Martin Půlpán (České Radiokomunikace): Už teď je pozdě. Podceňovat kybernetickou bezpečnost je reputační vabank

Nedávno vešla v platnost směrnice NIS2. Jakým způsobem se firem dotkne?

Směrnice NIS2 platí už od prosince 2022, kdy ji přijala Evropská komise a ratifikoval Evropský parlament. Ta zavázala státy Evropské unie k tomu, aby přijaly místní legislativu. U nás jde o novelu zákona o kybernetické bezpečnosti, která by měla být přijata do 17. října, což se tedy zřejmě nepodaří. Účinnost by ale měla začít platit nejpozději od ledna, tak doufejme, že se to z legislativního hlediska podaří trochu prošlápnout.

Novela nastavuje povinnosti kybernetické bezpečnosti pro mnohem větší spektrum firem než původní zákon. Dotkne se více než 6 000 podniků, které budou spadat přímo pod novelu, a další tisíce subjektů, kterých se novela týká nepřímo. Významné specifikum novely je totiž to, že řeší i bezpečnost dodavatelského řetězce, tedy subjektů, kterých se sice novela přímo netýká, ale kteří budou muset změny také zavést, pokud budou chtít dále dodávat služby nebo produkty klientům, kterých se novela dotýká.

Z vaší zkušenosti, jsou firmy, kterých se změny týkají, připravené?

Abych řekl pravdu, moc ne. Spousta podniků vyčkává až do přijetí zákona, což je ovšem problém, protože v okamžiku, kdy nabude účinnost, platí pro firmy samoohlašovací povinnost; musí samy zhodnotit, do jaké kategorie určené novelou spadají. Poté mají přibližně roční lhůtu na to, aby splnily všechny zákonné podmínky. Zdá se to jako spousta času, ale ve skutečnosti to není tak jednoduché. Na nejnižší vyžadované úrovni souladu je třeba splnit 12 základních požadavků, na vyšší úrovni potom přibližně 25. Vyžaduje to samozřejmě nejen nastavení kybernetické bezpečnosti jako takové, ale i procesů, řízení rizik a samozřejmě také dokumentaci, která je nedílnou součástí novely. Firma musí své procesy popsat, to je základ. Jedním z požadavků zákona mimo jiné je, aby si podniky provedly GAP analýzu, porovnání toho, v jakém stavu kybernetické bezpečnosti jsou nyní a do jakého se chtějí dostat.

Musí tak vlastně řešit různé malé projekty, eliminovat rizika a dostat se postupně do souladu s novelou. Zabere to hodně času a firmy, které začnou teprve teď, už budou mít co dělat, aby se stihly do souladu s nařízením včas dostat. Není na co čekat.

To zní jako měsíce práce.

Jen ta příprava, to znamená GAP analýza, analýza rizik a vznik úvodní dokumentace se pohybuje řádově od tří měsíců do šesti. Záleží samozřejmě na tom, jak je firma velká i na tom, jaká je součinnost na celém procesu přípravy nejen s IT oddělením, ale i s managementem firmy. Role managementu je v tomto případě nezastupitelná – pokud chce firma do budoucna celou problematiku správně uchopit, pak musí management do řízení kybernetické bezpečnosti nezbytně zařadit.

Co je naprosté minimum pro soulad s NIS2, respektive novelou kybernetické bezpečnosti?

Naprosté minimum je oněch 12 kritérií, která se zabývají technickou částí – segmentací sítě, logováním, zabezpečením a správou administrátorských účtů, šifrováním dat a podobně. K tomu je nutné v rámci firmy ustanovit proces řízení kybernetické bezpečnosti, vyhodnotit rizika, dopracovat povinnou dokumentaci a procesy přehledně popsat.

Vyplatí se firmám obecně investovat do vyššího standardu kybernetické bezpečnosti?

