Řešení kybernetické války může být stejně nákladné jako u války reálné
S rapidním rozvojem moderních technologií je samozřejmostí, že většina agendy jak na úřadech, tak v obchodních společnostech se přenesla do digitální podoby. Rychlost a globální propojení prostřednictvím internetu mnoho záležitostí nesmírně ulehčilo a zjednodušilo.
Bohužel vše má ale i své stinné stránky, a tak i průmyslová špionáž, neautorizovaný sběr informací nebo snaha o prolomení obchodního tajemství a poškození soupeře v rámci konkurenčního boje se přesunuly do digitálního prostoru.
To, že veškerá firemní vnitřní komunikace probíhá prostřednictvím počítačové sítě, je pro efektivitu této komunikace klíčové. Nikdy nebylo snazší podílet se na tvorbě jednoho dokumentu ve více lidech najednou v reálném čase, a to i tehdy, když se každý z jednotlivců nachází na jiném kontinentu. Stejně tak možnost komunikace nápadů mezi jednotlivými větvemi mezinárodního holdingu probíhá bleskovou rychlostí, což zrychluje i samotný vývoj a pokrok. Nicméně jak bývá zvykem, konkurence reaguje rovněž s neuvěřitelnou pohotovostí a plné digitalizace náležitě využívá i pro vedení konkurenční války. Ta tam je nutnost osobního získávání informací pomocí nastrčených informátorů, vše lze obstarat takříkajíc z pohodlí vlastní kanceláře. Cíle těchto bojů jsou téměř stejné jako v minulosti, jen bitevní pole se přesunulo do světa jedniček a nul, a můžeme tak říci, že kybernetická válka je v plném proudu.
Problém v celosvětovém měřítku
Všichni jsou si vědomi toho, že kdyby náhle přestal vinou kybernetického útoku fungovat internet, vedlo by to nejspíše, vzhledem k čím dál větší digitální provázanosti, k celkovému kolapsu nejen v komunikaci, ale i v ekonomice jako takové. Útok na firemní vnitřní síť přitom má naprosto totožné destabilizační důsledky pro chod společnosti a v případě, že by se jednalo o společnost nadnárodní, jistě seznatelné i v globálním měřítku. Zákonodárci napříč kontinenty se proto snaží na tyto problémy reagovat a přijímat legislativu, která by boj s kyberkriminalitou usnadňovala. Děje se tak nejen na úrovni jednotlivých států, nejmarkantněji například v USA, Rusku nebo Číně, ale už ze samotné postaty věci na úrovni mezinárodní.
Pro Českou republiku je samozřejmě nejdůležitějším zdrojem nadstátního práva Evropská unie, která v dané oblasti přijala tzv. NIS (Network and Information Security) směrnici, která směřuje k zajištění bezpečnosti na kritické infrastruktuře počítačových sítí, a tím zajišťuje kontinuitu jejich fungování. O nutnosti přijetí podobné legislativy svědčí i to, že podle údajů Evropské komise například během roku 2012 celých 93% velkých korporací čelilo nějaké formě kybernetického úroku. Roční ztráty způsobené kybernetickými útoky na společnosti pak Evropská komise celosvětově odhaduje na neuvěřitelných 290 miliard dolarů. Úprava v jednotlivých státech, které budou tuto směrnici do svého právního řádu implementovat, se samozřejmě může v dílčích bodech lišit, nicméně vždy bude směrnice poskytovat jakési jednotící hledisko. Čeští zákonodárci oblast boje proti digitálnímu zločinu upravili v zákoně o kybernetické bezpečnosti, který by měl vejít v platnost na začátku příštího roku. Kybernetickou bezpečnost lze potom specifikovat jako zajištění ochrany kybernetického prostoru a v něm obsažených informací z hlediska jejich důvěrnosti, integrity a dostupnosti.
