Bezpečný provoz pomůže zajistit zavedení NIS2

V digitální době nepředstavuje zabezpečení prodejny jen zámek na dveřích a fyzická ochrana zboží či zaměstnanců, ale především obrana systémů, které obchodníkovi pomáhají podnikat.

Počet kybernetických útoků roste geometrickou řadou a je třeba zabezpečit, aby prodejna fungovala a zabezpečovala zásobování obyvatelstva potravinami i ve chvíli, kdyby nastala kritická situace. Tomu má pomoci nová kyberbezpečnostní směrnice NIS2.

Bezpečnostním rizikem pro chod firmy může být i špatně zabezpečená firemní síť. Odesílat citlivé informace tak donutí hackeři třeba firemní skener nebo tiskárnu. Ovládnout dokáží také veškeré systémy, které jsou připojeny k internetu. V domácnostech představují bezpečnostní riziko všechny spotřebiče, vytápění nebo osvětlení spadající pod internet věcí. V obchodě nebo potravinářství by hackeři mohli ovládnou nejen chladicí a mrazicí systémy, ale v ohrožení by se mohl ocitnout také systém pro elektronickou výměnu dat nebo další kritické oblasti. Tomu má pomoci předejít NIS2, obdoba GDPR pro oblast kyberbezpečnosti.

Eliminuje rizika

NIS2 (Network and Information Security Directive) je aktualizace celoevropského právního předpisu o kybernetické bezpečnosti schválená Evropským parlamentem v listopadu 2022. Jejím cílem je dosáhnout vysoké společné úrovně kybernetické bezpečnosti ve všech členských státech. Aktuální informace je možné najít na stránkách Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) https://nis2.nukib.cz. Evropský parlament znění tohoto nařízení schválil 14. listopadu a brzy jej formálně schválí i Evropská rada. Jakmile směrnici publikuje Úřední věstník, vstoupí v platnost 20 dní po zveřejnění a členské státy pak budou muset implementovat nové prvky směrnice do jejich právního systému. Budou na to mít 21 měsíců. Obecně je tedy možné očekávat, že tato regulace začne oficiálně fungovat do dvou let. Jak ale podotýká česká europoslankyně Markéta Gregorová, která se na znění této směrnice přímo podílela, členské země daly už při vyjednávání jasně najevo, že ji chtějí implementovat co nejrychleji.

Zajímejte se už teď

NIS2 má regulovat úroveň kyberbezpečnosti v podnicích napříč veřejným i soukromým sektorem a uvádí se, že se v ČR bude týkat až 6 000 organizací. Pokud byla společnost nebo organizace napadena vyděračským ransomwarem nebo podobným útočným softwarem, měla by věnovat větší pozornost kybernetické bezpečnosti už teď. „A měla by tak činit bez ohledu na NIS2 nebo jakýkoli jiný zákon. Utrácet peníze za kvalitní ochranu se vyplácí. Útoky nabývají na intenzitě, rozmanitosti a s rostoucím počtem připojených zařízení i na závažnosti,“ varuje Markéta Gregorová. Podle globálních trendů v útocích jsou obzvláště ohroženy sektory energetiky, dopravy, bankovnictví, zdravotnictví, digitální infrastruktury, veřejná správa a vesmír. Ty tedy v NIS2 budou spadat do kategorie tzv. zásadních odvětví. Firmy, které spadají pod poštovní služby, odpadové hospodářství, chemikálie, potraviny, výrobu zdravotnických prostředků, elektroniku, stroje, motorová vozidla a digitální poskytovatele, označujeme za tzv. důležitá odvětví a budou muset plnit základní požadavky na svou ochranu.

Kyberútoky nerespektují hranice

NIS2 vzdáleně připomíná podobné evropské nařízení týkající se osobních údajů – GDPR, které platí od roku 2018. Podobný dopad na podniky by mohlo mít i NIS2. „GDPR nastavilo globální standardy ochrany dat. Má největší naděje je, že NIS2 udělá podobnou službu v kyberbezpečnosti, že to bude zdroj určité inspirace, a především závazek na trhu i pro okolní země. Nedávno jsem o NIS2 měla prezentaci například pro firmy v Bosně a Hercegovině. Kyberútoky nerespektují národní hranice,“ upozorňuje Markéta Gregorová. O jak citlivou oblast jde, vypovídá i skutečnost, že Národní úřad pro kybernetickou a informační bezpečnost u nás nedávno varoval před chytrými elektroměry v domácnostech, které podle něj mohou způsobit celostátní blackout. Bezpečnostním rizikem však jsou také další zařízení pro chytrou domácnost, jako jsou dveřní zámky, světla, ohřívače, ledničky nebo pračky, které lze ovládat chytrými telefony na dálku. Podobná rizika hrozí i firmám, kde mohou být cílem například kávovary, tiskárny nebo firemní automobily.

Hybridní práce bezpečnosti nepřidá

V současném hybridním světě pracovníci nejenže používají své osobní přístroje, ale navíc řeší pracovní úkoly na cestách. Firmy přitom mají technologické rezervy ve způsobu, jakým dovolí vzdáleným pracovníkům přistupovat k datům a aplikacím. Podle průzkumu Cisco jen u 32 % společností vyžadují firemní aplikace přístup přes virtuální privátní síť (VPN) a jen u přibližně pětiny společností se pro vstup k firemnímu IT používá vícefaktorová autentizace. Zhruba 20 % pak vyžaduje, aby veškerá komunikace vzdáleného pracovníka do internetu probíhala přes VPN a firemní firewall. „Kombinace slabšího zabezpečení zařízení používaných pro práci z domova, vzdálené komunikace a podceňování důkladného školení v otázkách bezpečnosti může představovat bezpečnostní rizika pro firemní data,“ konstatuje Ondřej Ševeček, odborník na bezpečnost a etický hacking z Počítačové školy Gopas.

Výkupné za topení?

Hackeři zaměřují útoky zejména tam, kde mohou mít z průlomu nějaký užitek. Snaží se tak například získat přístup do prostor určité firmy, nejčastěji s cílem průmyslové špionáže. Lákavým prostředkem sledování toho, co se děje ve vytipované firmě, jsou sdílená síťová zařízení. „Tiskárnu lze při troše snahy nastavit tak, aby se každý skenovaný dokument odesílal na zadaný e-mail. Může zde být zneužito také například hlasové ovládání zařízení. Snadným terčem může být i moderní kávovar, firemní vozový park, ale i termostat. Známe již několik případů, kdy útočníci získali pod svou kontrolu chytré termostaty ovládající teplotu v objektu. Tu nastavili na mezní hodnotu a bez zaplacení výkupného ji odmítali změnit. Podle kvalifikovaných odhadů bude do roku 2025 více než čtvrtina všech počítačových útoků proti podnikům založena na internetu věcí,“ predikuje Roman Kümmel, odborník na IT bezpečnost z Počítačové školy Gopas.

 

Pokračování článku a mnoho dalšího naleznete v Retail News 12.2022…

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.