Od roku 2024 začne i pro Česko platit směrnice Evropské unie nazvaná NIS2. Povinná kritéria kybernetické bezpečnosti se týkají přibližně šesti tisíc firem, které se v rámci směrnice nevyhnou povinným školením a opatřením snižujícím jejich zranitelnost v kybernetickém prostoru. „Představte si to trochu jako bezpečnostní školení zaměstnanců,“ říká Irena Hýsková, CEO české Thein Security, kde se kybernetickou bezpečností zabývají na nejvyšší úrovni.

„Stejně jako se na dálnici v autě nepustíte bez zapnutých bezpečnostních pásů, tak patří určitá základní pravidla pasivní bezpečnosti i na internet. Uvědomuje si to ale méně lidí, než by člověk čekal. A mnohdy si to neuvědomuje ani management velkých společností,“ upozorňuje. Na ty má přitom kybernetická kriminalita spadeno v první řadě.

Podle Hýskové podstatné riziko představuje právě lidský faktor. Lidé jsou totiž slabší článek, přes který se útočník do systému firmy dostane. A netýká se to jen běžných uživatelů, ale také nejvyššího managementu, který je předmětem útočníků velmi často. „Nemluví se o tom, ale v top managementu je spousta lidí, kteří fungují pod presem a dělají chyby – a útočníci jsou pak rychle schopni je přinutit zaplatit nemalé finance. Takovými daty se firmy nechlubí, ale realitou je, že v Česku nejsou ničím výjimečným,“ říká Hýsková v rozhovoru pro Forbes.

Jak takový útok funguje?

Hojně medializované jsou v poslední době ransomwarové útoky (hacker zablokuje data své oběti a požaduje výkupné, pozn. red.), ale hackeři útočí na mnoha dalších frontách. Mému finančnímu řediteli takhle nedávno přišel mail, v němž jsem ho žádala o velké peníze – byl to samozřejmě phishingový útok (rozesílání falešných mailů, vyzývajících k nějakému úkonu, pozn. red.), kdy se zpráva jen tvářila, že je ode mě, ale šlo o podvrh.

Finanční ředitel se tedy nachytat nenechal.

Hned se mě pobaveně ptal, kam za ty peníze pojedu na dovolenou. Tady je ale vidět princip celé problematiky: lidský faktor ve firmách takto edukován často není. Podobný phishingový mail nepozná, nevšimne si, že jde o útok, a může vystavit riziku celou společnost.

O co jde primárně v chystané legislativě NIS2?

Legislativa obsahuje širokou sféru věcí, ale především bude usilovat o to, aby dělaly firmy preventivní opatření. Ne tedy reaktivní, když už se něco stane, ale aby k ničemu nedošlo. Jde o to, aby jednatelé i běžní uživatelé byli školeni. Týkat se bude v Česku šesti tisíc firem a na dodržování bude dohlížet Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

U firem se riziko neskrývá ani tak v tom, že by někam posílaly peníze, ale jsou schopny zadat své přihlašovací údaje naprosto kamkoli. To umožňuje útočníkům vstoupit do sítě firmy a tam škodit. A přitom je to stejné, jako když dáte zlodějovi do ruky klíčky od bytu.

Jak náročné bude pro české firmy legislativě vyhovět? A kolik je to bude stát?

Rozhodující bude, nakolik je která společnosti edukovaná už dnes. V Česku je spousta firem, které nemají zabezpečení žádné, a ty bude čekat docela trnitá cesta. Neznamená to ale, že musí hned investovat miliony. Požadavky budou ale postupně narůstat, ačkoli Národní úřad pro kybernetickou a informační bezpečnost slibuje, že to bude v rozumných mezích. Především jde o změnu mindsetu – o pěstování uvědomění, že riziko kybernetického ohrožení je skutečné a stálé.

Thein už tu školicí platformu má, takže má v ruce produkt, o který bude brzy velký zájem?

Zatím ji využívají velké společnosti jako ČEZ a mnohé banky, pravda ale je, že ji brzy využije i mnoho dalších firem. Směrnice NIS2 nebude doporučovat konkrétní nástroj, ten bude na uvážení managementu.

Do vývoje podobných platforem se jistě pustí i mnoho dalších firem.

Konkurence tady je a mnoho firem už poskytuje podobné služby. My máme pod střechou přímo architekty kybernetické ochrany a celou věc se snažíme pojmout v kompletním balíku služeb: školíme lidský faktor, zabezpečujeme koncová zařízení a provozujeme dispečink, který aktivně řeší kritické útoky.

