Motivace hackerů se mění: vedle zisku mohou usilovat také o strategickou destabilizaci. Digital Legal Affairs Manager společnosti Vodafone Česká republika Patrik Walas varuje před touto zásadní proměnou digitálních útoků směřovaných na firmy i státní instituce. Ve svém vystoupení na Konferenci Ekonomického deníku a České justice Právo a digitalizace zdůraznil, že kybernetický prostor se mění ve strategické bojiště a české firmy musejí přijmout základní pravidla pro přežití.

Patrik Walas upozornil, že regulace v podobě nového zákona o kybernetické bezpečnosti (ZKB) je nutná, firmy ji nesmí nechat jen na papíře. Správně se připravit je ale náročná a drahá disciplína.

Od krádeže dat k totálnímu chaosu: Nová realita hrozeb

Walas potvrdil, že telekomunikační operátoři, kteří z pohledu bezpečnosti spoluutváří kritickou infrastrukturu státu, ucítí společně s dalšími strategickými službami geopolitické pnutí v kyberprostoru nejvíce. Kromě toho útoky, které Vodafone i další globální hráči denně zaznamenávají, už cílí na víc než jen na krádež osobních dat.

„Vidíme, že to mnohdy není přátelské prostředí a z dlouhodobého hlediska je kyberútočník prostě strategický nepřítel,“ uvedl Walas.

konference účastníci
Moderátorka konference Alžběta Vejvodová, ředitel Národního úřadu pro kybernetickou a informační bezpečnost Lukáš Kintr a Digital Legal Affairs Manager společnosti Vodafone Česká republika Patrik Walas. Foto: Radek Čepelák

Motivace útoků se posouvá od čistě finančního zisku až k vyvolávání destabilizace společnosti. Tento trend vidíme po celém světě. Proto si podle Walase musí české firmy uvědomit, že kybernetický prostor je stále častěji jakási zóna střetu mezi útočníky a obránci.

konference mluvčí
Ředitelka pro vládní vztahy ze společnosti Microsoft pro region Česka, Slovenska a Maďarska Kateřina Anna Magna. Foto: Radek Čepelák

Ředitelka pro vládní vztahy ze společnosti Microsoft pro region Česka, Slovenska a Maďarska Kateřina Anna Magna při této příležitosti připomněla, že přes sílící počet útoků na Evropu nejčastějším cílem kybernetických útoků nadále zůstávají USA.

To ale neznamená, že by Česku žádné nebezpečí nehrozilo. Útoky často míří do jeho těsné blízkosti. K nejčastějším cílům patří například Německo. A například letní útok na nymburskou nemocnici ukázal, že hackeři dokáží ochromit i důležitá zařízení v Česku. Nemocnici selhaly v důsledku napadení virem všechny informační systémy. Musela odmítat příjem pacientů od záchranářů a některé pacienty převést jinam.

Mohlo by vás zajímat

Palaščák a Paseková
konference řečník
Digital Legal Affairs Manager společnosti Vodafone Česká republika Patrik Walas na Konferenci Ekonomického deníku a České justice Právo a digitalizace. Foto: Radek Čepelák

Přísnější než Evropa

Lukáš Kintr, ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), proto zdůraznil, že právě potřeba chránit národní suverenitu a kritické sektory před těmito strategickými hrozbami vedla NÚKIB k tomu, aby legislativu – zákon o kybernetické bezpečnosti – nastavil v některých ohledech přísněji, než vyžaduje evropská směrnice NIS 2.

Jde například o kontrolu dodavatelských řetězců. Nová pravidla českým firmám a organizacím nařizují, aby zkoumaly kybernetickou bezpečnost svých dodavatelů. U systémů, které jsou životně důležité pro chod státu, může dokonce i soukromníkům vláda zakázat využití nedůvěryhodných dodavatelů.

