Čas se firmám krátí. Novou evropskou směrnici o kyberbezpečnosti, označovanou jako NIS2, musí členské státy do svého národního práva převzít nejpozději do 18. října 2024. Podle předběžných odhadů nové povinnosti dopadnou na více než šest tisíc českých firem, které jsou součástí kritické infrastruktury státu a dalších klíčových odvětví, takzvané regulované služby. Ne všechny firmy jsou na přísnější nároky na ochranu dat a informačních systémů připravené a na trhu není dostatek odborníků. Na řešení přitom nezbývá mnoho času.

Dlouholetý obchodní šéf české pobočky slovenské kyberbezpečnostní společnosti Eset Filip Navrátil celou situaci vidí nekompromisně. „Firmy, které se kyberbezpečnosti doteď nezačaly systematicky věnovat, už mohou jen doufat v zázrak v podobě odložení platnosti NIS2,“ říká. Netroufá si odhadovat, kolik nepřipravených firem mezi šesti tisíci subjekty je, ale určitě jich podle něj nebude málo: „Některé nové povinnosti budou navíc platit i pro dodavatelský řetězec dotčených společností, takže lze očekávat, že se NIS2 dotkne řádově většího množství firem.“

NIS2 je evropská směrnice o bezpečnosti sítí a informačních systémů, kterou musí do října transponovat všechny členské státy EU. O české podobě se v aktuální chvíli jedná, návrh připravuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ve spolupráci s Legislativní radou vlády. Připravovaný Zákon o kybernetické bezpečnosti zpřísní požadavky na vybrané firmy a zavede některé nové povinnosti. Mezi ně patří povinné nastavení procesů a bezpečnostních opatření ve firmách, hlášení bezpečnostních incidentů či nutnost řízení bezpečnosti v celém dodavatelském řetězci.

Nesplnění těchto nároků NIS2 postihuje přísnými pokutami do deseti milionů eur (250 milionů korun) nebo dvou procent globálního ročního obratu. Mezi sankcemi je i šestiměsíční pozastavení výkonu řídicí funkce zodpovědnému pracovníkovi. Firmy spadající pod kritickou infrastrukturu státu a další kritická odvětví působící v energetice, dopravě, bankovnictví, zdravotnictví, veřejné správě, vesmírném výzkumu, výrobě, průmyslu nebo mimo jiné například i odpadním hospodářství, se proto na říjen pečlivě připravují.

Instituce jako nemocnice, školy a další, pro které zabezpečení digitálního prostředí nebylo zásadní prioritou, tak budou muset kromě náboru odborníků a zajištění rozpočtů zavádět i nové procesy a postupy. „Velkou výhodu mají firmy s certifikací z řady ISO:27000, protože nároky NIS2 nejsou o moc vyšší a vychází z podobného základu. Na druhé straně firmy, které tyto procesy musí zavádět nově, čeká poměrně hodně práce,“ vysvětluje Navrátil.

Skoková změna s sebou nese i další výzvu. Tou bude podle obchodního ředitele Esetu po nastavení procesního řízení kyberbezpečnosti především zajištění neustálého dohledu a povinnost hlášení bezpečnostních incidentů: „Už teď si troufám tvrdit, že bude těžké najít na českém pracovním trhu dost odborníků na IT bezpečnost, nemluvě o tom, že pro střední a malé firmy nebude mít smysl nákladně budovat vlastní bezpečnostní oddělení.“ Eset proto spouští novou službu spravované detekce a reakce na bezpečnostní hrozby zvanou MDR (Managed Detection & Response).

Firmy tak dokáží některé činnosti vyplývající z NIS2 a nového zákona o kyberbezpečnosti outsourcovat. „Služba MDR je bezpečnostní řešení, které nepřetržitě monitoruje síťové prostředí firem a chování koncových zařízení. V případě anomálie se incidentem začíná zabývat náš tým expertů, kteří vyhodnotí, zda jde o podstatné riziko, a případně incident rovnou řeší. Pro střední a menší firmy je MDR nákladově efektivní způsob, jak část povinností outsourcovat na zkušeného partnera,“ popisuje Navrátil.

