Debata o NIS2 je promarněnou příležitostí ke zlepšení kybernetické gramotnosti

21. 7. 2024. (redaktor: František Doupal, zdroj: ANECT)
Nový zákon o kybernetické bezpečnosti se pomalu posouvá legislativním procesem vpřed. Jde přitom o jednu z příležitostí, podívat se na debatu o novém zákonu z trochu jiného úhlu pohledu.
Ivan Svoboda, poradce pro kybernetickou bezpečnost ve společnosti ANECT

Nedávná veřejná diskuze totiž zakrývá to podstatné, a to, jestli jako společnost bereme kybernetické hrozby vážně a jak se jim dokážeme bránit nejen dnes, ale také v budoucnu.

Když se podíváme na to, jaké narativy se v souvislosti s novým zákonem o kybernetické bezpečnosti objevují, najdeme několik opakujících se témat. Zákon přináší další byrokracii, je příliš přísný a Národní úřad pro kybernetickou bezpečnost (NÚKIB) si prý uzurpuje příliš vysoké pravomoci. Dále slýcháme o vysokých pokutách a o tom, kolik to firmy bude všechno stát a že už včera bylo na přípravu pozdě.

Ve veřejné diskuzi ale bohužel zaniká to podstatné. Jako společnost jsme zaspali dobu a stále se nedokážeme probudit. Řada firem kybernetickou bezpečnost řeší pouze formálně nebo dokonce vůbec. Dnes už přitom firmy více než zamčené a hlídané kanceláře potřebují zamčené a hlídané IT, protože veškerý firemní provoz se odehrává zde. Potřebují tedy vědět, jaké dveře dovnitř sítě vedou a které z nich jsou otevřené. A ty potom zavřít a zamknout. Pokud vám totiž dnes někdo z kanceláře ukradne počítače a osobní věci, není to taková ztráta, jako když vám hackeři zašifrují firemní data.

Samozřejmě najdeme hodně firem, které si rizika uvědomují a snaží se je minimalizovat. Mimochodem, pro ně je téma NIS2 celkem marginální, zvlášť pokud se jich bude týkat režim nižších povinností. Ať totiž slýcháme cokoli, pokud někdo bude chtít pouze obstát u případné kontroly, zase tolik práce ho nečeká. Zákon je nyní nastavený tak, že při troše snahy umožňuje obstát i firmám, které nesplňují ani základní hranice kybernetické hygieny. A těch je překvapivě hodně. Vidíme to jak z naší praxe, tak z praxe dalších firem zabývajících se bezpečností, a můžeme to odvodit také z celé škály průzkumů, které téma kybernetické bezpečnosti pravidelně pokrývají.

Za firemní bezpečnost bude zodpovědné vedení. Konečně

V této souvislosti je proto pozitivní, že alespoň u firem, kterých se bude nový zákon týkat, bude za kybernetickou bezpečnost a odolnost zodpovědné vedení, konkrétně statutární zástupce. A vedení se bude muset naučit, co firmě reálně hrozí. Pro mnohé to bude budíček, ale firmám to v konečném důsledku pomůže. Manažeři firemní bezpečnosti totiž dnes často narážejí na nepochopení ze strany vedení, které v těchto výdajích vidí pouze čistý náklad. Těžko se jim vysvětluje, proč mají nabírat další lidi, investovat do nákladných technických řešení a služeb externích specialistů nebo do nepopulárních interních opatření, jako je zákaz používání osobních telefonů a počítačů, zákaz instalace programů na firemních zařízeních už na úrovni operačního systému, nebo blokace přístupu na sociální sítě či služby pro sdílení dat typu Dropbox. Doufejme, že od příštího roku, budou mít tyto diskuze zase o něco snazší.

NIS2 by měla vést především ke změně myšlení firem a zaměstnanců

Vraťme se ale k tomu, co bychom si z diskuze ohledně NIS2 měli odnést především, a to je změna pohledu na IT bezpečnost, která by se měla stát přirozenou součástí uvažování firmy. Změna by měla začít u vedení a následně se propsat do celé firemní kultury. Všichni zaměstnanci by měli alespoň v obecné rovině vědět, co firmě může hrozit, jak mají poznat podezřelé aktivity a jak se mají a nemají chovat a proč. Taková změna je totiž nakonec tou nejúčinnější a nejlevnější ochranou před hackery, bez ohledu na to, jaká technická opatření ve firmě aktuálně fungují. Sama o sobě ji neochrání, ale výrazně zvýší účinnost jednotlivých opatření tím, že útočníkům omezí prostor pro jejich aktivity.

