Žijeme v digitální době. To je nepopiratelný fakt, proti kterému lze jen stěží něco namítat. Nejmodernější technologie z ranku elektroniky, počítačů, mobilních telefonů i internetu nám pomáhají s každodenním životem. Existují ale i jiné technologické vychytávky, se kterými se stále pouze obezřetně seznamujeme – příkladem par excellence pak může být třeba umělá inteligence. S tím, jak stále častěji přijímáme digitální technologie do našich životů, se ale objevují i otázky a problémy, kterými je třeba se zabývat. Jaké jsou jejich konkrétní výhody? A v jakých momentech naopak nastává čas se pořádně zamyslet?
To, že si chceme život zjednodušovat, platí odjakživa. To je vlastně důvod, proč technologie vůbec existují a proč se vyvíjejí tak rychlým tempem. Od nejnovějších vynálezů očekáváme, že budou plně funkční a že dodají koncovému uživateli vysoký standard komfortu, který bezesporu očekává. Rozhodně ale nesmíme zapomínat, že technologický svět má i jiný rozměr. Počet kybernetických rizik rok od roku roste a s ním úměrně i důraz, který klademe (nebo bychom rozhodně měli klást) na problematiku kybernetické bezpečnosti. Na tomto poli není těžké se ztratit. Klíčem k úspěchu jsou proto hlavně znalosti a jasně definovaná pravidla.
Digitální svět řečí čísel
Vývoj digitálního světa se vyznačuje dvěma hlavními vlastnostmi – je dynamický a turbulentní. Hrozby, které číhají na každém rohu, často necháváme bez povšimnutí. Vždy je ale dobré si uvědomit, že ač nám digitální svět s mnohým pomáhá, otevírá zároveň prostor pro řadu kyberhrozeb, které mají potenciál proměnit naše životy v peklo na zemi.
Počet kyberútoků totiž meziročně narůstá geometrickou řadou – konkrétně v Česku je aktivita hackerů od začátku roku 2022 třikrát vyšší než za celý loňský rok. V průměru od sebe jednotlivé hackerské útoky odděluje pouze neskutečných 39 sekund. Tato děsivá statistika se propisuje i do reality firem, které musí vynakládat stále více prostředků na systémy kybernetické bezpečnosti. Ty menší (s počtem zaměstnanců do 500) utratí za nápravu jednoho kyberútoku zhruba 7,68 milionu dolarů. V průměru je to pak 116 milionů dolarů na jednu takovou událost napříč celým byznysovým světem.
Obchodní společnosti si ale na proměnu jejich reality zvykají relativně pomalu. Podle posledních průzkumů nemá až 77 % organizací vypracovaný reakční plán kybernetické bezpečnosti, který by jim pomohl v případě, že se stanou terčem hackerského útoku. Přitom ale více než polovina z nich stvrzuje, že během posledního roku musely minimálně jednou takovému útoku čelit. Problémem je i to, že detekce narušení jejich systémů trvá v průměru až půl roku. Tomu nepřidává ani stále intenzivnější propojování s internetem věcí (IoT), v němž by podle odhadů mohlo být do roku 2025 integrováno na 75 miliard dílčích zařízení a aplikací.
Nebezpečí číhá všude
Kyberprostor se v posledních letech stal další dimenzí, ve které probíhá život každého z nás. Toto prostředí je ale taktéž detašovaným bitevním polem a dějištěm skutečných válek mezi státy a jejich přívrženci. Těžko bychom hledali názornější příklad, než je aktuálně probíhající rusko-ukrajinská válka. Ač jsme každý den atakováni záběry válečných hrůz a útoků v reálném světě, ten virtuální zůstává stejně plnohodnotnou frontou, kam obě strany konfliktu cílí své úsilí i aktivity. Počet ruských útoků na ukrajinskou státní infrastrukturu narůstá – ve velké míře jsou vedeny hlavně proti vládním agenturám a systémům ozbrojených sil, nicméně ušetřeny nezůstávají ani civilní subjekty.
Způsobů útoku se přitom nabízí nepřeberně. Mezi ty nejčastější patří hlavně útoky spočívající v distribuci malwaru a botnetů, útoky DDoS (distribuované odmítnutí služby), phishingové podvody, exploity, útoky na dodavatelské řetězce a další „kybersíly“ či ransomwary, které jsou užívány hlavně proti informační infrastruktuře. Tuto činnost do jisté míry usnadňuje fakt, že kyberprostor de facto nemá hranice, rozhodně ne ty fyzické. Proto se z války ve virtuálním světě stává konflikt o mnoha aktérech, do kterého se aktivně zapojují i spojenci a podporovatelé válčících stran, kteří nejsou přítomni na reálných bojištích. Ti se pak stávají jak oběťmi, tak agresory sami o sobě.
