NIS2 je nutnost. Jsme zranitelnější, než si myslíme, varuje šéf NÚKIB

Lukáš Kintr stojí v čele kybernetického úřadu od července 2022. V oblasti kyberbezpečnosti působí od roku 2015, kdy nastoupil jako auditor do tehdejšího Národního centra kybernetické bezpečnosti. Před svým jmenováním ředitelem zastával pozici náměstka a měl na starosti strategii, vládní tým reakce na počítačové bezpečnostní incidenty (CERT) i mezinárodní spolupráci.

Co je ale důležitější: jím vedený úřad stojí za přípravou nového zákona o kybernetické bezpečnosti, který by měl začít platit už letos a nově dolehne na zhruba šest tisíc malých a středních firem v Česku. Nová legislativa reflektuje požadavky evropské směrnice NIS2 a NÚKIB je garantem celého projektu. I proto jsme šéfa úřadu v nové sérii podcastů obšírně vyzpovídali.

Proč nový zákon potřebujeme? Co českým firmám hrozí? Jak mohou nové povinnosti jednoduše splnit a bude jim v tom NÚKIB nápomocný? A na co si dát pozor? Na to vše vám šéf NÚKIB odpoví ve čtyřech dílech našeho podcastu. Dnes začneme tím, proč vůbec novou legislativu potřebujeme.

Kyberútoky nejsou sci-fi

Řada průzkumů z poslední doby poukazuje na fakt, že české firmy kyberbezpečnost dlouhodobě podceňují (naposledy například zde). Počet kyberútoků ale stále roste. Podle Kintra je to dáno i tím, že se z celé téhle oblasti stává „regulérní byznys“ – byť by se tomuto označení rád vyhnul. „To slovo regulérní je v tomhle ohledu velmi zavádějící. Na druhou stranu, sám jsem nepřišel na nic lepšího.“

Hackerské skupiny dnes fungují téměř jako korporáty. „Je to opravdu odvětví se specializacemi,“ říká Kintr a popisuje organizovaný byznys kyberzločinu. Jedni samotný útok realizují, druzí se specializují na krádež přístupových údajů, a ti třetí to všechno už jen zpeněží. A oběť si často ani neuvědomí, že na ni někdo cílí – až do chvíle, kdy je pozdě.

Zejména takzvané ransomwareové útoky, při nichž útočník zašifruje data oběti a požaduje výkupné za jejich obnovení, míří na firmy bez ohledu na velikost. „Prostě zkoušejí, koho chytnou,“ popisuje Kintr taktiku gangů. Po zašifrování firemní infrastruktury přichází vydírání – nejen hrozba ztráty dat, ale i jejich zveřejnění nebo útoky na zákazníky firmy.

Útoky navíc často pocházejí z prostředí, která je velmi těžké jednoznačně identifikovat. „Velmi aktivní jsou ruskojazyčné skupiny a aktéři spojení s Čínskou lidovou republikou,“ říká Kintr s tím, že přímé důkazy o původu útoku jsou vzácné, ale bezpečnostní komunita ví, odkud vítr vane.

Kyberzločin jako služba

Ona profesionalizace celého oboru kyberútoků podle něj také přinesla nový trend, kdy člověk, který chce útok provést, ani nemusí být technický expert. „Dnes si na nějaké platformě můžete klidně jen vybrat typ útoku, podobně jako při nákupu na e-shopu, a ten za vás provede stroj nebo někdo, kdo to nabízí jako službu,“ říká Kintr.

Kromě výhod, které přinesl technologický pokrok a digitalizace, se tak podle něj objevují i nové a často velmi závažné zranitelnosti. Kintr v tomto ohledu upozorňuje, že řada firem se stala příliš závislá na digitální infrastruktuře, aniž by si uvědomily rizika. „Je to jako byste na ulici někomu podali občanku. V reálném světě to neuděláte, ale online to děláme dnes a denně,“ upozorňuje.

S rozvojem umělé inteligence navíc útočníci získávají nové zbraně. „Zprávy už nejsou psány špatnou češtinou, ale plynule a bez chyb. Umělá inteligence umožňuje i syntetický hlas. Falešný e-mail dnes vypadá důvěryhodněji než kdy dřív.“

Zkrátka – slovy Lukáše Kintra: „Zvykli jsme si chránit fyzický majetek, ale digitální stále přehlížíme.“ A nový zákon o kybernetické bezpečnosti je přímou reakcí na tuto slepotu. Tisíce menších – legislativou dosud přehlížených – firem má přimět, aby bezpečnost braly vážně.

NIS2 a nZKB? „Nutnost.“

Firmy přitom nový zákon povětšinou vnímají jen jako další „zbytnou“ regulaci, podle Kintra jde o ale nutný krok. Ochrana digitální infrastruktury je dnes podle něj otázkou přežití a směrnice NIS2 rozšiřuje dosavadní okruh povinných subjektů proto, že „reflektuje to, jak důležitou roli dneska firmy a na nich závisející společnost mají.“

A právě proto podle Kintra přichází i celková novelizace v podobě nového zákona o kybernetické bezpečnosti. Ta se týká všech firem nad 50 zaměstnanců nebo s obratem přes 10 milionů eur (cca 250 milionů Kč) – od zdravotnictví přes dopravu až po zpracovatele dat.

Nový zákon o kybernetické bezpečnosti (nZKB), za jehož přípravou NÚKIB stojí a je garantem i celého návazného systému hlášení bezpečnostních incidentů, koncem dubna prošel třetím čtením ve Sněmovně. Na stole ho má nyní Senát, který se k němu podle aktuálních plánů má dostat 11. června.

Pokud s návrhem vysloví horní komora Parlamentu souhlas, poputuje k podpisu prezidenta. Účinný má být „první den třetího kalendářního měsíce“ od doby, co vyjde ve Sbírce zákonů. Stihnout by se to prý mělo ještě letos. Následně čeká firmy několik klíčových lhůt pro splnění nových povinností.

„Máme před sebou mnoho práce, protože ne všichni si uvědomujeme, jak zranitelní právě v kybernetickém prostoru jsme,“ říká Kintr a zdůrazňuje, že do digitální éry vstupujeme rychleji, než stačíme chránit své systémy. 

(...)

Zaujalo? Ještě nekončíme! V podcastu s Lukášem Kintrem dále zazní:

• Jak konkrétně se musí firmy připravit na novou regulaci kybernetické bezpečnosti
• Proč zálohování dat nestačí a kdy firmě hrozí likvidace
• Co dělat, když se vaše firma stane terčem útoku
• Které obory jsou podle NÚKIB nejzranitelnější
• Proč nestačí technická opatření a proč je klíčem změna přemýšlení

Zaujali jsme vás? Pokračujte...

• Změna větší než GDPR. Koho se týká směrnice NIS2 a jaké hrozí sankce?

• NIS2 není jen nutné zlo, ale pomoc nám všem. Náš čas začít konat se krátí, varuje šéf NÚKIB

• Tisíce firem čekají nové povinnosti. Poslanci schválili klíčový zákon závádějící směrnici NIS2