Přípravy na NIS 2 i nové typy útoků. Co by firmy měly vědět o kyberbezpečnosti v roce 2023?

Uplynulý rok nebyl pro český byznys jednoduchý… A to ani i z hlediska kyberbezpečnosti. Rekordní říjnové DDoS útoky na velké i malé firmy, rostoucí ransomware, ale i přijetí klíčové unijní směrnice NIS 2. Kvůli ní se budou kyberbezpečností zabývat i firmy dosud skálopevně přesvědčené, že se jich téma ani trošku netýká.  

Pojďme se podívat, ve znamení jakých trendů se ponese rok 2023. 

Ke startu připravit, pozor, NIS 2! 

Moc malé ryby na to, abyste museli řešit kyberbezpečnost? To si nově nebude moci říct asi 6000 tzv. povinných subjektů. Směrnice NIS 2 navazuje na předchozí regulaci z roku 2016, která stanovuje pravidla kybernetické bezpečnosti v organizacích důležitých pro chod státu – tedy například v klíčových podnicích z oblasti energetiky, telekomunikací, bankovnictví či zdravotnictví. Zatím se jednalo o poměrně úzkou skupinu několika stovek organizací se zásadním dopadem na celou společnost. 

Okruh povinných subjektů se ale od roku 2024 zásadně rozšíří i proto, že dnes už prakticky nenajdeme odvětví, kde by informační technologie nehrály významnou roli a kde by kybernetický útok nezpůsobil rozsáhlé škody. Proto budou muset kyberbezpečnostní opatření zavést například i menší nemocnice či elektrárny, poskytovatelé ICT služeb, dopravci, výrobci chemických látek a mnoho organizací veřejné správy. 

Podniky budou muset přijmout technická a organizační opatření ke zvýšení síťové a informační bezpečnosti. Nepůjde o zásadní technické inovace. Důležité segmenty firemní bezpečnosti – firemní sítě, IT infrastrukturu nebo koncová zařízení – bude potřeba zabezpečit podle jednotného klíče. Jeho konkrétní podoba bude známá v roce 2024. Dotčené firmy budou mít nově také povinnost bezpečnostní incidenty hlásit.

Na přesné formě vyžadovaných opatření NÚKIB stále pracuje, ale už nyní je jisté, že pro mnoho povinných subjektů budou zákonné požadavky na kybernetickou bezpečnost novinkou. Konkrétní změny zákonů a povinnosti pro firmy by měl NÚKIB zveřejnit nejpozději v polovině roku 2024. Už teď ale spustil portál, kam postupně doplňuje informace. Zatím jsou ale v teoretické rovině. 

A abyste si v těchto vodách byli co nejjistější, připravujeme pro vás průvodce, s nímž zvládnete připravit vaši firmu na NIS 2 krok po kroku.  

Podle odborníků poroste počet nebezpečných zero-day útoků 

Jedná se o hrozbu či útok, které využívají fakt, že napadený software je zranitelný a ještě pro něj neexistuje obrana. Útočník slabinu, novou bezpečnostní chybu, najde a zaútočí dřív, než kdokoli stihne zareagovat.  

Do doby, než vyjde aktualizace a vývojář trhlinu zacelí, se stále nacházíte ve výchozím postavení (v tzv. nultém dni) a na vaši firmu je snadné útočit. Tímhle způsobem může hacker do vašich systémů nasadit spyware, malware i ransomware. Zero-day útoky už se dotkly velkých společností jako sociální sítě LinkedIn (2021) a Facebook (2019) nebo sítě hotelů Marriott (2018). 

Jak se ale účinně bránit? Čím vyšší odbornost a vzdělanost člověka, který na bezpečnost vaší sítě dohlíží, tím větší šance, že připravovaný útok odhalí. Fakt, že odborníci na kyberbezpečnost dlouhodobě chybí, potvrdily české firmy už mnohokrát.

A protože čert a hackeři nikdy nespí a nejspíš chcete svůj byznys chránit 24/7 a v noci klidně spát vy, můžete si kyberbezpečnost outsourcovat jako službu. Budete navíc platit jen za služby, které jsou vašemu podnikání ušité na míru.

Hackeři vědí, že se malé a střední firmy snaží ušetřit 

Inflace a energetická krize ženou spoustu malých i velkých hráčů k úsporným opatřením. Zvláště ty, jejichž činnost s IT přímo nesouvisí. A hackeři to vědí a čekají, až pro vás ochrana IT infrastruktury nebo koncových zařízení přestane být priorita číslo jedna. Doporučujeme tedy firmám vytrvat v obraně proti kybernetickým zločinům a nespoléhat na štěstí, které umí být vrtkavé. Zavřete všechny dveře, jimiž se hackeři mohou do firmy dostat. 

Co si z článku odnést 

• Rok 2022 byl v Česku rokem bezprecedentních útoků na malé i velké hráče. 
• Rok 2023 se ponese hlavně ve znamení směrnice NIS 2, která bude platit od roku 2024. Na 6000 českých firem ji nově bude muset zaimplementovat do svého fungování. 
• Útoky nultého dne, které využívají nové bezpečnostní chyby a útočí, dokud nevynaleznete obranu, příští rok porostou. 
• Krize, inflace, zdražování. České firmy budou chtít šetřit a hackeři si mnou ruce.

Michaela Látalová
Marketingový specialista pro B2B Míša se v O2 stará o to, aby české firmy měly vždycky dost informací o trendech v cyberscurity a ICT. Plní blog články, natáčí podcasty a firmy zásobí e-mailingy se žhavými novinkami.