A úřad utahuje šrouby i v dalších oblastech. Například do takzvaných nepominutelných funkcí chce zahrnout i systémy, které nemusejí být zcela nezbytné pro samotné poskytování služby v daném okamžiku. Příkladem jsou fakturační systémy. Jejich výpadek sice nenaruší například poskytování telekomunikačních služeb, z hlediska dlouhodobého fungování poskytovatele už ale jde o strategicky významné služby. Pokud by totiž firma nefakturovala, dříve nebo později by se položila. Jenže náklady na řádné zabezpečení těchto systémů jen mobilní operátoři počítají v desítkách miliard korun. A podobně náročné to bude i v dalších zasažených sektorech.

vydavatel projev
Konferenci Právo a digitalizace zahájil vydavatel Ekonomického deníku a České justice Ivo Hartmann. Foto: Radek Čepelák

Nejdůležitější je „Základní Desatero“ bezpečnosti

Patrik Walas z Vodafone upozornil, že největší bezpečnostní mezery často nevznikají kvůli sofistikovaným útokům a moderním technologiím. Na vině je spíše zastaralý software, základní chyby v systémech nebo nedostatečné školení zaměstnanců. Přestože se firmy připravují na komplexní právní úpravu ZKB, neměly by zapomínat na takzvané „Základní Desatero“. Walas poukázal na některé nejdůležitější body:

  • Dvojfaktorové ověřování (MFA): Jde o naprostý základ, který dramaticky snižuje úspěšnost phishingových útoků.
  • Pravidelné zálohování: Klíč k přežití v případě ransomware útoku.
  • Školení zaměstnanců: Lidský faktor je nejslabším článkem řetězce.

Walas zdůraznil, že pokud firma nezvládá základy, ani sebesložitější regulace ji neochrání.

konference účastníci
Zcela zaplněný prostor auditoria konference Ekonomického deníku a České justice Právo a digitalizace. Foto: Radek Čepelák

Regulace: Nutná, ale nesmí zasáhnout malé firmy

Patrik Walas vítá, že se Evropa snaží sjednotit kybernetické standardy přes NIS 2. Dále oceňuje, že je český zákon o kybernetické bezpečnosti ambiciózní. Nicméně vidí praktický problém v implementaci, zejména ve vztahu k řízení dodavatelských řetězců. Přehnaná regulace podle něj může vést až ke zdražení služeb pro koncové zákazníky. Firmy, které nyní spadají do režimu nižších povinností (odhadem 5 000 subjektů), budou vyžadovat od svých dodavatelů dražší bezpečnostní záruky a musí vynaložit náklady na splnění nových standardů.

„Pokud chceme mít skutečně bezpečnou společnost a chceme se chránit před hrozbami z nepřátelských zemí, musíme počítat s tím, že si za tu bezpečnost můžeme připlatit,“ řekl Walas.

S Walasovými obavami z implementační zátěže souhlasil Jiří Hradský, právník z advokátní kanceláře Sedláková Legal. Upozornil na nerovnost vyjednávací síly. Menší firmy budou často muset přijmout blanketní dodatky od velkých dodavatelů (jako jsou cloudové platformy nebo telekomunikační operátoři), což proces splnění regulace spíše zkomplikuje než usnadní.

Hradský s Walasem zároveň upozornili na vyjednávací paradox, na který v praxi narážejí. Jde o to, že dodavatel sám je přísně regulovaným subjektem, a přesto po něm zákazníci kvůli zákonným pravidlům požadují rozkrytí bezpečnostních nastavení. Walas na to navázal v souvislosti s žádostmi o extrémní audity slovy: „mobilní operátor není Karlštejn, abychom k nám pouštěli všechny.“

konference mluvčí
Právník z advokátní kanceláře Sedláková Legal Jiří Hradský Foto: Radek Čepelák.

Zdravý rozum a ochrana byznysu

I přes rozdílné postoje se na závěr účastníci konference shodli, že firmy, zejména ty menší a střední, by měly použít zdravý rozum. Regulaci by měly vnímat jako ochranu vlastního byznysu, nikoliv jako pouhou byrokratickou povinnost.

Cílem není primárně plnit zákonné povinnosti či například chránit osobní údaje cizích lidí (to už řeší GDPR). Naopak, firmy musí chránit schopnost fungovat, vydělávat peníze a poskytovat služby. Zákon o kybernetické bezpečnosti proto má fungovat jako investice do provozní stability.

konference mluvčí
Ředitel Národního úřadu pro kybernetickou a informační bezpečnost Lukáš Kintr a Digital Legal Affairs Manager společnosti Vodafone Česká republika Patrik Walas. Foto: Radek Čepelák

Ekonomický deník a Česká justice děkují partnerům konference: Vodafone Česká republika, advokátním kancelářím White & Case, Matzner & Vítek a společnosti OpenSSL.