Novou službu MDR už využívá například druhý největší pivovar v Nizozemsku Royal Swinkels, pro který Eset zajišťuje bezpečnost IT prostředí plně automatizované výroby více než 300 druhů piv. Pivovar využívá službu, která v reálném čase odhalí i nové a precizně cílené kybernetické hrozby a tým expertů Esetu ihned provádí kroky ke zmírňování dopadů útoků.

Podobnou ochranu Eset doteď nabízel velkým firemním zákazníkům, kterým dedikoval bezpečnostní tým expertů pracující přímo v jeho IT prostředí ve spolupráci s interním IT oddělením. Nová služba MDR je nákladově dimenzovaná pro menší a střední firmy, přičemž funguje převážně autonomně – klient je o bezpečnostních incidentech informován reportem obvykle až po jejich úspěšném odvrácení a vyřešení.

Kromě dohledu a zajištění bezpečnosti koncových bodů Eset firmám nabízí pomoc s NIS2 i v dalších oblastech. „Organizujeme školení a konzultace nastavení systému vzdělávání zaměstnanců v kyberbezpečnosti, který bude novou legislativou v konkrétních oblastech vyžadován. Pro klienty provádíme také například penetrační testy v průběhu nasazování nové aplikace do firemního prostředí,“ přidává Navrátil další oblasti, co budou muset některé firmy řešit.

Útoky na firmy na denním pořádku

Digitální prostředí současnosti je plné nástrah. Útočníkům nově pomáhají nástroje, které s pomocí umělé inteligence dokáží generovat extrémně věrohodné výstupy v psané i mluvené formě prakticky bez omezení, takže rozpoznávání potenciálních útoků je mnohem náročnější.

Podle reportu hrozeb vydaného Esetem v roce 2023 byly aktivnější především ransomware útoky, kdy hackeři po firmách žádají výkupné za data či systémy, kterých se zmocnili nebo je zašifrovali. A podle všeho se útočníkům dařilo, kryptoměnové platby výkupného dosáhly loni rekordní sumy 1,1 miliardy dolarů (přes 23 miliard korun).

Dalším rizikem, které se může týkat právě subjektů poskytujících regulované služby dotčené zmíněnou směrnicí NIS2, jsou útoky vedené hackerskými skupinami, které jsou podporované národními státy. „Eset minulý rok pomohl odhalit a rozkrýt rozsáhlou psychologickou operaci útočníků s vazbami na Rusko, kteří šířili dezinformace o válce na Ukrajině v manipulativních e-mailových zprávách, ale využívali například i podvodnou přihlašovací stránku ke službám Microsoft Office 365, prostřednictvím které se pokoušeli odcizit účty zaměstnanců agentury Evropské unie,“ zmiňuje Navrátil.

Z mého pohledu je NIS2 krok správným směrem.

Tyto útoky mohou mít kromě dezinformační kampaně také podobu DDoS útoku, který zahltí webovou stránku požadavky, nebo vyloženě destruktivního výpadu na fungování kritické infrastruktury, například v podobě odpojení odběrných míst od energetické sítě. Další novou hrozbou, která se objevila s nástupem umělé inteligence, jsou podvodné weby napodobující známé AI nástroje.

Takové podvodné stránky lákají z uživatelů prostřednictvím podvrženého chatbota citlivé informace v okně, kde velkému jazykovému modelu zadávají prompty ke zpracování. Ve druhé polovině roku 2023 společnost Eset zablokovala přes 650 tisíc pokusů o přístup ke škodlivým doménám, jejichž názvy obsahovaly řetězec chatgpt nebo podobný text odkazující na chatbota ChatGPT nebo na stránky, které zdánlivě nabízely služby společnosti OpenAI.

Ať už jde o útoky cílené na získání finančních prostředků firem nebo přímo destruktivní ohrožení kritické infrastruktury státu, je NIS2 důležitým krokem k vyšší bezpečnosti. „Bude to náročné období pro celou kyberbezpečnostní komunitu, ale zatím nic nenasvědčuje tomu, že by měly při adopci do českého práva vznikat za vlasy přitažené scénáře, jako například při zavádění jiné dobře známé evropské směrnice GDPR o ochraně osobních údajů. Z mého pohledu je NIS2 rozhodně krok správným směrem a jako Eset chceme firmám pomoci na cestě k fungování podle nových pravidel,“ uzavírá Navrátil.