Analýza Davida Němečka – „Provoz pražského letiště byl omezen po dobu několika dní z důvodu silného kybernetického útoku.“ „Hackeři požadují miliony na výkupném za osobní údaje Fakultní nemocnice Brno.“ „Společnost O2 již několik dní čelí masivním útokům zahraničních hackerů na počítačové systémy firemních zákazníků.“ Máte pocit, že poslední dobou slyšíte čím dál častěji podobné zprávy? Nejste sami. Kybernetické bezpečnostní hrozby jsou v dnešní době stále větším problémem.
Tzv. kyberkriminalita se stala významnou hrozbou pro jednotlivce, společnosti i celé státy. S nástupem vyspělých technologií se totiž souběžně, ne-li rychleji, vyvíjela i šedá zóna digitálního světa, až se z pojmu „hacker“ stalo v zásadě synonymum pro zločince. Hackeři, nebo chcete-li kyber-útočníci, používají sofistikované nástroje, jak získat přístup k citlivým informacím, jako jsou osobní údaje, finanční záznamy nebo informace týkající se duševního vlastnictví či firemního know-how. K provedení svých útoků pak zneužívají jak zranitelnosti technologických systému, tak i nedostatky lidského faktoru.
Pokud se podíváme do kybernetického slovníku, jistě tam najdeme následující pojmy s příslušným výkladem:
- Malware: Malware označuje software určený k poškození nebo narušení počítačových systémů. Často jsou maskovány jako legitimní programy a po instalaci mají za cíl stáhnout citlivé informace nebo znemožnit používání systému. Mezi typické případy malware patří obecně známé „viry“ nebo „trojské koně“.
- Phishing: Jedná se o taktiku sociálního inženýrství, kdy útočníci rozesílají e-maily, které se tváří jako z důvěryhodných zdrojů, aby uživatele přiměly k poskytnutí citlivých informací, například přihlašovacích údajů nebo finančních informací.
- Útoky DDoS: Útoky DDoS (Distributed Denial of Service) zahlcují server mnoha požadavky a znemožňují tak uživatelům přístup do systému. Tento typ útoku je kvantitativně nejběžnějším útokem, jeho následek je však často pouze po omezenou dobu, kdy nefungují například webové stránky cíle útoku.
- Ransomware: Jedná se o formu malwaru, který zašifruje data v systému, čímž je učiní nepoužitelnými. Útočníci pak požadují výkupné za obnovení přístupu k datům. Pravděpodobně se jedná o druhý nejčastější typ útoku.
To všechno jsou základní způsoby, které v době digitalizace představují nezákonné praktiky za účelem získání tohoto nejhodnotnějšího artiklu nás všech – dat. Hodnoty dat si jsou vědomi politici i organizace jak na úrovni Evropské unie, tak i České republiky. Úsilí zavádět nové regulace se postupně zvyšuje a se začátkem agresivní války na Ukrajině se ještě více urychlilo.
Ačkoliv právní regulace a různých metodik je poměrně značné množství, za připomenutí z poslední doby stojí obecné nařízení o ochraně osobních údajů (známé pod zkratkou GDPR). Možná si teď říkáte, že GDPR se přeci týkalo pouze osobních údajů. Jenže to není zcela správný náhled, a to právě s důrazem na slovo „pouze“. Cílem GDPR totiž nebylo a není jen stanovit rámec pro nakládání s osobními údaji, ale i snaha zvýšit zabezpečení osobních údajů jak po právní, tak i technické stránce. Osobní údaje totiž patří mezi ty opravdu nejhodnotnější data. GDPR za účelem jejich ochrany požaduje zejména náležité technické zabezpečení osobních údajů nebo, aby organizace hlásily porušení ochrany osobních údajů do 72 hodin od okamžiku, kdy se o něm dozvěděly.
Vedle nařízení GDPR přijala Evropská unie v roce 2016 směrnici s komplikovaným názvem „o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii“, také známé pod označením NIS. Právě tato směrnice aktuálně velmi rezonuje v kyberbezpečnostních kruzích, a to z důvodu přijetí její zpřísňující novelizace pod praktickým označením NIS 2. Novelizovaná úprava bude do českého právního řádu implementována až vlastním právním předpisem. Již v tuto chvíli je však jasné, že rozsah povinností týkajících se zajištění kyberbezpečnosti se rozšiřuje sám o sobě a současně nově dopadá i na podstatně širší množství organizací, které se budou muset přizpůsobit novým trendům a zavést nová právní a technická opatření.