Z výše uvedených důvodů proto nepřekvapí, že se s raketovým nárůstem počtu kyberútoků musí v posledních měsících vyrovnávat i Česká republika. Problematiku kyberbezpečnosti má u nás na starost Národní úřad pro kybernetickou bezpečnost (NÚKIB), který bije na poplach. Podle jeho zpráv se terčem DDoS útoků staly i významné cíle v rámci tuzemské veřejné správy. Šlo například o České dráhy nebo letiště v Pardubicích a Karlových Varech. Portál veřejné správy pod správou Ministerstva vnitra ČR byl dokonce z provozu vyřazen na několik dní. A v neposlední řadě nebyla po nějakou dobu pro návštěvníky ze zahraničí přístupná ani oficiální stránka National Cyber and Information Security Agency (NCISA). Jde přitom jen o špičku pomyslného ledovce.
Dosah kyberprostoru se má i nadále rozšiřovat. Dá se předpokládat, že do pěti let už ve svém okolí nezavadíme o moc technologií, které nejsou připojeny k internetové síti. Internet věcí bude zahrnovat chytré domy, auta i zařízení každodenní potřeby. Představa, že brzy budou s internetem propojeni samotní lidé, není zas tak nereálná. Jsme ale na takovou technologickou výzvu vůbec připraveni? Bohužel nezbývá než konstatovat, že rozhodně ne.
V hledáčku Evropské unie
Kyberbezpečnost patří mezi hlavní priority Evropské unie. Aktuálně se na její půdě připravuje nová směrnice o kybernetické bezpečnosti s kódovým označením NIS 2. Pro členské státy to bude konkrétně znamenat přísnější regulaci se zvýšeným důrazem na její vymáhaní a stíhání prohřešků. Nová směrnice navíc rozšíří okruh subjektů, které se stanovenými bezpečnostními pravidly budou muset řídit. Momentálně jde hlavně o subjekty provozující základní služby a poskytovatele těch digitálních – tedy hlavně organizace typu služeb cloud computingu, internetových vyhledávačů nebo online tržišť, dále organizace působící v odvětví dopravy, bankovnictví, zdravotnictví, veřejné správy, digitální infrastruktury, energetiky, infrastruktury finančních trhů a distribuce pitné vody.
Po schválení směrnice přibydou další dvě kategorie. První z nich jsou takzvané subjekty zásadního významu, mezi které patří víceméně všechny subjekty na poli energetiky, dopravy, bankovnictví a infrastruktury finančních trhů, zdravotnictví a výroby farmaceutických a zdravotnických prostředků, pitné a odpadní vody, digitální infastruktury, cloud computingu, datových center, elektronických komunikací, veřejné správy a využívání vesmírného prostoru.
Druhou kategorií jsou důležité subjekty. Mezi nimi bychom pak hledali například subjekty pohybující se na trzích s poštovními a kurýrními službami, nakládáním s odpady, chemickými látkami, potravinami, zdravotnickými výrobky a diagnostickými prostředky, počítači nebo dopravními prostředky.
Klíčovým kritériem je dle dikce NIS 2 velikost subjektu, dle kterého se pravidla vztáhnou na všechny středně velké (50 až 250 zaměstnanců) i velké podniky (nad 250 zaměstnanců). Malé podniky a mikropodniky si prozatím mohou oddychnout – nová pravidla se jich nedotknou, pokud nejsou některou z výjimek výslovně uvedených v textu směrnice. Všem, kdo se bude muset řídit novou směrnicí, značně vzroste administrativní i finanční zátěž. Tyto subjekty budou muset věnovat zvýšenou pozornost činnostem, jako je analýza rizik, řešení incidentů, krizové řízení, zabezpečení dodavatelských řetězců i informačních systémů, kryptografická ochrana a šifrování a v neposlední řadě systémy hodnocení účelnosti přijímaných opatření.
Postihy za nedodržení pravidel směrnice by přitom mohly být pro některé zejména středně velké podniky doslova likvidační. Vyšplhat by se totiž mohly až na 10 milionů euro nebo procentuální ekvivalent ve výši 2 % z celkového celosvětového ročního obratu firmy za loňský kalendářní rok. Text směrnice nicméně ještě není finální a dá se očekávat, že nadále budou probíhat debaty se subjekty z různých hospodářských odvětví za cílem pravidla obsažená ve směrnici co nejvíce precizovat a aplikovat na situaci v reálném světě.
Celospolečenská priorita
Obava z kybernetických hrozeb už dorazila i do Česka. Zvyšuje se nejen povědomí o konkrétních rizicích, ale i úsilí, které firmy vynakládají na jejich odvrácení a prevenci. Svaz průmyslu a dopravy ČR hlásí, že v průměru až dvě třetiny společností považuje za největší riziko právě kyberútoky. Více než 80 % se pak snaží svou kybernetickou infrastruktura aktivně posilovat.
