Jednou z hlavních příčin tohoto stavu je absence tohoto tématu ve vzdělávání. Právě o problematice kybernetické bezpečnosti jsme hovořili s Ing. Bc. Adamem Kučínským, ředitelem odboru regulace na Národním úřadu pro kybernetickou a informační bezpečnost, který sdílel své poznatky a doporučení nejen pro podnikatele, ale i pro běžné uživatele technologií.
Dotkli jsme se mj. aktuálních hrozeb v kyberprostoru, významu mezinárodní spolupráce a očekávaných změn právní úpravy v oblasti kybernetické bezpečnosti. Adam Kučínský bude také jedním z hostů na kongresu Právní prostor 2024, který se nezadržitelně blíží.
Je podle Vás povědomí Čechů o kybernetické bezpečnosti a o její regulaci dostatečné? Dá se podle Vás říci, co je příčinou tohoto stavu?
Dostatečné bohužel není. Příčinou je dle mého absence tohoto tématu ve vzdělávacím systému. Vzdělávací systém se tomu prostě nevěnuje. Učím na několika vysokých školách a když se ptám studentů, zda se tématu nějakých základů kybernetické bezpečnosti na základní nebo střední škole dotkli, tak z 99 % říkají, že nikoli. Přitom v kyberprostoru se pohybují již od dětství.
Jaká jsou Vaše doporučení pro podnikatele, kteří se snaží udržet krok s aktuálními změnami v oblasti kybernetické bezpečnosti?
Kybernetická bezpečnost je proces, není to stav, je potřeba v této oblasti postupovat systematicky. Pokud bych měl dát doporučení, tak je potřeba začít od základů – tedy říci si co dělám, jak je to důležité a zda to nějak chráním – pokud ano, můžu se podívat, zda je to dostatečné, pokud ne, tak bych měl začít.
Není potřeba, zejména u malých firem, hned dělat nějaká drastická a drahá opatření, ale začít od základů, tedy mít antivirus, mít zálohy, proškolit zaměstnance, podívat se na to, kdo má jaká oprávnění, jak jsem zabezpečený proti útoku zvenku a jak jsou na tom moji dodavatelé. NÚKIB k tomu má řadu podpůrných matriálů od těch sofistikovaných až po ty základní. Najdete je zde: Národní úřad pro kybernetickou a informační bezpečnost - Podpůrné materiály (gov.cz), zde bych doporučil například Minimální bezpečnostní standard.
A jaké základní tipy byste dal lidem – „obyčejným“ uživatelům technologií?
Přemýšlet o tom, s kým co a kde sdílím. Nejde jen o to, co sdílím na sociálních sítích, ale například jaké informace sdílím s různými aplikacemi a jaká jim dávám oprávnění. Pak je to o tom, že než na něco kliknu nebo vyplním nějaké údaje, rozmyslím si, proč to dělám, proč to po mě někdo chce a zda je to legitimní a dává to smysl. Pokud mi někdo volá z banky a chce po mně něco potvrdit nebo chce nějaké informace, měl bych se zamyslet, proč by to banka chtěla. Banka vám nebude volat s tím, že vám někdo vykrádá účet a že máte někam převést peníze, pokud by to banka chtěla, udělat to může a nebude po vás chtít heslo.
A pak je to taková ta klasika – používání vícefaktorového ověření tam, kde to jde, silná a jedinečná hesla, oprávnění u aplikací, antivirus, zálohování důležitých dat a neklikání na podivné nabídky, maily anebo SMS.
Napadají Vás nějaké konkrétní zkušenosti nebo případy z praxe, které ilustrují, proč bychom měli kybernetické bezpečnosti věnovat pozornost?
Tak na té úrovni uživatelů je to o tom, že kyberprostor je plný podvodů, každý den čteme o tom, že někdo přišel o úspory, protože sdělil útočníkovi citlivé údaje například z bankovnictví. To není o tom, že by ty oběti byly hloupé, to je o tom, že nikdy neprošly nějakým tréninkem, nikdo jim to nikdy neřekl a ony se pod tlakem okolností špatně rozhodly.
Co se týká firem, tam jde o fatální dopad na jejich byznys. Kyberútok může tu firmu úplně položit, nebo ji minimálně stát hodně peněz a důvěru zákazníků. Co se škod týče, tam jsou mediálně velmi detailně popsané například útoky na české nemocnice, kde šly škody do desítek až stovek milionů. A ty škody musel někdo zaplatit.
Dá se říci, jaké jsou největší hrozby v oblasti kybernetické bezpečnosti, kterým jsme v současné době vystaveni?
