V dnešním světě kybernetických hrozeb čelí riziku útoku denně každý podnik, bez ohledu na velikost. Základem je uvědomit si, že kybernetická bezpečnost není problém skrývající se za dveřmi firemního IT oddělení. Musí se jí zabývat nejvyšší vedení všech organizací, říká Šimon Toman, ředitel advokátní kanceláře Toman & partneři. Kybernetické útoky na nemocnice v době koronaviru podle něj ukázaly, že hyenismus hackerů nezná hranic.
Mluví se o tom, že kybernetických útoků stále přibývá. Lze to kvantifikovat?
Že kybernetických útoků stále přibývá, je nesporné. Nedávné studie od KPMG nebo IBM například ukazují, že se s nimi setkalo více než 50 procent středně velkých podniků. Například v lednu 2021 pak renomovaná bezpečnostní firma Check Point uvedla, že celosvětově v době koronavirové krize došlo k nárůstu kybernetických útoků na zdravotnická zařízení o 45 procent. Tato strašidelná statistika mimo jiné bohužel i ukazuje, že hyenismus některých hackerů nezná hranic.
V čem jsou kybernetické útoky na nemocnice specifické?
Řekl bych, že zejména v následcích, které mohou způsobit. V době koronaviru, kdy nemocnice byly pod náporem pacientů, by jakýkoli výpadek ve zdravotnictví mohl mít nepředstavitelné škody. Proto vítám i v tomto směru aktivitu Národního úřadu pro kybernetickou a informační bezpečnost NÚKIB, který v této věci již 16. dubna 2020 vydal varování, a nyní rozšiřuje počet nemocnic, které je potřeba nejen s ohledem na jejich velikost hlídat a chránit.
Vnímají už manažeři a představitelé státu toto téma vážně?
Kybernetická bezpečnost je nyní rozhodně horkým tématem, a to jak v soukromém sektoru, tak ve státní sféře. Jsem rád, že se její význam akcentuje i v mnoha předvolebních kampaních. Bohužel tento entuziasmus u mnoha manažerů i představitelů státu opadá ve chvíli, kdy vidí cenovku za její zajištění. Ta se bohužel často střetává se snahou šetřit výdaje. V tomto ohledu je důležité neustále upozorňovat na to, že kybernetický incident může pro firmu znamenat nejen nemalé přímé náklady, ale ve většině případů i ztrátu důvěry jejích zákazníků.
Co byste v tomto ohledu firmám vzkázal?
Základ je uvědomit si, že kybernetická bezpečnost není problém skrývající se za dveřmi firemního IT oddělení. Kybernetickou bezpečností se musí zabývat nejvyšší vedení společnosti, které za její zajištění také přímo odpovídá. Potenciální vysoké ztráty jsou tedy apelem především na statutární orgány společností. Na tento fakt dlouhodobě upozorňuje i ředitel NÚKIB Karel Řehka.
Kde by měly firmy začít?
Doporučeným prvním krokem je zmapování současného stavu zabezpečení pomocí ICT auditu od specializovaných firem. V tomto ohledu je důležité si uvědomit, že zajištění kybernetické bezpečnosti není jen technickou otázkou. ICT audit by měl mimo jiné obsahovat i revizi interních předpisů společnosti, včetně fyzické ochrany objektů a zařízení a identifikovat tak všechny případné zranitelnosti daného subjektu. Společnost může investovat miliony do různých bezpečnostních technologii, ale když nezamyká dveře od serverovny, koleduje si o velký malér.
Kde je v této ochraně prostor pro právníka?
Komplexní audit by měl mimo jiné zahrnovat i právní compliance program, který zajistí soulad bezpečnostního systému firmy s relevantní legislativou a minimálními standardy a zreviduje z pohledu kybernetické bezpečnosti všechny relevantní smlouvy. Například s dodavateli či klíčovými zaměstnanci. Abychom našim klientům v této oblasti mohli poskytnout komplexní služby, vytvořili jsme ve spolupráci se společností KPMG novou službu cybersecurity compliance, zaměřenou na komplexní a dlouhodobé zajištění kybernetické bezpečnosti. V rámci služby provedeme bezpečnostní ICT audit, zaměřený jak na technické, tak netechnické aspekty kybernetické bezpečnosti, identifikujeme hrozby a zranitelnosti a navrhneme bezpečnostní opatření, jak jednotlivé zranitelnosti odstranit a minimalizovat riziko kybernetického incidentu. V rámci služby také nabízíme unikátní školící program pro zaměstnance „5 minut pro bezpečnost“.
Vraťme se k prevenci. Co je druhým krokem po auditu?
Druhým krokem je implementace jednotlivých bezpečnostních opatření a nastavení kontinuálního přístupu ke kybernetické bezpečnosti, který budou chápat a dodržovat všichni zaměstnanci.
Je obecně známo, že selhání lidského faktoru bývá jednou z hlavních příčin kybernetického incidentu. Edukace a neustálé proškolování zaměstnanců tak musí být hlavní prioritou a základním stavebním kamenem systému zajištění kybernetické bezpečnosti. To obzvláště platí pro pracoviště, kde jsou používána přenosná a mobilní zařízení, jako notebooky, tablety nebo mobily, z nichž se zaměstnanci k síti připojují například z domova nebo kavárny.
Ideálním způsobem testování zaměstnanců jsou pak například simulované phishingové útoky, které vedení společnosti dají přehled o jejich připravenosti na případný kybernetický atak. I v této oblasti spolupracuje naše advokátní kancelář s externími experty, jako je například firma LPP s.r.o.
Často chválíte Národní úřad pro kybernetickou a informační bezpečnost. Zároveň ale zastupujete firmu Huawei, před kterou tento úřad varuje. Jak to jde dohromady?
Velmi dobře. Nikdo nemůže zpochybňovat významnou roli NÚKIB a já osobně oceňuji jejich práci na poli kybernetické bezpečnosti. Ano, Huawei je jedním z našich klientů a v rámci našeho zastupování jsme dospěli k řadě právních názorů, kdy se s postoji úřadu rozcházíme. To však neznamená, že bych nemohl NÚKIB v jiných věcech podporovat či snad s nimi spolupracovat. Naopak. Odborná diskuse je základem zkvalitňování právního a regulačního prostředí.
Co se Huawei týče, mít možnost pracovat na tak světově významné kauze beru jako velkou příležitost. Osobně však pro svou práci považuji za důležité oddělit právo od politiky.
Šimon Toman
Šimon Toman je právník, od roku 2015 pracuje v advokátní kanceláři Toman & partneři. Pozici jejího ředitele zastává od roku 2020. V rámci své právní praxe se zaměřuje na oblast kybernetické bezpečnosti a telekomunikací.
