V minulém díle seriálu Regulace podle NIS2 jsme v podcastu od šéfa regulace na Národním úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Adama Kučínského slyšeli, jak je na tom stát v přípravě nového zákona o kybernetické bezpečnosti, který bude transponovat směrnici NIS2. Víme tak, že kyberzákon od podoby, kterou v jednotlivých dílech seriálu na Lupě představujeme, dozná změn. Půjde o výsledek jednání navazujících na připomínkové řízení, v němž různá ministerstva a další připomínková místa uplatnily vůči návrhu předpisu celou řadu výhrad.
Do Legislativní rady vlády návrh zamíří už za několik dní a jeho zveřejněním bude současně vyluštěna tajenka, jakých kompromisů NÚKIB při jednání dosáhl a s kolika rozpory nakonec bude na vládu předložen. Každý rozpor přitom znamená nutnost eskalovat problém o úroveň výš, tedy donutit kabinet, aby k dané otázce přijal rozhodnutí, a to rozhodnutí politické a konečné. Logicky je proto v nejlepším zájmu regulátora, aby se tyto třecí plochy co nejvíce obrousily před tím, na základě odborné a věcné diskuse. Legislativní pouť nového zákona pozorně sledujeme, a jakmile bude tajenka vyluštěná, mohu slíbit, že zveřejníme detailní porovnání s dříve zveřejněným zněním.
Jsme ve fázi, kdy do přijetí nového kybernetického zákona zbývá zhruba rok a do okamžiku, kdy podle něho firmy a instituce budou povinny postupovat, minimálně roky dva. Od nejrůznějších odborníků už teď slýcháme doporučení nepouštět kyberbezpečnost ze zřetele už nyní a začít s přípravami. A to i v těch případech, kdy ostrá regulace v režimu nového zákona na firmu nedopadne.
Po útoku nemá správa silnic dál nic
Že se podcenění rizik bez ohledu na zákonný rámec nevyplácí, to už z nedávné zkušenosti ví nejen Ředitelství silnic a dálnic, přes které tečou desítky miliard ročně do výstavby a údržby silniční sítě. Loni se tato státní organizace na několik měsíců ponořila do administrativního pravěku, kdy znovu mezi kancelářemi i subjekty navenek začaly obíhat papírové formuláře. Po ransomwarovém útoku zůstaly všechny její interní systémy nefunkční a data zašifrovaná. O data přišlo ŘSD jednou provždy, ačkoliv se domnívalo, že je má bezpečně zazálohovaná.
Velmi podobný scénář o řadu měsíců dříve postihl i velkou pražskou advokátní kancelář Žižlavský specializující se na insolvence a restrukturalizace podniků. Útočníci požadující výkupné dokázali zašifrovat vše, co běželo na společném systému, od zabezpečení přístupů přes čipy přes vnitřní poštu až po data uložená k jednotlivým případům. I tady se situace dala řešit elegantně, rychle a bez placení výkupného: obnovou dat ze záloh. Pokud by ty nejčerstvější nebyly několik měsíců staré…
Tyto dva příklady tu nejsou zmíněny vůbec náhodou. Mají mnoho společných znaků a jeden zásadně rozdílný. Časově je dělí od sebe přibližně rok. Obě organizace měly tristně (ne)zabezpečené své systémy, absolutně podcenily zálohování a záložní plán na obnovu svých systémů v případě kyberincidentu a navenek se snažily rozsah škody alespoň zpočátku bagatelizovat. Jenže zatímco státní organizace nenašla uvnitř odvahu vynaložit veřejné prostředky, aby se dostala ke svým datům, protože to už zavánělo kriminálem, a o některé tak nevratně přišla, podnik insolvenčního správce Michala Žižlavského variantu přistoupit na podmínky vyděračů a zaplatit požadované výpalné vyhodnotil jako vhodnější. Kolik přesně ho to stálo, odmítl říct. Pro Hospodářské noviny ale připustil, že šlo nejméně o řád statisíců korun.
Vyděračům se neustupuje
Zatímco soukromý sektor bude mít dál na výběr, zda vyděračům za klíč k obnovení zašifrovaných dat zaplatit, veřejné instituce o tuto možnost přišly, když Česká republika podepsala mezinárodní dohodu zavazující další 4 desítky států na podmínky vyděračů při ransomwarových útocích zásadně nepřistupovat.
Toto rozhodnutí dává smysl. Přestože definitivní ztráta dat může bolet, je vždy důsledkem podcenění prevence. Digitální informace jsou aktivum jako každé jiné, mají svou cenu. Pokud by se v České národní bance na zemi volně povalovaly zlaté cihličky a někdo je ukradl, budou ti, kteří jejich zabezpečení měli na starosti, právem hnáni ke zodpovědnosti. A také s jistotou neuspějí s nápadem, že za ně centrální banka zlodějům zaplatí protihodnotu, pokud zlatý poklad vrátí.
Stejné pravidlo musí platit u odcizených nebo zašifrovaných dat. Za znehodnocení aktiv někdo konkrétní nese zodpovědnost. A té se nezprostí tím, že pachatelům vyhoví v jejich požadavcích. Naopak, pokud se mezi vyděračskými gangy rozkřikne, že podstatná část z výseče jejich zájmu na požadavky výkupného ze zásady nepřistupuje, potom budou jejich útoky vysoce pravděpodobně mířit jinam, kde mají s ultimátem větší šanci uspět, anebo se úplně změní styl jejich „práce“.
Podniky a instituce obhospodařující data, která mají hodnotu v řádech od deseti- nebo statisíců korun výše, by si bez ohledu na to, jestli za dva roky budou podléhat jednomu ze dvou režimů podle kybernetického zákona, měly samy zodpovědět několik otázek. K těm nejdůležitějším patří: jaká data máme ve své správě? Čím mohou být ohrožena? Udělali jsme všechno pro to, abychom riziko tohoto ohrožení minimalizovali? Co si počneme v okamžiku, kdy naše systémy zůstanou nedostupné? Jak dlouhá taková nedostupnost je ještě přijatelná?
Útok se připravuje i půl roku
Známe-li odpovědi na tyto otázky, je dalším krokem pustit se do prevence. Protože jak zní otřepané vojenské úsloví, kdo je připraven, není překvapen. Jistým překvapením může být, že u šesti z deseti kybernetických incidentů je viníkem interní zaměstnanec a pouze čtyři mají na svědomí hackeři zvenčí. Ty jsou navíc zpravidla dílem dopředu promyšleným.
„Často laickým omylem je představa, že stačí jeden klik a celá infrastruktura je jako mávnutím kouzelného proutku zavirovaná,“ říká Jan Kozák ze společnosti Axenta, která se věnuje dohledové kyberbezpečnostní službě. Ve skutečnosti prý útoku předchází čtvrt až půl roku „rozhlížení se“ a hledání nejzranitelnějších míst v systému. Toto propátrávání v dobře zabezpečeném systému zanechává stopy a analytický software je schopen tyto indicie rozeznat a včas provozovatele systému varovat.
Právě včas rozpoznat, že se děje něco neobvyklého, znamená polovinu úspěchu. Systémů včasné detekce podezřelých aktivit z logů je celá řada. Některé jsou k dispozici jako open-source, ale i ty placené budou vždy o mnoho řádů levnější než náklady na obnovu dat a pošramocené reputace, o platbách výpalného ani nemluvě.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU