Debata o NIS2 je promarněnou příležitostí ke zlepšení kybernetické gramotnosti

22. 7. 2024. (redaktor: František Doupal, zdroj: ANECT)
Nový zákon o kybernetické bezpečnosti se pomalu posouvá legislativním procesem vpřed. Jde přitom o jednu z příležitostí, podívat se na debatu o novém zákonu z trochu jiného úhlu pohledu.
Ivan Svoboda, poradce pro kybernetickou bezpečnost ve společnosti ANECT

Nedávná veřejná diskuze totiž zakrývá to podstatné, a to, jestli jako společnost bereme kybernetické hrozby vážně a jak se jim dokážeme bránit nejen dnes, ale také v budoucnu.

Když se podíváme na to, jaké narativy se v souvislosti s novým zákonem o kybernetické bezpečnosti objevují, najdeme několik opakujících se témat. Zákon přináší další byrokracii, je příliš přísný a Národní úřad pro kybernetickou bezpečnost (NÚKIB) si prý uzurpuje příliš vysoké pravomoci. Dále slýcháme o vysokých pokutách a o tom, kolik to firmy bude všechno stát a že už včera bylo na přípravu pozdě.

Ve veřejné diskuzi ale bohužel zaniká to podstatné. Jako společnost jsme zaspali dobu a stále se nedokážeme probudit. Řada firem kybernetickou bezpečnost řeší pouze formálně nebo dokonce vůbec. Dnes už přitom firmy více než zamčené a hlídané kanceláře potřebují zamčené a hlídané IT, protože veškerý firemní provoz se odehrává zde. Potřebují tedy vědět, jaké dveře dovnitř sítě vedou a které z nich jsou otevřené. A ty potom zavřít a zamknout. Pokud vám totiž dnes někdo z kanceláře ukradne počítače a osobní věci, není to taková ztráta, jako když vám hackeři zašifrují firemní data.

Samozřejmě najdeme hodně firem, které si rizika uvědomují a snaží se je minimalizovat. Mimochodem, pro ně je téma NIS2 celkem marginální, zvlášť pokud se jich bude týkat režim nižších povinností. Ať totiž slýcháme cokoli, pokud někdo bude chtít pouze obstát u případné kontroly, zase tolik práce ho nečeká. Zákon je nyní nastavený tak, že při troše snahy umožňuje obstát i firmám, které nesplňují ani základní hranice kybernetické hygieny. A těch je překvapivě hodně. Vidíme to jak z naší praxe, tak z praxe dalších firem zabývajících se bezpečností, a můžeme to odvodit také z celé škály průzkumů, které téma kybernetické bezpečnosti pravidelně pokrývají.

Za firemní bezpečnost bude zodpovědné vedení. Konečně

V této souvislosti je proto pozitivní, že alespoň u firem, kterých se bude nový zákon týkat, bude za kybernetickou bezpečnost a odolnost zodpovědné vedení, konkrétně statutární zástupce. A vedení se bude muset naučit, co firmě reálně hrozí. Pro mnohé to bude budíček, ale firmám to v konečném důsledku pomůže. Manažeři firemní bezpečnosti totiž dnes často narážejí na nepochopení ze strany vedení, které v těchto výdajích vidí pouze čistý náklad. Těžko se jim vysvětluje, proč mají nabírat další lidi, investovat do nákladných technických řešení a služeb externích specialistů nebo do nepopulárních interních opatření, jako je zákaz používání osobních telefonů a počítačů, zákaz instalace programů na firemních zařízeních už na úrovni operačního systému, nebo blokace přístupu na sociální sítě či služby pro sdílení dat typu Dropbox. Doufejme, že od příštího roku, budou mít tyto diskuze zase o něco snazší.

NIS2 by měla vést především ke změně myšlení firem a zaměstnanců

Vraťme se ale k tomu, co bychom si z diskuze ohledně NIS2 měli odnést především, a to je změna pohledu na IT bezpečnost, která by se měla stát přirozenou součástí uvažování firmy. Změna by měla začít u vedení a následně se propsat do celé firemní kultury. Všichni zaměstnanci by měli alespoň v obecné rovině vědět, co firmě může hrozit, jak mají poznat podezřelé aktivity a jak se mají a nemají chovat a proč. Taková změna je totiž nakonec tou nejúčinnější a nejlevnější ochranou před hackery, bez ohledu na to, jaká technická opatření ve firmě aktuálně fungují. Sama o sobě ji neochrání, ale výrazně zvýší účinnost jednotlivých opatření tím, že útočníkům omezí prostor pro jejich aktivity.

