Bohužel vše má ale i své stinné stránky, a tak i průmyslová špionáž, neautorizovaný sběr informací nebo snaha o prolomení obchodního tajemství a poškození soupeře v rámci konkurenčního boje se přesunuly do digitálního prostoru.
To, že veškerá firemní vnitřní komunikace probíhá prostřednictvím počítačové sítě, je pro efektivitu této komunikace klíčové. Nikdy nebylo snazší podílet se na tvorbě jednoho dokumentu ve více lidech najednou v reálném čase, a to i tehdy, když se každý z jednotlivců nachází na jiném kontinentu. Stejně tak možnost komunikace nápadů mezi jednotlivými větvemi mezinárodního holdingu probíhá bleskovou rychlostí, což zrychluje i samotný vývoj a pokrok. Nicméně jak bývá zvykem, konkurence reaguje rovněž s neuvěřitelnou pohotovostí a plné digitalizace náležitě využívá i pro vedení konkurenční války. Ta tam je nutnost osobního získávání informací pomocí nastrčených informátorů, vše lze obstarat takříkajíc z pohodlí vlastní kanceláře. Cíle těchto bojů jsou téměř stejné jako v minulosti, jen bitevní pole se přesunulo do světa jedniček a nul, a můžeme tak říci, že kybernetická válka je v plném proudu.
Problém v celosvětovém měřítku
Všichni jsou si vědomi toho, že kdyby náhle přestal vinou kybernetického útoku fungovat internet, vedlo by to nejspíše, vzhledem k čím dál větší digitální provázanosti, k celkovému kolapsu nejen v komunikaci, ale i v ekonomice jako takové. Útok na firemní vnitřní síť přitom má naprosto totožné destabilizační důsledky pro chod společnosti a v případě, že by se jednalo o společnost nadnárodní, jistě seznatelné i v globálním měřítku. Zákonodárci napříč kontinenty se proto snaží na tyto problémy reagovat a přijímat legislativu, která by boj s kyberkriminalitou usnadňovala. Děje se tak nejen na úrovni jednotlivých států, nejmarkantněji například v USA, Rusku nebo Číně, ale už ze samotné postaty věci na úrovni mezinárodní.
Pro Českou republiku je samozřejmě nejdůležitějším zdrojem nadstátního práva Evropská unie, která v dané oblasti přijala tzv. NIS (Network and Information Security) směrnici, která směřuje k zajištění bezpečnosti na kritické infrastruktuře počítačových sítí, a tím zajišťuje kontinuitu jejich fungování. O nutnosti přijetí podobné legislativy svědčí i to, že podle údajů Evropské komise například během roku 2012 celých 93% velkých korporací čelilo nějaké formě kybernetického úroku. Roční ztráty způsobené kybernetickými útoky na společnosti pak Evropská komise celosvětově odhaduje na neuvěřitelných 290 miliard dolarů. Úprava v jednotlivých státech, které budou tuto směrnici do svého právního řádu implementovat, se samozřejmě může v dílčích bodech lišit, nicméně vždy bude směrnice poskytovat jakési jednotící hledisko. Čeští zákonodárci oblast boje proti digitálnímu zločinu upravili v zákoně o kybernetické bezpečnosti, který by měl vejít v platnost na začátku příštího roku. Kybernetickou bezpečnost lze potom specifikovat jako zajištění ochrany kybernetického prostoru a v něm obsažených informací z hlediska jejich důvěrnosti, integrity a dostupnosti.
O bezpečnost se postará NBÚ spolu s novými institucemi
Co se státní správy kybernetickou bezpečnost zaštiťující týče, dohled a koordinaci zákona spolu se zajištěním jeho realizace bude mít na starosti Národní bezpečnostní úřad, který sám přišel s jeho návrhem. Jako ústřední orgán pro dohled nad kybernetickou bezpečností bude pak NBÚ zařazen na úroveň složek typu policie či zpravodajských služeb. Vedle toho bude zřízena instituce zcela nová, takzvané dohledové pracoviště národní úrovně neboli CERT (Computer Emergency Response Team). Půjde o právnickou osobu financovanou pravděpodobně ze státního rozpočtu, která bude mít na starosti sdílení informací z oblasti kybernetické bezpečnosti, a to jak na národní, tak mezinárodní úrovni. Právě sem budou společnosti hlásit bezpečnostní incidenty a zde následně dojde k jejich vyhodnocení a analýze, na základě čehož budou vydávána opatření, která daná společnost musí přijmout. Dalším orgánem, který sehraje svou roli při zajišťování kybernetické bezpečnosti, pak bude bezpečnostní tým pro koordinaci řešení bezpečnostních incidentů v počítačových sítích provozovaných v ČR neboli CSIRT (Computer Security Incident Response Team), který provozuje správce české národní domény, sdružení CZ.NIC.
