České radiokomunikace vystupující pod značkou CRA se na konci minulého roku staly akvizicí firmy Cloud4com největším českým poskytovatelem cloudových služeb. Přes 60 let zkušeností s provozem infrastruktury pro přenos televizního a rádiového vysílání tak dnes propisují do zajišťování firemní cloudové infrastruktury provozované s pomocí vlastních datových center. A nedávno pro své klienty přidali novou úroveň ochrany před hackery.

Kvůli vyšší bezpečnosti CRA letos investovala více než 10 milionů korun do pořízení pokročilé ochrany před DDoS útoky, kdy se útočníci snaží vyřadit webové stránky z provozu jednoduše tím, že je zahltí fiktivními požadavky. „Terčem nejsou jen velké korporace, cílem mohou být všechny firmy pohybující se v digitálním světě,“ uvedl v oznámení této novinky Petr Možiš, obchodní ředitel CRA. „Navíc i DDoS útoky se vyvíjejí. Dnes se nejčastěji jedná o takzvané dynamické multivektorové útoky, které upravují směry a metodiky tak, aby se neustále vyhýbaly existující DDoS obraně,“ dodal.

Počet útoků v Česku meziročně stoupl asi o 20 procent, probíhají prakticky denně s různou intenzitou a patří k nejzávažnějším kybernetickým útokům vůbec. Příkladem mohou být opakované útoky na banky páchané hacticistickou skupinou NoName05. CRA i proto vsadila na Anti-DDoS řešení od amerického poskytovatele Netscout, které detekuje, monitoruje a chrání internetovou infrastrukturu před škodlivým síťovým provozem včetně útoků typu DDoS. Pro firmy to potom znamená, že jejich aplikace a systémy jsou chráněny nástrojem, který zvládá komplexní analýzu síťového provozu, filtrování nežádoucích požadavků v případě útoku a také dynamickou reakci na zmíněné nové multivektorové metody.

CRA se spolu s touto inovací stala zároveň třetím autorizovaným partnerem firmy Netscout v Česku. I menším firmám tak může nabídnout technologické řešení, které by jinak kromě mnohamilionové investice vyžadovalo i tým expertů, kteří se budou starat o každodenní správu.

„Platforma ochrany proti DDoS útokům už běží v pilotním provozu a jsou na ni připojeni první zákazníci. Snažíme se tuto službu co nejvíce přiblížit menším firmám. Proto jsme integrovali správu a reporting včetně základního ovládání do našeho zákaznického portálu Moje CRA, což umožňuje rychlé nasazení a zpřístupnění širokému okruhu uživatelů bez hluboké znalosti technologie včetně samoobslužných služeb,“ doplňuje Možiš.

Do této ochrany se vyplatí investovat firmám, u kterých z podstaty jejich fungování hrozí vydírání nebo přímá finanční ztráta vlivem nedostupnosti e-shopu či webu, případně omezení fungování IT systémů paralyzující celou společnost. Mohou vzniknout i vedlejší nepřímé škody, které mají dopad na reputaci značky, a v potaz je nutné brát i náklady na znovuzprovoznění systémů. „Už jediný úspěšný útok tak může napáchat významné škody, které firmu výrazně poškodí. A to nemluvíme o reputačním riziku nebo dalších aktivitách hackerů, které DDoS útok používají jen jako zástěrku k průniku do komunikačního prostředí firmy,“ podotýká Možiš.

Vyšší nároky na zabezpečení informací

Kyberbezpečnostní komunitou aktuálně velmi rezonuje datum 17. října 2024. V tento den totiž končí transpoziční lhůta evropské směrnice NIS2, která zásadním způsobem zvyšuje nároky na kybernetickou bezpečnost ve firmách spadajících pod kritickou infrastrukturu. Tou je typicky energetika, bankovnictví, veřejná správa, ale i další z celkem 18 oblastí. Po evropském nařízení DORA (Digital Operational Resilience Act), které specifikovalo požadavky na zabezpečení zhruba pěti set finančních institucí a cloudových poskytovatelů, jde o krok zásadním způsobem měnící pravidla pro dalších až 10 000 firem v Česku.

„Vyšší nároky se nebudou týkat jen velkých firem zajišťujících vybrané kritické služby, splňovat je budou muset i jejich dodavatelé,“ vysvětluje Možiš. Pro firmy to tedy znamená, že kdo podcenil přípravu, realizaci a vyhodnocení stavu kybernetické bezpečnosti, může mít brzy problém – a tím je u směrnice NIS2 konkrétně riziko v podobě tučných pokut dosahujících až dvou procent ročního obratu. Ačkoli mnozí odborníci nadále věří, že ze začátku platnosti novely kybernetického zákona nebudou pokuty aktivně uplatňovány v plné výši.

Hackeři na malé firmy nemají mnoho důvodů útočit, vybírají si tak především snadné, špatně zabezpečené cíle. Nejčastější hrozbou jsou podle zkušeností CRA levné primitivní metody, typicky kobercové phishingové útoky, kdy útočníci podvodnými stránkami a e-maily ze zaměstnanců firmy lákají citlivé informace a rozšiřují malware. Do systémů firmy se snaží dostat vyděračský ransomware, kterým zašifrují citlivá data, a požadují výkupné či špionážní software, který odposlouchává datový provoz a hledá v něm zadávaná hesla.

CRA se složitým a časově náročným procesem, který má zvýšit šance firmy na úspěšnou obranu, nabízí pomoc hned na několik frontách. „Od prvotní identifikace stavu zabezpečení organizace přes implementace vhodných postupů pro zajištění bezpečnosti až po detailní analýzy a praktické testování odolnosti proti kybernetickým útokům wi-fi sítí, webových aplikací i interních systémů firmy,“ ilustruje Možiš šíři záběru služby kybernetické bezpečnosti CRA.

Jednou z nových podmínek legislativy je kromě auditů a procesního nastavení například povinnost firem zřídit pozici CISO (chief information security officer, tedy vedoucí informační bezpečnosti). Pro malé firmy s týmem do 50 lidí může být takový krok finančně neúnosný a přesně pro ně CRA vytvořila službu sdíleného CISO, který se postará o dohled nad nastavením informační bezpečnosti ve firmě v souladu s legislativou bez nutnosti do firmy najímat drahého odborníka.

Náklady na zajištění souladu s evropskou směrnicí se mohou pohybovat od desítek tisíc korun po vyšší statisíce, přičemž na některé části je možné požádat o financování z fondů Evropské unie. „Dotační titul Digitální podnik firmám do 250 zaměstnanců hradí až 60 procent nákladů spojených s pořízením firewallů, antivirových programů, přístupových systémů nebo právě DDoS ochrany. Příjem žádostí probíhá do 31. 3. 2025, ale u předchozích programů byl zájem takový, že byly ukončeny dlouho před termínem. Proto se nevyplatí rozhodnutí odkládat,“ zmiňuje Možiš.

Podniky, které mají o pomoc s kyberbezpečností a jejím financováním z dotací zájem, mohou využít nabídku bezplatné konzultace na webu CRA.