To už dnes není otázka, jestli se to vyplatí nebo nevyplatí investovat do kybernetické bezpečnosti. Otázkou je, jestli firma chce přežít nebo nechce. Kybernetická bezpečnost je naprosto esenciální část byznysu. Zaprvé je to konkurenční výhoda, ale především v dnešním propojeném světě, kde všechno závisí na IT, jinak moc fungovat ani nejde. Podceňování kybernetické bezpečnosti se firmám může velmi vymstít – v lepším případě jim vzniknou „jen“ finanční ztráty a poškození image, reputace firmy, v horším případě ale mohou klidně skončit úplně. Už jsem takové případy zažil, kdy firma vlivem vlastně úplně triviálního kybernetického útoku přišla o důvěru zákazníků nebo obchodních partnerů – a do půl roku byl konec.

Kybernetická bezpečnost je základ, který dnes už musí mít všechny firmy, které nějakým způsobem pracují se sítěmi, s online prostředím – a to je naprostá většina. Firmy, které kybernetickou bezpečnost nepodceňují, už se většinou staly obětí kybernetického útoku.

Jsou na tom české firmy v porovnání se světem spíš lépe nebo hůř?

To záleží, jde například i o to, jak funguje právní systém. V anglosaských zemích je díky precedentnímu právu jiný přístup k managementu. Ochota investovat do kybernetické bezpečnosti je tu daleko vyšší, protože existují precedenty, kdy manažer či jednatel společnosti byli odsouzeni k vysokým pokutám nebo i vězení za to, že nekonali, když měli – jde o stovky, možná tisíce případů. Toto vyvození odpovědnosti je silným motivátorem. V novele kybernetického zákona se tento přístup už trošku projevuje, osobní zodpovědnost jednatelů a manažerů je zde akcentována. Záleží ale, jak to bude česká justice řešit a jak to NÚKIB bude kontrolovat.

Jak České radiokomunikace pomáhají firmám s kybernetickým zabezpečením?

České radiokomunikace mají sadu služeb, která může přímo pomoci firmám, na které se bude zákon o kybernetické bezpečnosti nově vztahovat. A nejenom těm, jsme připraveni asistovat také společnostem, na které bude platit evropské nařízení DORA, což jsou například různé finanční instituce a nově třeba firmy, které obchodují s kryptoaktivy. Naše služby firmám pomohou zajistit, že proběhnou a správně se nastaví veškeré nutné procesy, že se vytvoří správná dokumentace a samozřejmě nabízíme i technická a technologická řešení, třeba managovaný firewall, penetrační testy a podobně, zkrátka celé portfolio služeb. Je o ně velký zájem, který neustále roste a čekáme, že ve chvíli, až novela začne platit, ještě se poptávka zvýší. To už je ale bude trochu problém, odborníků na kybernetickou bezpečnost je u nás žalostně málo.

Takže nebude kapacita?

Kdo nezačne teď, bude později velmi těžko shánět někoho, kdo mu pomůže dostat se do souladu s novelou. Vzniknou samozřejmě desítky firem, které jakoby „rozumí“ kybernetické bezpečnosti, ale tohle není záležitost, co se dá naučit za měsíc. Vyžaduje léta zkušeností a praxe. Není to jako GDPR, je tu spousta technických náležitostí, které se nedají obejít a vyžadují poměrně hlubokou znalost bezpečnostních technologií, plus schopnost analyzovat a odstranit rizika a určité analytické dovednosti. To už je spousta znalostí a schopností a není zrovna jednoduché dát vše dohromady na úrovni firmy.

Pro jaké firmy jsou služby ČRA určeny?

Specializujeme se na střední a menší podniky. Zvládneme i velké korporace, ale není to naše primární zaměření.

V posledních letech jsou populární hlavně primitivní DDoS útoky a sociální inženýrství. Přetrvává tento trend?

No, ono už ani DDoS útoky dnes primitivní nebývají, často jsou docela sofistikované a míří na konkrétní zařízení. I DDoS útok může být dost zákeřná věc, která poslouží k tomu, aby se bezpečnostní infrastruktura oběti „rozkolísala“, díky tomu tam mohli hackeři nepozorovaně proniknout. S rozvojem AI dál stoupá komplexita útoků, schopnosti hackerů se zvyšují, ale nejen to – právě díky AI už dnes dokážou poměrně efektivně útočit i lidi, kteří nemají background v programování a podobně. Stoupají počty ATP útoků či útoky na velmi zranitelný Active Directory.

Útoky navíc bývají často latentní – jde jen o průnik, hacker pak v klidu čeká na aktivaci, až bude mít vhodnou možnost využití. Škoda může vzniknout klidně za půl roku, za rok od získání přístupu do sítě napadeného subjektu.

Populární je samozřejmě i phishing. Způsob, jak se do sítí proniká, bývá vlastně velmi primitivní, je to založené jednoduchých kobercových náletech phishingových útoků, z nichž se poté distribuuje malware. A vždy se někdo chytí.

Je i nadále problém ransomware?

Je to velký problém, dnes jde o nejrozšířenější malware. Za pár dolarů ho navíc bez problémů koupíte na dark netu. Dnes navíc kód bývá metamorfní, je velmi těžké ransomware detekovat, starší metody jako fingerprinting už dnes nefungují spolehlivě. Dnes je důležité logovat a sledovat anomálie, což je něco, s tím právě novela kybernetického zákona počítá. S tím může pomoci jak třeba různý open source software, tak také AI, tentokrát tedy obráncům místo útočníků. Klíčové je monitorovat pohyb v síti a velmi rychle reagovat. I když se podaří spoustu incidentů při správných procesech vyřešit automaticky, zbývá dost takových, které vyžadují skutečného experta se zkušenostmi a erudicí, který na síť dohlíží. Antivirus dnes rozhodně nestačí, potřebujete sofistikovanější software nejen na detekci, ale například také reaktivní software, který po detekci útoku izoluje napadený segment sítě.

Jaký je váš názor na testování připravenosti zaměstnanců, například v podobě rozeslání falešných e-mailů s infikovanými přílohami? Má to smysl?

Smysl to určitě má, člověk je nejkritičtější a nejzranitelnější částí kybernetické bezpečnosti, u uživatele to všechno začíná. Jde o neustále vzdělávání, neustále zlepšování dovedností uživatelů. Je dobré na to klást důraz. Co dobře funguje, je například nahlašování phishingových e-mailů přes integrované tlačítko v Outlooku, i když si třeba uživatel není jistý. Průběžné testování funguje velmi dobře, ale zase to nesmí být šikana – uživatele je nutné motivovat pozitivně, vysvětlit, co udělal dobře, co špatně, co příště provést jinak.

Phishingové maily mají dnes vlivem AI často gramaticky správnou češtinu, dobrou grafiku a opravdu mohou vypadat jako originální e-mail od relevantní organizace. I proto je důležité vysvětlit zaměstnancům, aby se podívali na hlavičku mailu, aby si ověřili, že jde mail ze správné domény a podobně. V praxi je velmi snadné to přehlédnout a hned je problém. Častý problém je, že se vám někdo nabourá do e-mailového serveru, kde už může modifikovat faktury, odesílat zprávy vaší databázi zákazníků a podobně. Připravuje vás pak nejen o peníze, ale hlavně reputaci.

Děje se to často?

Velmi často. V poslední době jsem se setkal s mnoha případy tohoto typu, kdy byl e-mailový server nedostatečně zabezpečený nebo neopatchovaný, hacker využil roky starou, dobře známou zranitelnost a převzal administrátorská práva. Poté, co je server jednou překonán, už se tomu špatně brání: I když třeba posléze e-mailový server zabezpečíte a vrátíte ho pod svou kontrolu, hackerovi už nic nebrání, aby si vytvořil velmi podobnou doménu jako vy (liší se třeba jen koncovkou nebo přesmyčkou znaků) někde na Panamských ostrovech, kde je nedosažitelný a odkud může vašim zákazníkům klidně posílat falešné faktury. Pro firmu jde o krutou ránu, může kompletně ztratit důvěru zákazníků.