Výpadky zdravotní péče v nemocnicích v Benešově a v Brně. Slovenský katastr nemovitostí vyřazen na několik měsíců z provozu. Více než 1 miliarda korun ukradená v roce 2024 klientům českých bank a 3,5 miliardy denně odeslaných phishingových e-mailů po celém světě. Taková je dnešní realita.
V kybernetickém prostoru zuří válka. Států proti sobě, kriminálních gangů proti všem. První se snaží ochromit nemocnice, letiště, banky nebo úřady. Druzí nám chtějí „jenom“ ukrást peníze či identitu nebo alespoň získat náš spotřebitelský profil a ten někomu za drobný bakšiš prodat.
František Nonnemann Vystudoval Právnickou fakultu Univerzity Karlovy v Praze. Několik let pracoval na Úřadu pro ochranu osobních údajů, mimo jiné i jako ředitel analytického odboru a vedoucí právního oddělení. Od roku 2016 působí v soukromém sektoru, kde se zabývá především pravidly pro zpracování a ochranu informací, ochranou spotřebitele a compliance systémy. Na tato témata také publikuje a školí. V současnosti je vedoucím oddělení compliance a řízení operačních rizik v Partners Bance. |
Firmy i úřady můžeme rozdělit do dvou kategorií: Jedny už se obětí kybernetického útoku s menším či větším dopadem staly, ti ostatní taky, ale ještě o tom nevědí. Jen ti první obvykle svoji bezpečnost opravdu koncepčně řeší. K investicím do bezpečnosti totiž často motivuje až úspěšný útok, zastavení provozu či ztráta dat. Samozřejmě za předpokladu, že „úspěšný“ útok firmu zcela nezlikviduje, i takovéto případy totiž z praxe známe.
Papírování to nevyřeší
Jednou z cest, jak kybernetickou bezpečnost úřadů i firem zvýšit, může být i vhodně nastavená regulace. Vymezit kritická odvětví a organizacím, které se v nich pohybují, nařídit, jak se mají proti kybernetickým hrozbám chránit.
Nové směrnice ani zákony nás ale před kybernetickými útoky samy zcela neochrání, a to ze dvou důvodů. Tím prvním je, že právo je většinou o krok pozadu za zločinci. I když jsou regulace psány obecně, vymezení kritických činností či povinných opatření bude nutně vždy nedokonalé a neúplné.
Druhým důvodem je, že zavádění nových předpisů se v praxi často mění v papírovou válku. Proč?
Evropské firmy jsou pod skutečným regulatorním tlakem. Čelí přílivu nových povinností snad ve všech oblastech své činnosti. Proto je pochopitelné, že v nových předpisech už často nehledají racionální podstatu, která tam někdy skutečně je, ale vše řeší jen na papíře. Připravit interní směrnice, koupit sadu vzorových dokumentů, sepsat dlouhé smlouvy s dodavateli. Splnit si své povinnosti na papíře a být připraven.
Připraven – ovšem ne na útok hackerů, ale na kontrolu z úřadu. Kontrole ukážeme papíry a všechno bude v pořádku. Asi tušíme, že všechno v pořádku opravdu nebude. Dokumentace je důležitou součástí kybernetické bezpečnosti, ale jenom papíry za nás válku v kyberprostoru prostě nevyhrají.
Situace ve firmách je vážná
Co se s tím dá dělat? Jak organizace přimět, aby povinnosti v oblasti kybernetické bezpečnosti braly vážně a neřešily jen papírové války?
Kyberútoky sílí. Chystají se velká školení pro firmy, školy i bytová družstva |
Jednou z cest je odstranění důvodu, proč jsou nové regulace tak často aplikovány minimalisticky a formálně. To znamená snížit administrativní a regulatorní zátěž. Zastavit chrlení nových regulací za každou cenu. Vyhodnotit platné předpisy, zjednodušit je, učinit je více flexibilní a některé přímo zrušit. Potom nám všem zbude více času a prostředků na zajištění toho, co je skutečně důležité.
Válka v kyberprostoru může působit jako něco virtuálního a nehmatatelného. Odehrávají se v ní ale úplně opravdové bitvy, ve kterých jde o informace, peníze i lidské životy. Pokud se schováme jen za papírovou hradbu, tak nemáme šanci tuto válku vyhrát.