Česká republika rovněž postupně novelizuje jak vlastní právní úpravu, tak i metodologie a národní strategie. Zmínit můžeme komplexní a na dnešní dobu již poměrně přísný zákon o kyberbezpečnosti nebo národní strategii kybernetické bezpečnosti Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), jejímž cílem je zlepšení bezpečnosti kritické infrastruktury a podpora spolupráce mezi veřejnými a soukromými organizacemi. Právě NÚKIB je hlavním hybatelem zvyšování povědomí o kyberbezpečnostních podmínkách v Česku a je na místě ocenit, že svoji práci neodvádí vůbec špatně.
S vůlí zvýšit povědomí a chápání dat jako velmi hodnotného aktiva a současně nebezpečného nástroje v rukou zločinců či znepřátelených zemí začala Evropská unie, následovaná Českou republikou, postupně implementovat i na první pohled drastické sankce při porušení jednotlivých povinností. Namátkou, na základě zmíněného GDPR může být při porušení povinností udělena danému subjektu pokuta až do výše čtyř procent jeho celosvětového obratu nebo 20 milionů eur. V případě směrnice NIS 2 je zase možné uplatnit sankce ve výši až 10 milionů korun nebo dvou milionů celkového celosvětového obratu.
Ačkoliv se zmíněné sankce zdají být na první pohled drakonické, následky, které mohou při úspěšné kybernetickém úroku nastat jak pro státy, tak i pro samotné firmy, mohou být v případě úniku dat znatelně horší.
Zaplatit, nebo nezaplatit výkupné?
Odhlédneme-li od kyberbezpečnosti na státní úrovni, musí si firmy uvědomit, že jejich nejcennějším a současně nejzranitelnějším aktivem je často to, které reálně není vidět. Pro firmu by již nemělo být nejdůležitější bezpečnostní otázkou, jak ochránit hmotný majetek, například výrobní areál, před krádežemi. Mnohem škodlivější a znatelně finančně nákladnější hrozby se skrývají klidně tisíc kilometrů daleko, připravené se základní metodou vydírání: „zaplať – odemknu“ nebo „zaplať – vrátím“. Premisa vydírání je velmi jednoduchá. Obvykle spočívá v krádeži důvěrných informací nebo citlivých údajů z firemní databáze a následném vyhrožování únikem těchto informací, pokud nebude zaplaceno výkupné. Výkupné, nápravná řešení a reputační škody však často nejsou jediné náklady, které musí napadené společnosti vynaložit. Úniky dat mají často v důsledku mnohem širší dopad. Jedná se zejména o porušení smluvních povinností vůči zákazníkům či klientům v podobě nedostatečného zabezpečení jejich dat nebo již zmíněné pokuty ze strany státních orgánů.
Vraťme se však k formě vydírání. Tato forma kybernetické kriminality staví společnosti do svízelné situace. Musí se rozhodnout, zda zaplatí výkupné a potenciálně podpoří další kybernetické útoky, nebo odmítnou zaplatit a riskují zveřejnění svých dat či zablokování systému po nepřijatelně dlouhou dobu.
Příkladem takového útoku může být vyděračský útok na společnost Travelex, která se zabývá směnárenskou činností. Hackeři ukradli citlivá data, zašifrovali síť společnosti a za jejich obnovení požadovali výkupné ve výši šest milionů dolarů. Společnost byla nucena na několik týdnů odstavit své online služby, což jí způsobilo značné ztráty, obrovské náklady na post-eventová řešení a nevyčíslitelné škody spojené s poškozenou reputací značky.
S dalšími příklady nemusíme chodit ani za hranice České republiky. V roce 2020 se obětí kybernetického útoku staly i české nemocnice, kde útočníci požadovali výkupné výměnou za obnovení přístupu ke kritickým informacím o pacientech. Například Fakultní nemocnici Brno měla vzniknout škoda v desítkách milionech korun. V roce 2021 byl „populární“ ransomware Avaddon, který dokonce obdržel přízvisko „vyděračský“, když kvůli němu měly značné problémy desítky firem po celé republice.
