Kyberbezpečnost není jen o technologiích, důležité jsou i procesy
Kybernetická rizika patří v současné době k těm největším hrozbám pro fungování firem a organizací. Není to o tom, jestli se kyberzločincům podaří do firmy dostat, ale kdy se tak stane. Dle statistik je totiž každá organizace měsíčně vystavena v průměru 11 tisícům snahám o napadení. Klade se tak důraz na implementaci co nejlepších technologií pro zajištění kyberbezpečnosti. Přitom se často zapomíná, že je třeba mít i správně nastavené procesy a splňovat řadu souvisejících povinností, které ukládá zákon.
Richard Otevřel
Petr Hrnčíř
„Kyberbezpečnost není jen o technologii. Ta nám sice dává možnost se chránit, ale je tu řada zákonných předpisů, které nám ukládají povinnost něco dodržovat a řada dalších právních kroků stanovujících, jak na kybernetický útok reagovat. Na to firmy často zapomínají, nebo o tom ani neví,“ říká Richard Otevřel z advokátní kanceláře Noerr. „Vše úzce souvisí s celkovým compliance management systémem, bez kterého se firmy obejít nemohou a který musí řešit právě i legislativní požadavky týkající se kyberbezpečnosti. Firmy si často ani neuvědomují, že se to týká i jich – kyberhrozbám je přitom vystavena každá společnost, nezávisle na velikosti nebo předmětu podnikání,“ dodává Petr Hrnčíř rovněž z advokátní kanceláře Noerr.
Závislost na IT a online řešeních neustále narůstá a zločinci toho dobře využívají. Zatímco ještě před několika lety byly nepřítelem zločinecké skupiny snažící se o získání výkupného, od začátku války na Ukrajině a dalších geopolitických změn se okruh rozšířil i o subjekty, které čistě chtějí ničit, tedy destabilizovat určitý trh nebo oblast. Zatímco dříve tak byly primárním cílem velké firmy ochotné platit výkupné, dnes se jedná prakticky o jakoukoliv organizaci. Už tak neplatí tradiční vnímání, že kyberbezpečnosti se náležitě věnují jen tradiční rizikové obory typu finančních institucí anebo firem působících v rámci kritické infrastruktury – potřebu chránit se mají průmyslové podniky či logistické obory, u nichž je elektronizace již neodmyslitelnou součástí dalšího úspěšného fungování v byznysu. „Dramatický nárůst počtu cílů se ale plně neprojevil v tom, co firmy a instituce za opatření dělají. Zatímco nechat správce IT zlepšit kybernetické zabezpečení bývá obvyklým krokem, v související právní oblasti organizace naprosto selhávají,“ říká Richard Otevřel.
„Právní“ prevence kybernetických útoků spočívá v přípravě plánu, revizi smluv a nastavení plnění a zodpovědností, zajištění vhodného pojištění, nebo kontroly spravovaných dat a povinností směrem k zákazníkům a dodavatelům. Důležitá je ale i reakce na samotný útok, protože zde již nastává celá řada povinností – nahlášení úniku dat Úřadu na ochranu osobních údajů nebo samotného bezpečnostního incidentu Národnímu úřadu pro kybernetickou a informační bezpečnost. Může zde být relevantní i odpovědnost za určité kroky vůči dodavatelům anebo naopak těchto dodavatelů samotných, které by měla mít firma pod kontrolou.
„Subjektů spadajících pod příslušné regulace neustále narůstá, proto je třeba být na podobné situace připraven. Je třeba znát odpovědi na otázky, zda se to dotklo práv a smluv s našimi zákazníky, nebo koho jsme povinni informovat v našem dodavatelském řetězci. Pokud dopředu víme, jak postupovat, tak to celou nepříjemnou situaci usnadní. Navíc se lze následně poučit, jak například uzavírat smlouvy do budoucna,“ uzavírá Petr Hrnčíř.