Kybernetická bezpečnost se tudíž stává celospolečenskou prioritou číslo jedna. Nové mechanismy zavádí jak vlády jednotlivých zemí, tak i soukromé subjekty – ať už hovoříme o podnikajících subjektech, či jednotlivcích. Experti přitom vyzývají, že je třeba pamatovat na několik základních premis souvisejících s kyberbezpečností. Především je podle nich dobré si uvědomit, že jde o záležitost, která se dotýká každého z nás za jakékoliv situace – přeci jen každý asi pravidelně používáme počítač, notebook, tablet nebo mobil. V podnicích by se této problematice pak měl věnovat kompletní vrcholový management i jednotliví akcionáři.
Neustálá edukace a povědomí veřejnosti je jedna věc. Rozhodně bychom ale neměli rezignovat na vývoj – efektivní kyberbezpečnost si totiž žádá neustálé zkoušení nových přístupů a řešení. Celá problematika je velmi komplexní a vyvíjí se dynamicky. Aby byly bezpečnostní systémy opravdu spolehlivé, musí být ucelené, systémové, smysluplné, účelné a efektivní. Odměnou je pak účinná ochrana před finančními i datovými ztrátami. Smutnou realitou je naopak fakt, že každý z nás už někdy kybernetickému útoku čelil – někdo to otevřeně přiznává, někdo ne. V nejhorším případě si to jedinec ani neuvědomuje.
Jednota technologií, pravidel a lidí
Kybernetická bezpečnost je způsobem ochrany proti libovůli a zneužívání moderních technologií. Ve stejné chvíli s nimi ale jde ruku v ruce. Opravdu efektivní systém může fungovat jen za využití nejmodernějších bezpečnostních metod. Architekti těchto struktur musí mít v hlavě jasný integrovaný koncept, kolem kterého pak bezpečnostní systém vystaví. Přístup „samostatných technologických ostrovů“ se podle expertů nikdy nevyplácí. Mezi jednotlivými složkami se totiž utvářejí trhliny, kde vzniká prostor právě pro aktivity hackerů.
Nedoporučuje se ani sázka na technologie jediného výrobce. Vzhledem ke specifickým výrobním procesům se v případě nabourání jedné složky systému vystavujete riziku prolomení ochrany všech složek najednou. Technologická sestava by proto měla být v ideálním případě dostatečně pestrá. Není moudré zatracovat určité výrobce jen proto, že sídlí na konkrétním kontinentě – jejich výrobky mohou být právě tím posledním kouskem stavebnice, který vám pomůže sestavit efektivní a odolný bezpečnostní systém.
Technologie ale nejsou jedinou složkou kyberbezpečnostních systémů. Na úrovni organizací i jednotlivců je naopak extrémně důležitá tzv. kyberhygiena. Jde vesměs o sestavu pouček, které by si měl osvojit každý aktivní uživatel moderních technologií. Určitě jste řadu z nich už někdy slyšeli. Neklikejte na každé okno, které na vás v prohlížeči vyskočí. Používejte pro různé účty různá hesla a dodržujte jejich doporučenou sílu. Hesla si nikam nezapisujte, a už vůbec ne nikam online. Důsledně oddělujte pracovní maily od volnočasových aktivit. Veřejné Wi-Fi sítě používejte jen v nutných případech, apod. – podobných mouder je celá řada.
Posledním faktorem budování kyberbezpečnostního systému jsou samotní lidé – tedy profesionálové s odpovídajícími znalostmi v oblasti virtuální bezpečnosti. Bylo již zmíněno, že jde o dynamicky se rozvíjející oblast. Proto je nutné nezaspat a setrvale udržovat své znalosti aktualizované, ať už ze své vlastní vůle, nebo třeba prostřednictvím firemních školení. Na to je třeba pamatovat na každé úrovni. Tyto znalosti přijdou vhod jak vrcholovému managementu, tak obyčejným administrátorům datových sítí.
Pravidlo 6N
Vše řečené by se dalo jednoduše shrnout do pravidla tzv. 7N – tedy nutných předpokladů, bez nichž nemůže žádný účinný bezpečnostní systém fungovat. Jde o následující priority:
- Nutné zajištění standardního správně fungujícího provozu
- Nutný neustálý monitoring hrozeb a zranitelnosti
- Nutná verifikace předpokladů kyberbezpečnosti a souvisejících systémů
- Nutná neustálá aktualizace pravidel dle aktuálního vývoje
- Nutná implementace preventivních a nápravných opatření i hodnocení jejich účinnosti
- Nutná včasná reakce na jakoukoliv změnu mající dopad na systém kyberbezpečnosti
- Nutný neustálý rozvoj bezpečnostního povědomí všech uživatelů ICT
Nikdo vám nemůže garantovat, že pokud budete důsledně dodržovat vše výše zmíněné, budete stoprocentně chráněni před hackerským útokem. Následováním těchto postupů ale učiníte to nejzodpovědnější rozhodnutí, které můžete. A ani si to od vás nežádá tolik úsilí, jako by tomu bylo v případě jiných hrozeb. Náprava dopadů přírodních katastrof, medicínských pandemií či reálných válečných konfliktů je bezpochyby daleko těžším břemenem.
•