Kvantita kybernetických útoků se zvyšuje rok od roku. V roce 2021 NÚKIB řešil dokonce 157 incidentů. Tím se myslí případ, kdy reálně dojde k narušení důvěrnosti, integrity nebo dostupnosti informací a služeb. Jedná se však o pouhou špičku ledovce, jelikož NÚKIB eviduje pouze ty incidenty, které jsou mu ze zákona hlášeny specifickými druhy subjektů.
Je vůbec možné kybernetickým útokům zabránit?
Odpovědi jsou dvě. Kybernetickým útokům zabránit nelze. Výrazně snížit riziko následku kybernetického útoku však možné je. Ochranná opatření lze pro tyto účely rozdělit na dva typy, a to právní a technická. Pod právními opatřeními se skrývá zejména nastavení interních procesů a ověřování, zdali nastavené procesy fungují i v praxi. Právě samotné ověřování, nebo chcete-li auditování, již dávno není jen uměle vytvářená práce pro poradenské společnosti. Naopak, dozorovým orgánům nestačí, zda má společnost přijaté všechny povinné směrnice, které následně skončí v šuplíku, ale kontrolují, zda společnost průběžně kontrolovala reálné fungování nastavených procesů a tím snižovala riziko úniku dat při selhání lidského faktoru.
Právě lidský faktor je totiž často jednou z nejčastěji využívaných slabin společností ze strany útočníků. Školení zaměstnanců o rizicích kybernetické bezpečnosti a správném zacházení s daty může zabránit útokům sociálního inženýrství a zvýšit povědomí o bezpečnosti.
A co je důležitější. Pokud v nejhorším případě, i přes řádně nastavené procesy, dojde k úniku údajů, ale současně poškozená společnost bude schopná doložit, že nejen přijala všechny potřebné směrnice, ale realizovala také průběžný audit reálného fungování ochranných procesů, může dozorový úřad uložit nefinanční sankci nebo od sankce zcela upustit.
V případě technických opatření se jedná o IT řešení, díky kterým je pro útočníky složitější překonat interní zabezpečení společností. I zde je vhodné neustále kontrolovat sílu a stabilitu zabezpečení, a to například za pomocí tzv. penetračních testů, při kterých se stručně řečeno v rámci simulovaných útoků útočník snaží o prolomení zabezpečení.
A co z toho vyplývá?
S ohledem na to, že jsem právník, tak i v tomto případě si dovolím jedno doporučení a jedno upozornění.
Nezvykle začnu doporučením. Každý člen vedení jakékoliv společnosti, ať již SME nebo velkého podniku, by si měl uvědomit, že kybernetická bezpečnost není vzdálené téma, které se týká jen státních institucí nebo bank. Investice do dobře nastaveného faktického a technického zabezpečení může ušetřit násobně vyšší finanční prostředky, které je třeba vynaložit v případě úspěšného kyberútoku.
A upozornění není tak docela upozorněním, jako spíš praktickou a velmi názornou ukázkou toho, kde se nacházejí aktuální IT technologie. Pokud jste totiž dočetli až sem, tak vězte, že většinu tohoto článku napsala umělá inteligence. Ta inteligence, kterou máme snahu podceňovat, obdobně jako někteří podceňují kybernetická rizika.
——
David Němeček
Advokát David Němeček poskytuje právní poradenství tuzemským i mezinárodním klientům, a to zejména v oblasti práva nemovitostí, kyberbezpečnosti či ochrany osobních údajů. Dále má zkušenosti s komplexním poradenstvím při získávání investičních pobídek.
„Kvantita kybernetických útoků se zvyšuje rok od roku. V roce 2021 NÚKIB řešil 157 incidentů. Jedná se však o pouhou špičku ledovce, jelikož eviduje pouze ty incidenty, které jsou mu ze zákona hlášeny specifickými druhy subjektů.“ „Kybernetickým útokům zabránit nelze. Výrazně snížit riziko následku kybernetického útoku však možné je.“
Lawyers & Business si můžete zakoupit například na webu mojecasopisy.cz.