V této oblasti je přitom stále co zlepšovat. Pouze čtvrtina zaměstnanců má aktuálně pocit, že jejich zaměstnavatel dbá na to, aby měli přehled o digitálních hrozbách. Lidé z těchto firem si přitom nejen osvojují bezpečnější pracovní návyky, ale také dokážou lépe rozeznat pokročilé phishingové podvody i v osobním životě.

Pro celou naši společnost by proto bylo dobré, aby v diskuzi ohledně NIS2 zaznívalo také to, proč je důležité brát kybernetickou bezpečnost vážně, proč vůbec zákon vzniká a že určitě máme co dohánět. Zda se regulace dotkne šesti tisíc firem, nebo 12 tisíc, jak tvrdý bude požadavek na prověřování dodavatelů a kolik papírů budou firmy potřebovat, je sice také důležité, ale zakrývá to podstatu celého problému. Tou je, jak jako společnost přistupujeme ke kybernetické bezpečnosti a jestli ji bereme dostatečně vážně. Roky se snažíme zvýšit finanční gramotnost, ale digitální gramotnost je podobně důležitá. Neměli bychom ji povinně vyučovat na školách? A jak zajistíme, abychom měli v budoucnu dostatek odborníků na oblast kybernetické bezpečnosti? Mimochodem, zákonu se mimo jiné vyčítá, že nedostatečně vyčísluje náklady na regulaci. Neměli bychom se ale bavit také o nákladech za neregulaci a pokračování v pštrosí taktice schovávání se před hrozbami měnícího se světa?

Autor: Ivan Svoboda, poradce pro kybernetickou bezpečnost ve společnosti ANECT

Štítky: 
NIS2, Anect
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Boris Hlinka (Synology): Partneři oceňují náš provázaný ekosystém

27. 11. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Borisem Hlinkou, produktovým manažerem společnosti Synology pro Českou republiku a Slovensko, jsme hovořili nejen o novinkách v portfoliu tohoto výrobce. Kromě samotných produktů jsme se zaměřili také na důležitost komplexního ekosystému, rostoucí roli modelu SaaS, význam doplňkových služeb nebo dnes všudypřítomnou umělou inteligenci. Čtěte více

Kdo chce přežít rok 2025, musí do svého IT pustit státní úředníky, umělou inteligenci a hackery

6. 1. 2025. (redaktor: František Doupal, zdroj: Eviden)
Rok 2025 se z pohledu počítačové bezpečnosti českých firem ponese v duchu tří velkých témat. Prvním bude oblast legislativy s očekávanou implementací NIS2 a zákona o ochraně utajovaných informací. Druhým tématem zůstane pronikání AI do zabezpečení IT. Poslední velkou tendencí bude penetrační testování a zapojení etických hackerů. Čtěte více

Balíček EDR a MDR od N-able přináší maximální vícevrstvou ochranu

27. 11. 2024. (redaktor: František Doupal, zdroj: Zebra systems)
Distributor řešení N-able na českém a slovenském trhu Zebra systems představil balíček kombinující řešení N-able EDR a N-able MDR s cílem poskytnout MSP partnerům nástroj pro kompletní ochranu jejich zákazníků. Nabídka vychází vstříc požadavkům směrnice NIS 2 a umožňuje MSP poskytovatelům i zákazníkům rychleji implementovat potřebná opatření. Čtěte více

Směrnice NIS2 dopadne na tuzemské podniky už začátkem příštího roku. Mají co dohánět

17. 10. 2024. (redaktor: František Doupal, zdroj: RSM)
Přibližně 6 000 institucí a firem čekají začátkem roku 2025 zásadní změny v oblasti povinností v kyberbezpečnosti. Nová evropská bezpečnostní směrnice NIS2 rozšiřuje působnost na větší počet odvětví a zahrnuje mimo jiné velké i střední podniky v kritických sektorech jako energetika, doprava, zdravotnictví, finance a digitální infrastruktura. Čtěte více