Předcházet rizikům z online světa je důležité, a to nejen co nejlepším zajištěním důležitých dat a technologických zařízení nebo školením zaměstnanců. Dostatečná úroveň kybernetické odolnosti začíná už „na papíře“, tedy přípravou důležitých interních směrnic nebo třeba ošetřením případných hrozeb ve smlouvách.

Týká se to ve větší míře exportérů, protože jim vzhledem ke komunikaci se subjekty z mnoha různých jurisdikcí hrozí větší riziko kybernetických útoků než firmám, které podnikají výhradně na domácím trhu. To ale rozhodně neznamená, že podniky, které za hranicemi nepůsobí, by se tímto problémem zabývat neměly. V článku se pokusíme nastínit alespoň některé ze zásadních aspektů, na něž by vedení firem určitě nemělo zapomínat.

Hledá se ideový otec pro kyberbezpečnost

Absolutním základem a současně možná i úplně nejdůležitějším krokem je podle advokáta Tomáše Ščerby nalezení někoho, kdo bude ve firmě působit v roli určitého ideového nositele myšlenky, že problematikou kyberbezpečnosti je třeba se vážně a poctivě zabývat. „Jestliže budou představitelé společnosti tuto věc vnímat tak, že je to zase jen něco zbytného, do čeho jsou – vzhledem ke zpřísňování příslušné legislativy – nuceni, a nikoli jako nesmírně důležitou agendu pro ochranu majetku, lidí, dobrého jména firmy a vlastně všeho, co vytváří, pak je to špatně,“ myslí si Tomáš Ščerba, který se na problematiku specializuje.

Pokud přejdeme ke konkrétním krokům, pak je třeba zabývat se především zabezpečením přenosu dat. Představitelé firem či příslušných úseků by si předně měli svá data rozdělit. Například na tzv. obchodně citlivá data, data podléhající obchodnímu tajemství, utajované informace, informace obsahující osobní údaje a pak také bezpříznakové informace. Následně je důležité věnovat pozornost
tomu, jak mají firmy zabezpečený přenos výše zmíněných dat nejen v rámci organizace, ale především mimo ni. Což se týká zejména obchodních smluv, faktur, platebních informací atd., a to zejména při komunikaci se subjekty mimo Českou republiku nebo Evropskou unii.

Tomáš Ščerba doporučuje vytvoření příslušné interní řídicí dokumentace, součástí které budou mj. pravidla pro šifrování a další ochranné protokoly. Ty by měly zamezit úniku především pro korporaci citlivých obchodních informací. Jak takovou dokumentaci vytvořit? V první řadě je nutné vědět, jaká data vlastně firma potřebuje chránit. Musí tedy zjistit, jakými daty přesně disponuje, a ta pak podle vytvořené metodiky pečlivě klasifikovat.

Pozor na cloudy. Zvlášť ty americké

Pokud společnost pro uchovávání svých dat využívá zahraniční cloudové služby, svou informační bázi by si také měla zabezpečit. Především pro případ kyberútoku, tak aby neztratila přístup k datům, a tím pádem nebyla například vydíratelná (více se problematikou zabýváme v hlavním tématu vydání). To by mělo být zajištěné ideálně smluvně. Za tím účelem by vedení firmy mělo pověřit konkrétního člena týmu vypracováním návrhu příslušného dokumentu. A to podle standardu ISO 27¦000 pro normy z oblasti bezpečnostních informací, protože návrh bude obsahovat údaje o zaměstnancích, dále obchodní data, jako jsou plány, závazky, CRM dokumentace o zákaznících atd.

Tato data by pak měla být přiřazena k jednotlivým úrovním například na škále jedna až pět a u těch by se pak měla stanovit pravidla, kdo k nim má přístup apod. Poté by například zápisem z jednání představenstva, popř. jiným aktem, měla vzniknout dokumentace s tzv. pyramidální strukturou, která rozvádí stanovená pravidla do celé organizace.

Firmy, které využívají cloudové služby poskytovatelů americké provenience, by podle Tomáše Ščerby měly být opatrné dvojnásobně. Teoreticky se totiž může stát, že budou muset svá důležitá data poskytnout třeba i vládě Spojených států a jednotlivým jejím bezpečnostním složkám. V krajní případě pak nelze vyloučit ani takový scénář, že se tyto informace mohou dostat i k jejich americké konkurenci. Zpřístupnění uložených či zpracovávaných dat americkým orgánům a bezpečnostním složkám totiž umožňuje tzv. American Cloud Act.

Jak se proti tomu bránit? „Pravděpodobně nejméně nákladnou možností je důsledně trvat na tom, aby američtí poskytovatelé cloudových služeb fyzicky uchovávali data na serverech, které jsou lokalizované v Evropské unii. To firmě umožní získat čas pro realizaci nutných kroků k efektivnímu získání dat,“ vysvětluje Tomáš Ščerba. „Data by zároveň měla být exportéry pravidelně šifrována, což znamená, že nepůjdou jednoduše dešifrovat bez další součinnosti. Provider je tedy sice poskytne, ale nebudou pro třetí stranu čitelná.“ Další možností je podle advokáta využívat služeb evropských poskytovatelů, například německých nebo francouzských, i když ty možná pro konkrétní potřeby exportérů nemusí být zcela vyhovující či cenově konkurenční.

Směrnice NIS2 může pomoct všem firmám

Samozřejmě je třeba zaměřit pozornost také na technické zabezpečení firemních zařízení a počítačových sítí. Integrální součástí této ochrany musí být pravidelné školení kybernetické bezpečnosti pro všechny role v organizaci, a to pochopitelně na různých úrovních detailu a obsahu. Vhodné je zvážit investice do již zmíněné certifikace podle ISO standardu 27 000.

Zvláštní zájem by mělo vedení firem věnovat nové právní úpravě evropské směrnice NIS2, která předepisuje řadu pravidel v této oblasti. I když se norma se vztahuje na regulované subjekty, což jsou kromě firem patřících do tzv. kritické infrastruktury také všechny střední a velké podniky s významnějšími obraty a rovněž státní správa, podle Tomáše Ščerby je legislativa dobrým vodítkem i pro ostatní firmy. Podle něj jim ukazuje, jak se na regulaci připravit, jak obecně k ochraně aktiv a citlivých informací přistupovat, a to nejen v zájmu firem samotných, ale i celého ekosystému. „V posledních letech je naprosto zřejmá tendence zahrnovat mezi regulované subjekty stále širší a širší okruh firem a tenhle trend bude zcela logicky pokračovat,“ myslí si advokát. A dodává, že regulace můžou na firmy dopadnout i nepřímo. Například pokud budou součástí dodavatelského řetězce, v jehož rámci regulované subjekty působí.