Kyberbezpečnost dnes řeší všechny firmy a podniky, včetně těch středních a malých. Zodpovědné vedení firem si možnost útoků a škody, které mohou vzniknout, uvědomuje a snaží se takovému nebezpečí předejít. V prvé řadě ho řeší z technického pohledu. K němu se ale velmi úzce váže i pohled právní. Ten se týká dodržování předpisů předepsaných státem. A právě nová legislativa, která vstoupí v platnost pravděpodobně začátkem příštího roku, se nově dotkne mnoha středních a malých podniků, které dosud příliš zákonná pravidla z pohledu IT zabezpečení neřešily.
Již před desítkami let začal na digitalizaci podnikání reagovat i stát a snaží se nastavovat pravidla, která by pomohla předcházet případným škodám z kybernetických útoků. A to vůči jak koncovým spotřebitelům, tak podnikům. Ale i společnosti jako celku, na kterou by například napadení provozovatele elektrické sítě či vodárny a jejich vyřazení z provozu mělo zásadní dopad. „I proto začal zákonodárce, tedy stát a potažmo Evropská unie, vydávat předpisy, které mají za cíl regulovat zabezpečení dat a informačních systémů, a vymáhá jejich dodržování po soukromoprávních subjektech, podnikatelích při jejich podnikání. Pro toto dodržování pravidel, respektive snahu dosáhnout souladu s legislativou se používá termín compliance,“ vysvětluje Ondřej Kramoliš z právního oddělení společnosti Gen.
Proč compliance?
O tom, jak je důležité mít dobře nastaven systém compliance a jaký význam mu firmy přikládají, svědčí výsledky průzkumu SMB Pulse společnosti Bredin. Podle něho vede uživatele k lepší IT ochraně v první řadě snaha ochránit společnost před finančními ztrátami. Hned na druhém místě se umístily požadavky compliance. Teprve na třetím místě je ochrana klientských a zákaznických dat. A dalším důvodem je přímá zkušenost s útokem, a tedy snaha podle hesla „sice pozdě, ale přece“ předejít dalšímu incidentu.
„Cíl a smysl compliance, respektive tlak na zavedení a dodržování státem stanovených pravidel, je velmi pragmatický – donutit ty, kteří přistupují k zabezpečení laxně, k jeho zlepšení pod hrozbou vysokých sankcí. Stát si v podstatě řekl, že nemůže nechat společnostem zcela volnou ruku, a věřit, že se budou vždy chovat zodpovědně,“ doplňuje Ondřej Kramoliš. A sankce mohou být opravdu vysoké a mohou jít až do stovek milionů eur.
Nový zákon o kybernetické bezpečnosti je na spadnutí
Pravidel, předpisů a zákonných ustanovení, která stát v souvislosti s IT bezpečností vydal, je mnoho a jejich aplikace či dodržování se liší podle řady faktorů. Jsou zákony či nařízení, které platí téměř pro všechny firmy. Například nařízení pro ochranu osobních údajů, GDPR, se kterým přichází do kontaktu lidé denně.
U jiných předpisů záleží na sektoru a jeho důležitosti. Pokud jsou to sektory kritické pro fungování státu a společnosti obecně, tedy například energetika, hospodaření s vodou, zdravotnictví, ale nově i potravinářství, chemický průmysl, odpadové hospodářství, poštovní a kurýrní služby, výroba zdravotnických prostředků a podobně, jsou zde pravidla a regulace specifičtější, jednoznačně striktnější a jejich dodržování je přísně sledované.
S tím souvisí ještě jeden aspekt. Totiž že se tato striktní pravidla mohou dotknout i malých a středních podniků, které přímo kritickou infrastrukturu neprovozují, ale jsou například dodavateli. Jsou tedy na tuto infrastrukturu napojení a potenciálně hrozí možnost napadení přes ně. Proto se jich přísná pravidla také týkají. „Provázanost společnosti jako celku a organizací v ní je dnes již tak velká, že nový zákon o kybernetické bezpečnosti, který do českého právní řádu transponuje směrnici Evropské unie NIS2 a který bude vstupovat v účinnost pravděpodobně začátkem příštího roku, už neřeší pouze systémy důležité pro společnost, ale požaduje zabezpečit vše, co souvisí s poskytováním služeb potřebných pro její fungování. Dotkne se tedy nově řady subjektů, středních a v některých případech i malých podniků, které na něj budou muset reagovat,“ zdůrazňuje Ondřej Kramoliš.