Z mého pohledu je pořád nejčastější hrozbou a asi nejúspěšnější plošnou hrozbou ransomware. Jednoduše se šíří a jeho dopady jsou obrovské. A potom jsou to různé podvody využívající sociální inženýrství, ať již jde o různé formy phishingu, tak o aktuálně hojně probíhající vishing (podvodné telefonáty) a smishing (podvodné SMS).
A co rozvoj umělé inteligence a strojového učení? Je podle Vás spíš příležitostí, nebo hrozbou pro oblast kybernetické bezpečnosti?
Je to jak příležitost, tak hrozba. Jako každá nová technologie přináší obrovské možnosti a zefektivnění, ale nese s sebou nová rizika. Tak, jak to zefektivní a zlepší práci na legitimních cílech, tak stejně zlepšuje a zefektivňuje práci na nelegitimních cílech, tedy u útočníků. A jako u každé nové technologie se bezpečnost začíná řešit se zpožděním. První auta také neměla bezpečnostní pásy a deformační zóny, podobně je to u AI a dalších nových technologií.
Jakou roli může hrát umělá inteligence a strojové učení v prevenci a detekci kybernetických útoků?
Podstatnou, samozřejmě to je schopno nahradit část analytické práce, vyhledávání a detekci, nicméně tak, jak využíváme AI v obraně či bezpečnosti, tak stejně ji využívají útočníci, tedy je to o tom, kdo ji využije lépe, více a rychleji. A my ji využívat musíme, protože protistrana ji využívá také. Nemůžete se efektivně bránit oštěpem proti pušce.
Jaké jsou nejlepší způsoby reakce na incidenty v oblasti kybernetické bezpečnosti? Jinými slovy, jak můžeme minimalizovat škody v případě, že se staneme obětí útoku?
Jasně, že můžeme, je to o přípravě. Musím mít plán, co budu dělat, až se to stane. Tedy musím mít rozmyšleno, co je pro mě jak důležité, čím při obnově začnu a co počká. Musím vědět co potřebuji a mít naplánováno, jak to zajistím, pokud budu mít problém. K tomu ale musím vědět o tom, co se muže stát, protože potom na to můžu být připraven a pokud se to stane, vím, co dělat, aby byly škody minimální a aby se problém rychle vyřešil. Téhle oblasti se obecně říká business continuity management.
Internet nezná hranice a kyberkriminalita často probíhá přeshraničně. Jaký je význam mezinárodní spolupráce a výměny informací v oblasti kybernetické bezpečnosti? Chystají se nějaké změny v této oblasti?
Význam mezinárodní spolupráce je obrovský. Jsme schopni sdílet poznatky, kapacity, koordinovat svou činnost, více se specializovat. Co se týká změn, tahle oblast se čím dál více prohlubuje, je to vidět třeba i na směrnici NIS2, která oproti NIS1 klade na mezinárodní spolupráci větší důraz a prohlubuje ji. V této věci určitě chceme pokračovat a spolupráci prohlubovat.
Jaké (další) konkrétní změny v oblasti regulace kybernetické bezpečnosti můžeme očekávat? Doporučil byste nám už v tuto chvíli něco dělat, abychom se na změny připravili?
Tak velkou změnou pro řadu organizací bude nový zákon o kybernetické bezpečnosti, který připravujeme a který zapracovává požadavky směrnice NIS2. Ta změna není v tom, že by to přinášelo nějaká zásadně nová bezpečnostní opatření, ale rozsahem regulace, kdy dopadá na organizace, kterých se povinná kybernetická bezpečnosti dosud vůbec netýkala. Ale není to jen směrnice NIS2, v současné době vzniká řada sektorových regulací, například Network code v energetice, který přináší další požadavky na kybernetickou bezpečnost v sektoru, nařízení DORA ve finančním odvětví ale i další sektorové regulace.
Co se týká toho, co dělat, tak hlavně nepanikařit a nenechat se zlomit různými prodejci kouzelných rad a řešení. Určitě to není o tom, že si koupím krabičku a mám hotovo.
V tuto chvíli je dobré se podívat na to, co přesně regulace požaduje, a prověřit, co z toho už mám. Řada subjektů už nějaká bezpečnostní opatření má, i když jim to možná ani nepřijde jednoduše proto, že to je normální a provozovat něco bez nich je úplný hazard. A když vím, kde jsem a co mám, mohu začít řešit co mi chybí a jak se posunout dál, tedy stanovit si plán jak a kdy budu rizika ošetřovat.
Moc díky za rozhovor a těšíme se na Váš příspěvek!
Zajímá Vás téma umělé inteligence a práva? Na kongresu Právní prostor 2024 se budeme AI a jejímu vztahu k právu věnovat hned v několika příspěvcích. Program kongresu najdete na adrese https://kongrespravniprostor.cz/.
Diskuze k článku ()