Jakým směrem se bude vaše působení spojené s novou směrnicí rozšiřovat?

Připodobnila bych to k tomu, jak to funguje ve škole: začínáme širokou uživatelskou skupinou a pak budeme přidávat další nástroje. Ke školení a klasickým stupňům ochrany, jako jsou firewally, patří další ochrana koncových zařízení, například XDR už je vyspělejší než antiviry. Místo antiviru proto nasazujeme XDRka a ta sbírají informace do našeho dispečinku. Takže koncepčně je to poskládané dobře, jako když jdete od základní školy kyberbezpečnosti až k vysoké.

Bude to v důsledku znamenat i zvýšený provoz dispečinku?

Pravda je, že NIS2 zahrnuje i takzvaný „incident management“, kdy firmy od určité velikosti budou muset hlásit zásadní incidenty do jednotného registru – a NÚKIB do Evropské unie. Může to znamenat větší provoz pro dispečink, protože velké firmy v Česku teď budou řešit tuto část, která se doposud týkala jen kritické infrastruktury státu.

Není to zbytečná administrativa?

V tomto případě ne. Útočník v kyberprostoru si běžně nevybírá jen jednu společnost, kterou by bombardoval, ale útočí plošně na všechny a někde se rybka chytne. V takovém případě platí, že když přijde útok na určitou firmu, může to znamenat, že zranitelné je v tu chvíli celé odvětví – může jít o riziko ochromení energetiky nebo telekomunikace. To by pak přicházely útoky z různých stran na celou Evropskou unii a takový registr hlášení pak dává velmi praktický smysl.

I takhle zásadní útoky přitom pořád začínají u lidského faktoru?

Podle posledních statistik dojde až k osmdesáti procentům veškerých útoků na základě toho, že uživatelé poruší základní věci a útočník se dostane do systému firmy čistě díky jejich neznalosti. Proto se školení budou muset provádět kontinuálně – jde o udržování obezřetnosti a ta se nevypěstuje tím, že si to člověk jednou přečte a zapomene na to. Je to stejné jako jednou říct „nenechávejte si počítač v autě, jinak o něj přijdete“. Protože jednoho krásného dne ho tam nakonec necháte a přijdete o něj.

Jak může takový útok vypadat, když si někdo tenhle digitální bezpečnostní pás nezapne?

Vezměte si třeba fakt, že útočníci neútočí v běžnou pracovní dobu, ale spíše večer, v noci a o víkendech. Lidé ve firmách jsou dnes navíc vesměs přetížení, a tak nezvládají rychle reagovat. Další problém je, že lidé v IT trpí podstavem. V téhle situaci si pak představte, že někdo ve firmě musí reagovat na ransomwarový útok. Jsou dvě hodiny ráno, on má napsáno, komu volat – ale má to napsané v počítači, který ten stejný útok zcela zablokoval. A to je jen začátek celé té bolesti.

Čím je firma větší, tím je asi taková polízanice vážnější.

Vezměte si, že jste v takové situaci velká mezinárodní firma a kontakty na své pobočky v Indii a v západní Evropě máte zašifrované v tom počítači. Přitom víte, že vaším úkolem je to s jejich pomocí odstřihnout, aby útok zůstal v České republice a nešířil se dál. Takovým scénářům předchází například analýza rizik a bezpečnostních incidentů. Součástí opatření je samozřejmě, že máte tyto postupy vytištěné a zavřené na bezpečných místech.

Malé firmě ale takové peklo nehrozí – a přesto bude muset směrnici vyhovět.

Stačí, že ji ohrožuje přerušení byznysové kontinuity. Vydařený útok jí zkrátka zasekne byznys. Našemu kominíkovi takhle nedávno někdo zablokoval všechny počítače – a on ztratil kontakt na všechny svoje klienty. Každý si říká, že se ho to netýká. Ale škoda vzniká i na nižších úrovních a menších firmách. Firmy si říkají, nemáme aktiva, nemáme co ztratit. Není to tak.

Které firmy vlastně investují do kybernetické bezpečnosti nejvíc?

Běžně takové, kde už byl management s kybernetickým zločinem v přímém kontaktu. A ještě víc ty, které už o nějaké peníze přišly. Vždycky se mimochodem přijde na to, kdo kritický mail otevřel. V ten moment dáváte peníze do rozpočtu, v ten moment zjistíte, že se musíte nějak chránit.