Jak nastavit compliance program
To otevírá otázku, jak má menší podnik postupovat pro soulad s legislativou, jak program nastavit a jak sledovat jeho plnění. „Především je potřeba, aby podnikatel nebo vedení firmy přistupovali k této legislativě zodpovědně. Aby ji nehodili za hlavu stylem ,co si to v Bruselu zase vymýšlejí, to se mě určitě netýká‘. Podnikatel by si měl dát tu práci porozumět, co se od něj v kontextu dané legislativy očekává. Třeba i jen proto, aby se opravdu přesvědčil, že se ho netýká. A pokud se ho týká, měl by si umět vyhodnotit, jaký přístup k její implementaci zvolit a někdy i to, do jaké míry si může dovolit legislativu neimplementovat a jaká rizika mu z toho mohou vyplynout,“ radí Ondřej Kramoliš ze společnosti Gen.
Pro snazší vyhodnocení a implementaci je výhodné obrátit se na odborníky. Menší podnik obvykle nemá velké právní oddělení znalé takto úzkého oboru. „Jde o oblast specifickou s množstvím poměrně složité a obsáhlé legislativy a pro malé, ale i střední podniky bude tedy mnohem snazší a v důsledku ekonomicky výhodnější obrátit se na poradenské či externích konzultanty, jako advokátní kanceláře, konzultanty v oblasti informační bezpečnosti, konzultanty v oblasti optimalizace a zlepšování interních procesů a podobně. Ti pro ně budou schopni zmapovat, na jaké jejich činnosti a jakým způsobem se nová legislativa uplatní,“ doporučuje Kramoliš. Pomůžou jim navrhnout program k dosažení compliance, tedy jak se dostat do stavu zabezpečení, který vyžaduje legislativa. Pomohou také tento stav zdokumentovat a nastavit procesy, aby byla společnost schopna dosažený stav průběžně kontrolovat, rozvíjet a v každém okamžiku dokladovat. „Cílem by mělo být, aby se tato pravidla a jejich dodržování stalo součástí firemní kultury,“ shrnuje Kramoliš.
Pozor na kontroly
Dobře nastavené compliance procesy a jejich průběžná kontrola a aktualizace jsou pro podniky zásadní, protože stát má orgány pro dohled nad plněním svých nařízení, konkrétně NÚKIB, Národní úřad pro kybernetickou a informační bezpečnost. Ten může zahájit inspekci na základě vlastního uvážení nebo vnějšího podnětu. Tím může být i například nahlášený útok. Firma má totiž povinnost hlásit bezpečnostní incident příslušnému dozorovému úřadu. Ten posoudí, zda společnost splnila a měla v pořádku všechny právně dané bezpečnostní náležitosti, aby předešla útoku, nebo jestli někde pochybila. Pokud byl standard péče o bezpečnost dodržen, firmě nehrozí žádné sankce. Ovšem v případě jeho nedodržení či porušení hrozí naopak velké. O tom se přesvědčila v minulosti i řada velkých nadnárodních firem.
Se správou compliance pomůže software
S průběžným sledováním compliance a jeho aktualizací a zároveň zabezpečením po technické stránce mohou firmám pomoci i aplikace a platformy dostupné na trhu. Podniky tedy nemusí hledat IT řešení na klíč, ale mohou zvolit aplikaci, která jim s malou mírou customizace bude vyhovovat a pomůže řešit compliance. Příkladem může být platforma Avast Business Hub pro vzdálenou správu, která zajišťuje i malým firmám vícevrstevné zabezpečení. Je provozována v cloudu, neklade tedy nároky na technické zázemí klienta a snižuje tak jeho náklady. Platforma má snadný přístup k hrozbám, aktualizacím a reportům z centrálního místa a poskytuje zákazníkům aktuální a komplexní ochranu. „Díky své robustnosti a centrální správě se platforma dokáže dobře vypořádat se změnami v legislativě. Dokáže pro konkrétního zákazníka na základě analýzy a doporučení výše zmiňovaných odborníků implementovat nové prvky a zabezpečení, které legislativa v jeho případě vyžaduje,“ doplňuje Jakub Kvaček z divize Avast Business ve společnosti Gen.
Text vznikl ve spolupráci se společností Gen, poskytovatelem produktů Avast.