Více než 85 % úniků dat je způsobeno lidskou chybou. Zabezpečení je proto klíčovým úkolem většiny firem

Firmám chybí odborníci na kybernetickou bezpečnost a související problematiku. Petr Loužecký, CTO z firmy Algotech, varuje, že by firmy měly přípravu na nástup NIS2 zahájit co nejdříve, implementace může trvat i déle než půl roku.

Aktualizovaná směrnice o bezpečnosti sítí a informací NIS2 vstoupila v platnost již v roce 2023. Modernizovala stávající právní rámec, aby udržela krok s rostoucí digitalizací a vyvíjejícím se prostředím hrozeb v oblasti kybernetické bezpečnosti. Rozšířením oblasti působnosti pravidel kybernetické bezpečnosti na nová odvětví a subjekty dále zlepšuje odolnost a kapacity pro reakci na incidenty veřejných a soukromých subjektů, příslušných orgánů a EU jako celku.

Podniky určené jako provozovatelé základních služeb ve výše uvedených odvětvích budou muset přijmout vhodná bezpečnostní opatření a informovat příslušné vnitrostátní orgány o závažných incidentech. Klíčoví poskytovatelé digitálních služeb, jako jsou vyhledávače, služby cloud computingu a on-line tržiště, budou muset splňovat požadavky na bezpečnost a oznamování podle směrnice. V Česku se podle odhadů dotkne směrnice nejméně 6 000 soukromých i státních subjektů. Konkrétně vyžaduje, aby subjekty působící v kritických odvětvích, jako je energetika, doprava, zdravotnictví, digitální služby a řízené bezpečnostní služby (MSSP), zavedly efektivnější řízení rizik. NIS2 rovněž zavádí nová pravidla pro hlášení incidentů a systém sankcí a donucovacích prostředků.

Kybernetická rizika v číslech:

• počet vyděračských e-mailů včetně odcizení dat meziročně vzrostl o 270 % (2020 vs. 2021);
• 73 % e-mailových příloh obsahuje viry;
• 28 % uživatelů navštěvuje škodlivé webové stránky;
• 85 % úniků dat je způsobeno neúmyslnou chybou neproškolených zaměstnanců.

Phishing je druhým nejčastějším typem útoku

Phishingový útok se vyznačuje tím, že se útočník vydává za důvěryhodnou osobu (např. banku nebo osobu z vedení společnosti) a chce tak získat citlivá data. Často se jedná o falešný e-mail s požadavkem o zadání osobních údajů nebo podvodným odkazem, který spustí škodlivý kód.

Outsourcing NIS2 je levnější a bezpečnější

I vzhledem k nedostatku IT odborníků po celé Evropě je pro řadu firem příprava na novou směrnici vcelku obtížná. Podle Petra Loužeckého z Algotechu je ale pro firmy mnohem levnější a také jednodušší najmout si externího dodavatele služeb. Na tento typ poradenství je také možné čerpat dotace a ušetřit až 40 % výdajů.

Externí manažer kybernetické bezpečnosti

Využití služby manažera kybernetické bezpečnosti je pro řadu firem zajímavou alternativou. Zajistí poradenství v oblasti kybernetické bezpečnosti s ohledem na legislativu i reálné potřeby společnosti. Řídí proces implementace přijatých opatření včetně školení. Následně dodá pravidelné monitorování souladu s legislativou. Zvyšuje povědomí o kybernetické bezpečnosti a proškolí zaměstnance, zajišťuje také řízení rizik a poradenství v případě bezpečnostních incidentů od komunikace s úřady a vyšetřujícími po technické řešení.

Ověření simulovaným útokem dokáže najít slabá místa

Jednou z možností, jak odhalit slabá místa podnikové infrastruktury, je např. tzv. penetrační testování čili pentest. Jde o simulace hackerských útoků (tzv. ethical hacking), kdy se kombinují různé nástroje a scénáře, aby došlo k odhalení bezpečnostních zranitelností. Testy jsou vhodné pro státní správu i soukromý sektor všech odvětví.

Školení zaměstnanců může preventovat velkou míru rizik

Více než 85 % úniků dat je způsobeno lidskou chybou. Je proto klíčové proškolit také zaměstnance a zvýšit bezpečnost firemních dat tím jejich poučením o možných rizicích. Je dobré mít dlouhodobý plán vzdělávání a proškolit zaměstnance v kybernetické bezpečnosti a GDPR.