[Partnerský podcast] České firmy se musí připravit na několik kyberbezpečnostních regulací, které by měly začít platit od roku 2025. Směrnice NIS2 a nařízení DORA přinášejí nové povinnosti a také standardizaci kybernetické bezpečnosti. Co přesně se změní, koho se změny dotknou a jak se na ně připravit? O tom jsme mluvili s kyberbezpečnostními experty Vlastimilem Pacltem a Vojtěchem Machoněm ze společnosti NTT DATA.
Část rozhovoru vám nabízíme v textové podobě, celý si jej můžete poslechnout ve formě podcastu na službách Spotify, Apple Podcast a dalších nebo přímo zde:
NIS2 naši čtenáři znají, ale o nařízení DORA se tolik nepíše a nemluví. Pojďme si na začátek říct, co je to NIS2, co je DORA a jak se od sebe liší.
Vojtěch Machoň (VM): NIS2 a DORA jsou, dalo by se říct, spojené nádoby. Obě se týkají bezpečnosti informací a správy bezpečnosti a rizik v rámci společností. DORA je zaměřená primárně na finanční, pojišťovnický a investiční sektor, zatímco NIS2 je zaměřená primárně na kritickou infrastrukturu a velké organizace, které nějakým způsobem mohou ovlivnit ekonomiku a fungování celé společnosti.
Kolika firem se tyto dvě regulace dotknou?
VM: Každé z těchto nařízení má jasně definovaná pravidla, koho se týkají. Na naši nedávnou konferenci NTT DATA Security Club jsme měli pozvané i zaměstnance NÚKIBu a padla informace, že NIS2 se bude v rámci České republiky týkat až deseti tisíc firem, což je poměrně dost. U DORA to bude menší počet, protože se dotýká jenom finančního sektoru.
Nicméně pokud vím, DORA se nedotkne jen třeba bank, ale také firem, které jim dodávají IT služby. Takže i tady půjde o poměrně velkou řádku firem.
VM: Přesně tak. Některá pravidla dopadají přímo na regulované organizace, ale pak je tady dodavatelský řetězec, u kterého se dá těžko odhadnout, kolika firem se regulace přesně dotkne. Ale myslím, že v rámci České republiky můžeme říct, že se dotkne všech společností, které nějakým způsobem pracují s informačními technologiemi, s informační bezpečností a obecně s tokem informací. To mohou být desítky tisíc společností, ačkoliv ne všechny budou zasaženy tak přísnými pravidly, jako například kritická infrastruktura a podobně.
Co největšího se pro firmy z hlediska kyberbezpečnostní směrnice NIS2 změní?
VM: Změn je několik, nicméně musíme zmínit, že zákon o kybernetické bezpečnosti je teprve v Poslanecké sněmovně, takže ještě neznáme jeho finální změní. Nicméně jsou zde jasně daná pravidla pro velké, kritické organizace. A pak jsou omezenější, volnější pravidla pro zbytek firem.
NIS2 a DORA navíc mají společné, že předpokládají odpovědnost nejvyššího managementu – CEO, CTO, CISO a podobně, za řešení problémů správy rizik v rámci společnosti. Pak jsou tam finanční pokuty za porušení povinností, které mohou dosáhnout až dvou procent z ročního obratu a až 250 milionů korun. A největší změna se týká dodavatelského řetězce. Každá společnost má spoustu dodavatelů. A právě na vztahy s nimi asi regulace nejvíce dopadnou.
Takže, pokud to chápu, nebude stačit si vyřešit svoje vlastní systémy, ale budete muset nějakým způsobem řešit i systémy všech svých dodavatelů a jejich dodavatelů a podobně?
VM: Přesně tak. Netýká se to jen technických, ale i organizačně procesních a právních záležitostí. Firmy budou muset aktualizovat stávající smlouvy se subdodavateli. Bude se to týkat screeningu subdodavatelů v tom, jestli dostatečně plní podmínky regulací. Z logiky věci se dá předpokládat, že největší organizace budou požadovat, aby jejich subdodavatelé dodržovali poměrně striktní podmínky.
