fb
IT Systems 1-2/2024 IT Security 29. 2. 2024 11:30

Kyberbezpečnost není jen o technologiích, důležité jsou i procesy

Kybernetická rizika patří v současné době k těm největším hrozbám pro fungování firem a organizací. Není to o tom, jestli se kyberzločincům podaří do firmy dostat, ale kdy se tak stane. Dle statistik je totiž kaž­dá organizace měsíčně vystavena v průměru 11 tisícům snahám o napadení. Klade se tak důraz na implementaci co nejlepších technologií pro zajištění kyberbezpečnosti. Přitom se často zapomíná, že je třeba mít i správně nastavené procesy a splňovat řadu souvisejících povinností, které ukládá zákon.

 

Richard Otevřel
Richard Otevřel
Petr Hrnčíř
Petr Hrnčíř

„Kyber­bez­peč­nost není jen o tech­no­lo­gii. Ta nám sice dává mož­nost se chrá­nit, ale je tu řada zá­kon­ných před­pi­sů, které nám uklá­da­jí po­vin­nost něco do­dr­žo­vat a řada dal­ších práv­ních kro­ků sta­no­vu­jí­cích, jak na kyber­ne­tic­ký útok re­ago­vat. Na to firmy často za­po­mí­na­jí, nebo o tom ani neví,“ říká Richard Ote­vřel z advo­kát­ní kan­ce­lá­ře Noerr. „Vše úzce sou­vi­sí s cel­ko­vým com­pli­ance ma­nage­ment sys­té­mem, bez které­ho se firmy obe­jít ne­mo­hou a který musí řešit právě i legi­sla­tiv­ní po­ža­dav­ky týka­jí­cí se kyber­bez­peč­nos­ti. Firmy si často ani neuvědomují, že se to týká i jich – kyberhrozbám je přitom vystavena každá společnost, nezávisle na velikosti nebo předmětu podnikání,“ dodává Petr Hrnčíř rovněž z advokátní kanceláře Noerr.

Závislost na IT a online řešeních neustále narůstá a zločinci toho dobře využívají. Zatímco ještě před několika lety byly nepřítelem zločinecké skupiny snažící se o získání výkupného, od začátku války na Ukrajině a dalších geopolitických změn se okruh rozšířil i o subjekty, které čistě chtějí ničit, tedy destabilizovat určitý trh nebo oblast. Zatímco dříve tak byly primárním cílem velké firmy ochotné platit výkupné, dnes se jedná prakticky o jakoukoliv organizaci. Už tak neplatí tradiční vnímání, že kyberbezpečnosti se náležitě věnují jen tradiční rizikové obory typu finančních institucí anebo firem působících v rámci kritické infrastruktury – potřebu chránit se mají průmyslové podniky či logistické obory, u nichž je elektronizace již neodmyslitelnou součástí dalšího úspěšného fungování v byznysu. „Dramatický nárůst počtu cílů se ale plně neprojevil v tom, co firmy a instituce za opatření dělají. Zatímco nechat správce IT zlepšit kybernetické zabezpečení bývá obvyklým krokem, v související právní oblasti organizace naprosto selhávají,“ říká Richard Otevřel.

„Právní“ prevence kybernetických útoků spočívá v přípravě plánu, revizi smluv a nastavení plnění a zodpovědností, zajištění vhodného pojištění, nebo kontroly spravovaných dat a povinností směrem k zákazníkům a dodavatelům. Důležitá je ale i reakce na samotný útok, protože zde již nastává celá řada povinností – nahlášení úniku dat Úřadu na ochranu osobních údajů nebo samotného bezpečnostního incidentu Národnímu úřadu pro kybernetickou a informační bezpečnost. Může zde být relevantní i odpovědnost za určité kroky vůči dodavatelům anebo naopak těchto dodavatelů samotných, které by měla mít firma pod kontrolou.

„Subjektů spadajících pod příslušné regulace neustále narůstá, proto je třeba být na podobné situace připraven. Je třeba znát odpovědi na otázky, zda se to dotklo práv a smluv s našimi zákazníky, nebo koho jsme povinni informovat v našem dodavatelském řetězci. Pokud dopředu víme, jak postupovat, tak to celou nepříjemnou situaci usnadní. Navíc se lze následně poučit, jak například uzavírat smlouvy do budoucna,“ uzavírá Petr Hrnčíř.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 10 IT Systems 9 IT Systems 7-8 IT Systems 6
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1