Proč je ochrana cloudů tak důležitá?
Stále více dat i programů je přesouváno do cloudů. Jejich zabezpečení by proto mělo být středem pozornosti. U řady firem i úřadů se ale ochrana cloudů podceňuje. Ve studii KPMG Cyber Security Considerations je odhad, že na celém světě může být až 90 procent organizací zranitelných kvůli chybnému nastavení cloudu. Údaj k situaci v Česku není k dispozici, asi to u nás nebude tak zlé, ale nedostatky tu jsou.
V čem pomáhá přechod cloudů na serverless architekturu?
Tento přechod má přínosy pro bezpečnost a také snižuje finanční náklady i uhlíkovou stopu. Proto v KPMG vytváříme aplikace primárně v serverless cloudu. Děláme to jako jedni z prvních v Česku, a to u webových i mobilních aplikací. Například pro klienta z energetiky jsme pro obsluhu zákazníků vyvinuli mobilní aplikaci fungující serverless. To znamená, že serverová část běží v cloudu bez potřeby nákladných, obrovských a hučících fyzických serverů. Provozovatel aplikace tedy nemusí kupovat servery nebo hardware a starat se o jejich údržbu. Všechno řeší cloud. Klient platí pouze za službu, kterou využívá. To je zásadní výhoda, takže serverless model má velkou budoucnost, i když v Česku jde o novinku.
Jaká další opatření zvyšují bezpečnost cloudů a obsahu na nich?
Pokud to je možné, doporučuji obsah na cloudu zašifrovat. Ochranu cloudových řešení obvykle zlepšuje také správně nastavená automatizace monitoringu a/nebo oprav. Nezranitelnost cloudu za provozu by měl hlídat speciálně vyškolený tým, který je alespoň částečně složený i z jiných lidí než jen z vývojářů.
Co přináší schválená přísnější unijní kyberbezpečnostní směrnice NIS 2?
Dotčené firmy i úřady budou muset například vytvářet podrobné analýzy rizik. Navíc budou povinny hlídat kyberbezpečnost i u svých dodavatelů. S tím souvisí požadavek použití nového evropského systému certifikace produktů kybernetické ochrany. Čímž to nekončí – regulovaným subjektům se také nařizuje pravidelně školit zaměstnance, včas hlásit bezpečnostní incidenty a sdílet bezpečnostní reporty na firemní, státní i evropské úrovni.
Na koho NIS 2 dopadne?
V Česku NIS 2 přímo dopadne na přibližně 6 000 firem a institucí. To je 17krát více subjektů, než kolik podléhalo dosavadní směrnici NIS 1. Nová NIS 2 navíc zasáhne ještě další okruh firem z řad dodavatelů regulovaných subjektů. Tito dodavatelé budou muset svoji kyberbezpečnost také řešit. Počítá se totiž s tím, že povinný subjekt splní regulaci, jen když zajistí, že ji plní i jeho dodavatelé.
Směrnice NIS 2 tedy bude regulovat skoro všechna odvětví ekonomiky?
Ano, byť v různé míře. A regulaci bude podléhat i veřejná správa, včetně komunální úrovně. Zásadní posun je i v tom, že NIS 1 někdy regulovala pouze části některých organizací. NIS 2 nejenže rozšiřuje působnost na nové subjekty, ale také nařizuje, že už regulované subjekty musí splňovat pravidla v celé organizaci, nikoli pouze ve vybraných odděleních nebo systémech.
Za nesoulad s NIS 2 budou hrozit pokuty?
NIS 2 je srovnatelná s GDPR jak z hlediska rozsahu změn, tak i přísnosti sankcí. Za nesoulad s NIS 2 budou hrozit pokuty až do výše stovek milionů korun. Navíc platí, že za kyberbezpečnost nese odpovědnost management, takže v případě problémů nepůjde všechno svést jen na bezpečnostního manažera. O funkci může přijít i statutár.
Zvládnou podniky implementovat NIS 2 vlastními silami?
Pro mnohé to bude obtížné. Pokud se vydají touto cestou, budou často muset posílit a přebudovat IT a bezpečnostní oddělení. Jenže najít další experty nebude lehké, vždyť už teď je jich málo. Alternativou je (některé) úkoly outsourcovat.
O kolik by firmy měly zvýšit rozpočty na IT bezpečnost?
Návrh NIS 2 zahrnoval odhad, že organizace, na něž směrnice dopadne, budou potřebovat zvednout stávající výdaje na ICT bezpečnost o zhruba 12 až 22 procent. Středně velké firmy by si měly připravit další jednotky či desítky milionů korun a ty největší až stovky. Tyto investice se určitě vyplatí, protože sníží finanční a reputační náklady spojené s řešením bezpečnostních incidentů.
Co ukázal úspěšný hackerský útok na Ředitelství silnic a dálnic?
Znovu potvrdil, že v kyberbezpečnosti v Česku je opravdu mnohé co zlepšovat. Nejde jen o ŘSD, vždyť před ním přinejmenším částečně uspěly i útoky na nemocnice či ministerstvo zahraničí. Příkladů by se našlo víc, a to i ve firemní sféře. Podniky však incidenty radši moc nezveřejňují, aby nevylekaly klienty, obchodní partnery či investory.
•