To je také zajímavá změna. Myslel jsem si, že management firmy je zodpovědný za kyberbezpečnost už teď, ale jestli to dobře chápu, ona odpovědnost teď bude větší.
VM: Ano, přesně tak. Důležité přitom je, že ne všichni lidé z vyššího managementu mají v té oblasti kybernetické bezpečnosti a informačních technologií dostatečné znalosti. Takže může dojít k tomu, že je někdo odpovědný za něco, čemu pořádně nerozumí. V každé organizaci je proto nutné nastavit jasná pravidla a definovat jasné procesy. A to všechno bude dopadat i na subdodavatelský řetězec. Takže třeba ačkoliv vy jako velká organizace plníte všechny závazky bez problémů, ale váš subdodavatel ne, nakonec povinnost compliance ve finále vždycky dopadne na vás.
Nastínili jsme ve stručnosti, jaké změny přijdou a co všechno budou muset firmy splnit. Pojďme se teď podívat na to, jak to mají udělat a jak konkrétně se mají začít chystat. Příslušné zákony sice ještě neprošly parlamentem, ale není už možná na přípravu trošku pozdě?
Vlastimil Paclt (VP): To záleží na tom, jaká firma jste. Všechny budou muset identifikovat, do jaké skupiny budou spadat. NIS2 předpokládá dva režimy povinností: vyšší a nižší. Ten vyšší režim bude samozřejmě daleko přísnější a bude cílen na ty největší firmy v rámci České republiky. Prvním krokem je pro firmy assessment, vyhodnocení.
Nedělám si iluze a myslím, že menší nebo středně velké firmy kybernetickou bezpečnost v rámci pravidelných auditů nebo různých risk analýz úplně nezohledňovaly. Rozhodně musí provést analýzu rizik a analýzu svých aktiv, a to nejen hardwaru, ale i softwaru a dat, což je velice podceňovaná oblast. To by měl být krok číslo jedna, aby si dokázaly představit, na čem jsou a kde mají různé šedé zóny, kde naopak nemají procesně vůbec nic podchyceno.
Jak taková analýza rizik konkrétně vypadá? Stačí si udělat seznam používaných systémů a zařízení, nebo je potřeba jít víc do hloubky?
VP: Rozhodně je potřeba jít víc do hloubky, ale v první řadě musíme vědět, u jakých aktiv musíme do té hloubky jít, čili jaká máme hardwarová aktiva, softwarová aktiva, ale aktiva mohou být i lidé. Setkali jsme se s tím, že přišel covid, najednou chyběli lidi a analýza rizik na to, že nebudeme mít lidi, neexistovala. Je potřeba opravdu podchytit ji ze všech stran.
Firma, která má v rámci republiky více poboček a na některé z nich provozuje kriticky důležitý systém, by měla zohlednit třeba i to, jak se k němu v případě nějakého problému někdo fyzicky dostane. Jestli jejich byznysu stačí, a teď to trošku odlehčím, jet tam čtyři hodiny po D1, nebo jestli v okolí třeba není nějaký partner, který by v rámci nějaké kritické situace mohl pomoct. Takové věci si firma obvykle uvědomí až ve chvíli, kdy ten problém nastane.
Mívají z vaší zkušenosti už dnes firmy analýzy rizik zpracované, nebo teď budou muset začít od začátku?
VP: Většina firem analýzu do nějaké úrovně má, ale často ne do dostatečné hloubky. Třeba v případě kritických systémů se nedá říct, že všechny stroje mají stejnou důležitost. Tak to zkrátka není. Ale analýza rizik většinou přesně na této úrovni končí. Říká, že firma má kritickou infrastrukturu, může jít o stovky nebo tisíce systémů a ty jsou stejně důležité. Ale ve chvíli, kdy se něco skutečně stane, jeden z těch systémů třeba spadne a je nedostupný, si najednou uvědomí, že jeden systém je možná důležitější než druhý. Problém je, že nešli v analýze dostatečně do hloubky.