Zákon se dotkne celé řady společností, a to včetně zaměstnanců
Které přesně firmy a instituce spadají do režimu nového zákona, není zcela jasné. Nosná kritéria budou vycházet především z nařízení vlády číslo 432/2010 o prvcích kritické infrastruktury, upraveného pro větší množství subjektů. V současné době se nařízením řídí například banky s tržním podílem vyšším jak 10% nebo pojišťovny s podílem vyšším jak 25%. Společnostem, ale i státní správě samotné, jistě zákon přinese větší ochranu a s ní snad i onu slibovanou větší bezpečnost. Nicméně opatření, která budou muset společnosti přijmout, aby dostály nejnovějším bezpečnostním standardům, budou stát nejen úsilí, ale také mnohdy nemalé peníze. Kromě investic do nových technologií bude nepochybně potřeba angažovat a mnohdy i zaměstnat odborníky právě na počítačovou bezpečnost a zároveň odpovídajícím způsobem proškolit i řadové zaměstnance včetně managementu. V 90% dotčených firem tak bude hlavním úkolem nastavit procesy a vazby mezi vlastníky systému IT a bezpečnostními manažery. Změny se s vysokou pravděpodobností dotknou celé řady zaměstnanců, od administrátorů systémů spadajících dle definice do kritické infrastruktury, až po finanční a provozní ředitele. Preventivní či reaktivní opatření budou z organizací nuceni provádět hlavně poskytovatelé a správci kritických systémů a dodavatelé technologií či aplikací pro tyto systémy. Právě integrace všech lidí, kteří se jakkoliv na chodu firmy podílejí, je v dané věci naprosto klíčová, neboť bezpečnost je nutno vnímat jako dynamický proces, kde pouhá technika nestačí a lidský faktor tak zůstává mnohdy nejslabším místem.
Nezapomínejme na rovinu autorskoprávní
Zákon o kybernetické bezpečnosti však míří proti společnostem tím, že stanovuje sankce za správní delikt při jeho nedodržování, a to ve výši až sto tisíc korun. Jaké však jsou možnosti společnosti, na níž je právě kybernetický útok spáchán? Samozřejmě, že kromě prostředků, které nabízí trestní právo, je nutné si uvědomit, k jakým typům kybernetických útoků nejčastěji dochází. Kromě útoků cílených na vyřazení serverů z provozu, a tím ochromení fungování společnosti, se nejčastěji setkáváme s již na počátku zmíněnými krádežemi duševního vlastnictví a dataminingem, tedy v zásadě s klasickou průmyslovou špionáží. Jelikož většina užitných vzorů, průmyslových nákresů a schémat je různými cestami chráněna autorským právem, jsou zde rovněž nástroje k sankcionování právě porušení práv autorských a práv průmyslových. Zde jsou sankce vysoké, avšak škoda způsobená například krádeží podkladů pro patent a jejich následným užitím k patentování konkurencí mohou mít pro společnost mnohem nedozírnější následky. Nevýhodou je, že i v rámci národních sporů bývají autorskoprávní spory před soudy vleklé. Vzhledem k tomu, že k těmto útokům často dochází z jiných zemí, například ze strany plagiátorů z Asie, bývá cesta k domožení se svých práv velmi zdlouhavá a složitá, protože se společnost musí potýkat s právními řády více států, často naprosto odlišnými, a jen určení soudní příslušnosti tak trvá velmi dlouho.
Investice do prevence se vyplatí víc než řešení škod
Hodnotit zákon a jeho faktický přínos před jeho účinností by bylo poněkud pošetilé a předčasné. Jakkoliv můžeme v jeho současném znění hledat a analyzovat případné chyby, stejně až vydání provádějících vyhlášek ukáže, co vlastně bude v praxi řešeno. A nic jiného než praxe sama nám odpovědi na otázky týkající se hodnocení nepřinese. Lze očekávat, že především velké mezinárodní firmy se sídlem v zemích, kde jsou bezpečnostní standardy vyšší než v České republice, mají i na svých tuzemských pobočkách zabezpečení počítačových systémů na více než dostatečné úrovni. Jakkoliv se však může menším společnostem zdát, že počáteční investice do technologických inovací a proškolení zaměstnanců je vysoká, rozhodně je z těch, které se do budoucna vyplatí. Stejně tak se vyplatí neustále sledovat trendy a aktuality v oblasti zabezpečení. Jak se říká – být o krok napřed před nepřítelem je základem vítězství. A vzhledem k tomu, že globální digitalizace většiny firemních záležitostí bude i nadále na vzestupu, je rozhodně lepší problémům s kybernetickou kriminalitou předcházet, než je řešit.
Diskuze k článku ()