O bezpečnost se postará NBÚ spolu s novými institucemi
Co se státní správy kybernetickou bezpečnost zaštiťující týče, dohled a koordinaci zákona spolu se zajištěním jeho realizace bude mít na starosti Národní bezpečnostní úřad, který sám přišel s jeho návrhem. Jako ústřední orgán pro dohled nad kybernetickou bezpečností bude pak NBÚ zařazen na úroveň složek typu policie či zpravodajských služeb. Vedle toho bude zřízena instituce zcela nová, takzvané dohledové pracoviště národní úrovně neboli CERT (Computer Emergency Response Team). Půjde o právnickou osobu financovanou pravděpodobně ze státního rozpočtu, která bude mít na starosti sdílení informací z oblasti kybernetické bezpečnosti, a to jak na národní, tak mezinárodní úrovni. Právě sem budou společnosti hlásit bezpečnostní incidenty a zde následně dojde k jejich vyhodnocení a analýze, na základě čehož budou vydávána opatření, která daná společnost musí přijmout. Dalším orgánem, který sehraje svou roli při zajišťování kybernetické bezpečnosti, pak bude bezpečnostní tým pro koordinaci řešení bezpečnostních incidentů v počítačových sítích provozovaných v ČR neboli CSIRT (Computer Security Incident Response Team), který provozuje správce české národní domény, sdružení CZ.NIC.
Zákon se dotkne celé řady společností, a to včetně zaměstnanců
Které přesně firmy a instituce spadají do režimu nového zákona, není zcela jasné. Nosná kritéria budou vycházet především z nařízení vlády číslo 432/2010 o prvcích kritické infrastruktury, upraveného pro větší množství subjektů. V současné době se nařízením řídí například banky s tržním podílem vyšším jak 10% nebo pojišťovny s podílem vyšším jak 25%. Společnostem, ale i státní správě samotné, jistě zákon přinese větší ochranu a s ní snad i onu slibovanou větší bezpečnost. Nicméně opatření, která budou muset společnosti přijmout, aby dostály nejnovějším bezpečnostním standardům, budou stát nejen úsilí, ale také mnohdy nemalé peníze. Kromě investic do nových technologií bude nepochybně potřeba angažovat a mnohdy i zaměstnat odborníky právě na počítačovou bezpečnost a zároveň odpovídajícím způsobem proškolit i řadové zaměstnance včetně managementu. V 90% dotčených firem tak bude hlavním úkolem nastavit procesy a vazby mezi vlastníky systému IT a bezpečnostními manažery. Změny se s vysokou pravděpodobností dotknou celé řady zaměstnanců, od administrátorů systémů spadajících dle definice do kritické infrastruktury, až po finanční a provozní ředitele. Preventivní či reaktivní opatření budou z organizací nuceni provádět hlavně poskytovatelé a správci kritických systémů a dodavatelé technologií či aplikací pro tyto systémy. Právě integrace všech lidí, kteří se jakkoliv na chodu firmy podílejí, je v dané věci naprosto klíčová, neboť bezpečnost je nutno vnímat jako dynamický proces, kde pouhá technika nestačí a lidský faktor tak zůstává mnohdy nejslabším místem.
Nezapomínejme na rovinu autorskoprávní
Zákon o kybernetické bezpečnosti však míří proti společnostem tím, že stanovuje sankce za správní delikt při jeho nedodržování, a to ve výši až sto tisíc korun. Jaké však jsou možnosti společnosti, na níž je právě kybernetický útok spáchán? Samozřejmě, že kromě prostředků, které nabízí trestní právo, je nutné si uvědomit, k jakým typům kybernetických útoků nejčastěji dochází. Kromě útoků cílených na vyřazení serverů z provozu, a tím ochromení fungování společnosti, se nejčastěji setkáváme s již na počátku zmíněnými krádežemi duševního vlastnictví a dataminingem, tedy v zásadě s klasickou průmyslovou špionáží. Jelikož většina užitných vzorů, průmyslových nákresů a schémat je různými cestami chráněna autorským právem, jsou zde rovněž nástroje k sankcionování právě porušení práv autorských a práv průmyslových. Zde jsou sankce vysoké, avšak škoda způsobená například krádeží podkladů pro patent a jejich následným užitím k patentování konkurencí mohou mít pro společnost mnohem nedozírnější následky. Nevýhodou je, že i v rámci národních sporů bývají autorskoprávní spory před soudy vleklé. Vzhledem k tomu, že k těmto útokům často dochází z jiných zemí, například ze strany plagiátorů z Asie, bývá cesta k domožení se svých práv velmi zdlouhavá a složitá, protože se společnost musí potýkat s právními řády více států, často naprosto odlišnými, a jen určení soudní příslušnosti tak trvá velmi dlouho.
Investice do prevence se vyplatí víc než řešení škod
Hodnotit zákon a jeho faktický přínos před jeho účinností by bylo poněkud pošetilé a předčasné. Jakkoliv můžeme v jeho současném znění hledat a analyzovat případné chyby, stejně až vydání provádějících vyhlášek ukáže, co vlastně bude v praxi řešeno. A nic jiného než praxe sama nám odpovědi na otázky týkající se hodnocení nepřinese. Lze očekávat, že především velké mezinárodní firmy se sídlem v zemích, kde jsou bezpečnostní standardy vyšší než v České republice, mají i na svých tuzemských pobočkách zabezpečení počítačových systémů na více než dostatečné úrovni. Jakkoliv se však může menším společnostem zdát, že počáteční investice do technologických inovací a proškolení zaměstnanců je vysoká, rozhodně je z těch, které se do budoucna vyplatí. Stejně tak se vyplatí neustále sledovat trendy a aktuality v oblasti zabezpečení. Jak se říká – být o krok napřed před nepřítelem je základem vítězství. A vzhledem k tomu, že globální digitalizace většiny firemních záležitostí bude i nadále na vzestupu, je rozhodně lepší problémům s kybernetickou kriminalitou předcházet, než je řešit.
Další články
Rozhovor: Adam Felix - Advokacie nesmí podléhat státnímu finančnímu dozoru
Ministerstvo financí předložilo návrh zákona o ekonomické ochraně státu a související novely zákona o Finančním analytickém úřadu a zákona o advokacii, které mají ambici posílit nástroje státu v boji proti praní peněz a financování terorismu. Vedle deklarovaného cíle návrh vyvolává zásadní debatu o tom, kde končí legitimní regulace a začíná zásah do samotné podstaty nezávislé advokacie a pilířů právního státu.
Nadační fond pro soukromý účel – vývoj, judikatura a praxe
Dodnes napříč širší veřejností přetrvává dojem, že nadační fondy jsou nástroj primárně určený pro dobročinné účely. V praxi se však nadační fondy běžně využívají rovněž ke správě rodinného majetku, jeho mezigeneračnímu předání i jako mateřská entita v holdingových strukturách.
Letní dovolenou může předčasně ukončit šéf i nemoc. Zbývající dny ale zaměstnanci nepropadnou
Zaměstnavatel smí zaměstnanci zrušit schválenou dovolenou nebo ho odvolat zpět do práce i v jejím průběhu. Stejně tak onemocnění uprostřed dovolené její čerpání přeruší. V obou případech ale platí, že zaměstnanec o zbývající dny nepřijde — a v prvním z nich má navíc nárok na náhradu vzniklých nákladů.
Distributoři léčiv jako subjekty kritické infrastruktury: Nový regulatorní režim a praktické dopady
Zásobování léky je něco, co většina z nás považuje za samozřejmost, dokud se něco pokazí. Pandemie covid-19 ukázala, jak křehké jsou dodavatelské řetězce a jak snadno se může zhroutit celý trh, pokud nejsou klíčoví distributoři dostatečně odolní.
Regulace cen pohonných hmot podruhé
Regulace cen pohonných hmot v ČR pokračuje, od poloviny května se však opírá o zcela nový právní základ. Nový zákon č. 63/2026 Sb. přenesl regulační pravomoci z Ministerstva financí přímo na vládu, která nyní cenové stropy určuje svými nařízeními. Co tato legislativní změna znamená pro provozovatele čerpacích stanic v praxi, jaké přináší ekonomické dopady a proč výrazně omezuje možnosti právní obrany proti cenovým stropům?