V této oblasti je přitom stále co zlepšovat. Pouze čtvrtina zaměstnanců má aktuálně pocit, že jejich zaměstnavatel dbá na to, aby měli přehled o digitálních hrozbách. Lidé z těchto firem si přitom nejen osvojují bezpečnější pracovní návyky, ale také dokážou lépe rozeznat pokročilé phishingové podvody i v osobním životě.

Pro celou naši společnost by proto bylo dobré, aby v diskuzi ohledně NIS2 zaznívalo také to, proč je důležité brát kybernetickou bezpečnost vážně, proč vůbec zákon vzniká a že určitě máme co dohánět. Zda se regulace dotkne šesti tisíc firem, nebo 12 tisíc, jak tvrdý bude požadavek na prověřování dodavatelů a kolik papírů budou firmy potřebovat, je sice také důležité, ale zakrývá to podstatu celého problému. Tou je, jak jako společnost přistupujeme ke kybernetické bezpečnosti a jestli ji bereme dostatečně vážně. Roky se snažíme zvýšit finanční gramotnost, ale digitální gramotnost je podobně důležitá. Neměli bychom ji povinně vyučovat na školách? A jak zajistíme, abychom měli v budoucnu dostatek odborníků na oblast kybernetické bezpečnosti? Mimochodem, zákonu se mimo jiné vyčítá, že nedostatečně vyčísluje náklady na regulaci. Neměli bychom se ale bavit také o nákladech za neregulaci a pokračování v pštrosí taktice schovávání se před hrozbami měnícího se světa?

Autor: Ivan Svoboda, poradce pro kybernetickou bezpečnost ve společnosti ANECT

Štítky: 
NIS2, Anect
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Přes 70 % společností se zatím nepřipravuje na nový zákon o kybernetické bezpečnosti

11. 7. 2024. (redaktor: František Doupal, zdroj: KPMG, NIS2Ready)
Většina respondentů zatím není na přísnější požadavky kybernetické bezpečnosti připravena a s potřebnými kroky nezačala. Privátní sektor je na tom o něco lépe než veřejný. Čtěte více
Zleva Miloš Malček a Karel Jareš z Lenova (Foto: © Libor Makrlík)

Konference společnosti Lenovo k nové směrnici EU o kybernetické bezpečnosti NIS2

20. 6. 2024. (redaktor: František Doupal, zdroj: DCD Publishing a Lenovo)
Společnost Lenovo uspořádala konferenci zaměřenou na připravovanou směrnici EU o kybernetické bezpečnosti NIS2 a návrh nového zákona o kybernetické bezpečnosti. Prostor dostaly jak teoretické základy nové legislativy, tak i řešení a služby společností Lenovo a Blancco, které s přípravou na nové požadavky pomohou. Čtěte více

Více než 85 % úniků dat je způsobeno lidskou chybou. Zabezpečení je proto klíčovým úkolem většiny firem

16. 6. 2024. (redaktor: František Doupal, zdroj: Algotech)
Více než 80 % firem se již setkalo s kybernetickým útokem. Nejen na to reaguje evropská směrnice NIS2 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Evropské unii, která je aktualizovanou verzí směrnice NIS z roku 2016. Změny nastanou s účinností nového zákona o kybernetické bezpečnosti. Čtěte více

Pravidelné bezpečnostní audity dělá jen polovina firemních IT manažerů

6. 6. 2024. (redaktor: František Doupal, zdroj: AppSec)
Necelá polovina IT manažerů z českých firem, kteří mají rozhodující pravomoci nebo alespoň poradní hlas při výběru dodavatelů, potvrzuje, že jejich společnost si dělá pravidelné bezpečnostní audity interních systémů a pracovních zařízení. Desetina firemních IT manažerů přiznává, že bezpečnostní audity vůbec nedělá a 15 % pouze nahodile. Čtěte více