace tu výhodu, že míří nejen na firmy v EU, ale i na samotné produkty, bez ohledu na místo výroby. Například i zařízení nebo software vyrobený mimo EU bude muset splňovat dané bezpečnostní požadavky, pokud má být prodáván na evropském trhu. Tím se podmínky pro firmy částečně narovnávají.

Jaké zásadní plusy a minusy vidíte ve využití AI v oblasti kybernetické bezpečnosti?

I v kybernetické bezpečnosti AI pochopitelně zrychluje a zefektivňuje práci, například při analýze velkého množství dat. Zároveň ale vnímám obavu ze ztráty určitých praktických kompetencí. Když jsem nastupoval, junior se učil tím, že procházel hromady logů, hledal v nich vzorce útoků (‚patterny‘) a skládal z nich obrázek incidentu. Dnes se může zeptat AI nástroje, který mu výsledek předloží. Vidím, že tak junioři přicházejí o cennou schopnost hluboké analýzy získanou praxí. Jsou částečně „vyučováni“ strojem, nikoliv komplexní realitou incidentů.

Chybí tam podle vás lidský aspekt?

Ano. A to je ve finále také kompetence, o kterou tímto všichni přicházíme. Za mě tedy bude využívání AI nejen v bezpečnosti, ale kdekoliv jinde o hledání správné míry toho, kde se na ni spoléhat a kde už ne. O pracovní místa bych se přitom nebál – některá s touto transformací jistě zaniknou, ale zase vznikne spousta nových pozic, které bude potřebovat trh společně s AI.