Jestli to dobře chápu, tak se analýza netýká jenom kyberbezpečnostních hrozeb, ale vlastně celého fungování firmy. Je to tak?
VP: Přesně tak. Firma musí zajistit, jak svůj byznys obnovit, když se něco stane. Netýká se to jenom kybernetické bezpečnosti, jde o celkové IT, fyzickou bezpečnost, personální záležitosti, nebo třeba i výpadky dodavatelů.
To asi nebude úplně jednoduché slohové cvičení na jednu A4, kterou si pak vytisknu a založím do šanonu. Máte zkušenosti, jak se tyto analýzy řeší v zahraničí a jak dlouho třeba jejich vypracování u nějaké středně velké firmy trvá?
VP: Máme zkušenosti od kolegů z Belgie nebo z Německa, kteří už audity kvůli NIS2 provádějí na pravidelné bázi. Assessmenty jsme schopní vyhodnotit i my, ale nemáme ještě finální znění nového kyberbezpečnostního zákona, takže jsou pořád trochu otevřené. Už máme kostru toho, jak budou vypadat, ale zatím ještě čekáme, jaké „dárečky“ si pro nás připraví zákonodárci. Výhoda NTT DATA je, že jsme druhý největší security partner na trhu a assessmenty děláme pravidelně.
Co by tedy firmy měly dělat už teď, aby se připravily na situaci, až budou všechny zákony schválené?
VP: Jednoznačně by měly začít od organizace, jestli jsou na změny připravené kapacitně. Specialistů na bezpečnost není na trhu moc a firmy musí být připravené na to, že někdo bude muset kybernetické záležitosti řešit. Věc číslo jedna je mít lidi.
Je skutečně potřeba mít na to ve firmě nějakého dedikovaného člověka? Nedá se to outsourcovat?
VP: Záleží na velikosti té firmy. U střední nebo menší společnosti se samozřejmě můžeme bavit o nějaké externí pomoci. My na to také máme připravené kapacity. Na druhou stranu firem, které to budou potřebovat řešit, bude velice pravděpodobně enormní množství a kapacity externích dodavatelů se rychle vyčerpají. A pak firmy budou muset shánět lidi na prázdném trhu, kde už skoro nikdo nebude.
VM: Často se setkáváme s tím, že firmy mají papír a tím to pro ně hasne. Splnili jsme podmínky, definovali jsme procesy, definovali jsme lidi a to stačí. Ale organizace je dynamický organismus, pořád se v ní něco mění, vznikají nové projekty, nové systémy, společnosti se rozšiřují, nebo naopak zmenšují, mění se jejich vedení a podobně. Proto je potřeba analýzy pravidelně refrešovat. To, co v organizaci platilo před rokem, nebude platit za rok. Analýzy rizik jsou nekončící proces. A tohle všechno, i když třeba v menší míře, bude dopadat i na dodavatelský řetězec. V dnešní době není nic statické.
Co by měly firmy dělat po analýze rizik? Jak mají zkontrolovat všechny své dodavatele? Nezbude z nové regulace jen spousta „papírů“, které v praxi nic nezmění? Dají se nějakým způsobem zautomatizovat kyberbezpečnostní prověrky, jako jsou penetrační testy? Co se zastaralým softwarem, třeba v průmyslových aplikacích? Stačí k ochraně dat jen firemní údaje zašifrovat? Jaké vektory útoků dnes firmám nejčastěji hrozí? A proč jsou útoky na GPS rizikem i pro IT společnosti?
Celý rozhovor s Vlastimilem Pacltem a Vojtěchem Machoněm ze společnosti NTT DATA si můžete poslechnout ve formě podcastu:
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU