English version
Letos v únoru hackeři na celý den paralyzovali českou justici. Útočníci přetížili klíčové servery a způsobili výpadky nejen webových stránek ministerstva spravedlnosti a soudů, ale také databáze soudních jednání, insolvenčního rejstříku či portálu státního zastupitelství. Ministerstvo spravedlnosti přiznalo, že za nefunkčností systémů stál sofistikovaný kybernetický útok.
Mnohem déle se s důsledky rozsáhlého kybernetického útoku vyrovnávaly před třemi lety některé české nemocnice. Hackeři napadli například nemocnici v Benešově nebo brněnskou fakultní nemocnici u sv. Anny. Zašifrovali jejich data a požadovali za jejich opětovné zpřístupnění výkupné. Útoky na zdravotnická zařízení se ve světě množí. Nemocnice kvůli nim nemohou poskytovat pacientům adekvátní péči, což může v některých případech skončit i zbytečným úmrtím.
Nebezpečná zadní vrátka
Kybernetické útoky se nevyhýbají ani průmyslovým firmám. Jsou dokonce mezi hlavními cíli útoků, jejichž podstatou je vydírání a získání výkupného výměnou za obnovení kontroly nad firemními daty a podnikovými systémy. Na výrobní firmy směřovala loni skoro třetina z těchto incidentů, uvádí pravidelný report IBM Security X-Force. Jsou totiž nejcitlivější na jakékoliv narušení provozu, které se pak může snadno přenést do celého dodavatelského řetězce.
„Firmy mohou přijít o přístup k datům, zastaví se jim stroje, nebudou moci komunikovat s dodavateli a odběrateli. Během takového výpadku se mohou škody ze zastavení výroby šplhat i do milionů nebo desítek milionů korun,“ vysvětluje Ondřej ferdus, ředitel Útvaru digitální ekonomiky a technologií Svazu průmyslu a dopravy ČR.
Na koho dopadne směrnice o kybernetické bezpečnosti
Vyšší nároky na bezpečnost (velké podniky poskytující služby vymezené v příloze 1 směrnice NIS2)
- Energetika
- Přenos a distribuce elektřiny, výroba a obchod s elektřinou
- Teplárny
- Provozovatelé ropovodů, skladů a refinérií ropy
- Přeprava a distribuce plynu, obchod s plynem
- Výroba, přeprava a skladování vodíku
- Doprava
- Letečtí dopravci, řízení letišť, řízení leteckého provozu
- Železnice
- Plánování, kontrola a správa silnic
- Finanční služby
- Bankovnictví
- Infrastruktura finančních trhů
- Zdravotnictví
- Nemocnice
- Farmaceutický průmysl
- Výroba a distribuce pitné vody
- Nakládání s odpadní vodou
- Digitální infrastruktura
- Poskytovatelé řízených ICT služeb
- Veřejná správa
Nižší nároky na bezpečnost (střední podniky poskytující služby vymezené v příloze 1 směrnice NIS2 a velké podniky poskytující služby stanovené v příloze 2 směrnice NIS2)
- Poštovní služby
- Odpadové hospodářství
- Chemický průmysl
- Potravinářství
- Poskytovatelé digitálních služeb
- Výzkumné organizace
- Průmysl
- Výroba zdravotnické techniky
- Výroba počítačů, elektronických a optických přístrojů
- Výroba morotových vozidel
Nejčastěji se hackeři dostávají do podnikových sítí pomocí phishingových útoků. Často také využívají zadní vrátka, která jim umožní obejít bezpečnostní mechanismy. Buď se nabourají do systému prostřednictvím slabých míst, která vytvořili sami programátoři systémů například kvůli snadnější údržbě, nebo je vytvoří sami instalací škodlivého softwaru.
Přístup do firemní sítě a k firemním datům útočníci prodávají. V internetových aukcích za takový přístup zločinecké organizace platí od 5 do 10 tisíc dolarů. Výjimkou není ani cena 50 tisíc dolarů, uvádí report IBM. Schopnosti hackerů vytvořit si cestu do podnikových systémů se v posledních letech výrazně zlepšily. Zatímco v roce 2019 trvala v průměru příprava zadních vrátek dva měsíce, o dva roky později už to hackeři zvládli za necelé čtyři dny.
Nové povinnosti pro tisíce firem
Rozsah používání digitálních systémů a technologií v dnešní společnosti vyžaduje systematický přístup ke zvyšování kybernetické bezpečnosti. Evropská unie loni schválila směrnici o kybernetické bezpečnosti NIS2, která výrazně rozšiřuje počet firem a institucí, které budou muset zajistit adekvátní ochranu svých informačních systémů. Místo nynějších čtyř set se budou v Česku povinnosti vztahovat na více než šest tisíc subjektů. Do přípravy směrnice se aktivně zapojil také Svaz průmyslu, a to jak na evropské, tak na národní úrovni.
„Růstem počtu regulovaných subjektů se zvýší odolnost celé infrastruktury a tím i bezpečnost naší země a našich obyvatel,“ vysvětluje Adam Kučínský, ředitel odboru regulace Národního úřadu pro kybernetickou bezpečnost (NÚKIB). Úřad už pracuje na převedení směrnice do národního práva.
Svaz pomůže se vzděláváním firem
Svaz průmyslu pomůže firmám, aby se mohly včas na povinnosti vyplývající ze směrnice NIS2 a nového zákona o kybernetické bezpečnosti připravit. Už jedná s NÚKIB o možné spolupráci při vzdělávání firem, která by navázala na úspěšnou svazovou akademii GDPR. Samotný NÚKIB bude vydávat metodiky a podpůrné materiály, z nichž budou podniky moci čerpat potřebné informace.
Na nové povinnosti se mohou firmy začít připravovat, protože kritéria pro zařazení do jednotlivých skupin regulovaných subjektů jsou známá včetně okruhu povinností, které budou muset plnit. V případě nejasností se firmy mohou obracet na Kateřinu Kalužovou (kkaluzova@spcr.cz) ze Svazu průmyslu.
Kybernetické hrozby jsou stále sofistikovanější a rozšířenější, a proto je nezbytné, aby firmy přijaly odpovídající opatření k ochraně svých informačních systémů. Nová regulace je bude nutit, aby minimalizovaly riziko kybernetických útoků a zajistily bezpečnost svých dat a systémů.
„Od firem žádá, aby prováděly pravidelné audity, vyhodnocovaly rizika a přijímaly opatření k prevenci a odstraňování bezpečnostních rizik,“ říká Ondřej ferdus ze Svazu průmyslu a dopravy ČR.
České firmy si jsou hrozeb vědomy. Více než tři čtvrtiny podniků, které se zúčastnily loňského průzkumu Svazu průmyslu o zavádění Průmyslu 4.0, považuje za největší digitální hrozbu kybernetický útok. Zlepšení kybernetické bezpečnossi daly za jeden z hlavních digitál-ních cílů téměř dvě třetiny firem. Roste také podíl firem, které užpodnikají kroky k většímu zabezpe-čování dat a interních systémů.
Dvě skupiny firem
Směrnice NIS2 a na jejím základětaké český zákon o kybernetickébezpečnosti rozdělí firmy na dvěskupiny. Velké podniky a instituce, které jsou klíčové pro fungovánístátu, budou muset plnit přísnějšípovinnosti. Jde o firmy z oblasti energetiky, dopravy, bankovnictví,zdravotnictví, vodohospodářství, provozovatele digitální infrastruktury či infrastruktury finančních trhů a veřejnou správu. Na středně velké firmy v těchto odvětvích se budou vztahovat nižší nároky.
Užší okruh povinností se bude vztahovat také na velké a střední firmy, které směrnice a zákon identifikují jako důležité pro fungování státu. Mezi ně patří poskytovatelé poštovních služeb, firmy z odpadového hospodářství, chemického průmyslu, potravinářství, ale také například výrobci zdravotnické techniky, motorových vozidel či počítačů a elektronických přístrojů. Menší povinnosti se budou týkat také poskytovatelů digitálních služeb.
Svaz průmyslu dlouhodobě upozorňuje, že ne každá společnost má finanční zdroje nebo personální kapacity na vybudování speciálního oddělení pro řešení kybernetické bezpečnosti. „Regulace zvýší také administrativní zátěž, která je už nyní pro firmy obrovská. Klíčové proto bude vzdělávání firem v oblasti kybernetické bezpečnosti, které budou nově spadat do působnosti zákona,“ upozorňuje Milena Jabůrková, viceprezidentka Svazu průmyslu.
Obecně platí, že dnes jsou na plnění povinností lépe připraveny velké firmy a nadnárodní společnosti, které často už mají zavedené postupy a týmy zabývající se kybernetickou bezpečností. U středních firem se situace může lišit. „Je možné, že některé z nich budou muset investovat do posílení svých kybernetických bezpečnostních opatření a mohou potřebovat více podpory a vzdělávání pro zvýšení své bezpečnosti,“ dodává Ondřej Ferdus.
Aktivní svaz průmyslu
Práce na novém zákoně o kybernetické bezpečnosti, který směrnici převede do českého práva, už běží. NÚKIB v lednu vyhlásil veřejnou konzultaci k záměru zákona. Přes tisíc připomínek dostal od více než stovky institucí. Svaz průmyslu se do konzultace od začátku zapojil. Za problematickou mimo jiné považuje povinnost lokalizace uložených dat.
„Je to čistě česká úprava, která nevychází z NIS2. Požadavky na ukládání dat na českém území popírají základní principy evropského trhu a jsou v rozporu s unijní Strategií kybernetické bezpečnosti,“ uvádí Ondřej Ferdus.
Hlášení útoků pomůže chránit ostatní
Firmy a instituce, které budou spadat pod nový zákon o kybernetické bezpečnosti, budou muset hlásit NÚKIB všechny kybernetické bezpečnostní incidenty, a to bezodkladně po jejich zjištění.
„Data z incidentů jsou pro nás cennými informacemi, ze kterých jsme schopni pomoci subjektům identifikovat, k jakému druhu útoku došlo, jaký měl dopad a jaká je třeba provést nápravná opatření,“ vysvětluje Adam Kučínský, ředitel odboru regulace NÚKIB.
Úřad bude díky hlášení schopen lépe cílit upozornění konkrétním sektorům či subjektům, na které by podobný útok mohl být veden nebo mohou být vůči podobnému útoku zranitelné. Kromě veřejně vydávaných upozornění úřad už nyní pro tuto komunikaci využívá automatické nástroje a neveřejný informační systém.
Nad rámec směrnice NÚKIB do zákona zařadil také mechanismus pro prověřování dodavatelského řetězce, aby dodávky technologických prvků pro strategickou infrastrukturu státu neposkytovaly nedůvěryhodné firmy nebo společnosti z bezpečnostně rizikových zemí. „Zásadní bude, aby systém prověřování byl jasný, pro byznys předvídatelný a aby nenarušil investiční a technologické cykly,“ dodává Ondřej Ferdus.
Svaz průmyslu je připraven tlumočit připomínky byznysu v mezirezortním připomínkovém řízení a zapojí se také do dalších kroků při schvalování zákona. Do poslanecké sněmovny by se měl dostat na konci letošního roku. Platit by měl od října 2024.
Převzato ze speciální přílohy časopisu Svazu průmyslu a dopravy České republiky Spektrum (2Q/2023). Autor: Jan Stuchlík
