Mezi největší kybernetické hrozby uplynulého roku 2024 patřila zejména důvěřivost lidí, práce s firemními daty na veřejných wifi v obchodních centrech, kavárnách, nebo na letištích, a malá ostražitost před víkendy, vyplývá to z dat české firmy OR-CZ.
Hackeři totiž velmi často útočí v pátek odpoledne, kdy jsou lidé nejméně ostražití a experti IT zabezpečení ve firmách už odjíždí na víkend pryč. Takový víkend se potom promění v noční můru. Hackeři v Česku útočí podle statistik čím dál častěji, meziročně roste počet útoků o desítky procent.
Pokud útočí někdo s neomezeným rozpočtem, bránit se skoro nejde. Pak je potřeba mít neomezený rozpočet i na kybernetickou obranu, což mají jen ty největší korporace.
Zdravotníci jsou lákavým terčem, protože chtějí pomáhat
Častým terčem kyber útoků jsou také zdravotnická zařízení. „Technicky jsou na tom v bezpečnosti české nemocnice dobře, jde o edukaci lidí, tam je nejvíce chyb. Sebelepší kyberbezpečnost nepomůže, pokud lidé sami zadávají hesla, kam nemají. I ten nejlevnější a nejobyčejnější útok hackerů proto může být účinný," říká technický ředitel české firmy OR-CZ Jan Kelča.
„Trpkým faktem je to, že právě zdravotníci jsou velmi lákavým terčem zlodějů dat, protože jsou nastaveni na to, aby pomáhali. Proto se snaží pomoct i hackerům, kteří je kontaktují a žádají o přístupové údaje. Podobných případů bylo zaznamenáno už několik," dodává Jan Kelča.
Chystají se rozsáhlé kontroly kybernetické bezpečnosti českých firem
Od příštího roku v lednu stát přistoupí k rozsáhlejším kontrolám kybernetické bezpečnosti českých firem. Pro firmy to bude znamenat větší administrativní zápřah. Školení musí podle Kelči začínat osobním příkladem ze života. To zaměstnancům otevře oči a zasvětí je do situace, kdy by se sami mohli stát terčem útoku i v práci.
Kontroly vyplývají z evropské legislativy, konkrétně z nařízení NIS2 (Network and Information Security Directive). Tento rámec se zaměřuje na zajištění vyšší úrovně kybernetické bezpečnosti v členských státech EU. NIS2 bude v následujícím období postupně přicházet v platnost.
Firmy budou rozděleny do různých kategorií podle jejich velikosti a odvětví, přičemž zvláštní pozornost bude věnována kritickým a důležitým službám.
Povinnost hlásit incidenty
Podniky budou mít povinnost implementovat minimální požadavky na kybernetickou bezpečnost a hlásit incidenty, které by mohly ohrozit jejich systémy a služby.
Státní orgány budou provádět pravidelné kontroly a audity kybernetické bezpečnosti, aby kontrolovaly, že firmy dodržují stanovené standardy a opatření. V případě zjištění nedostatků nebo porušení pravidel hrozí firmám sankce, které mohou zahrnovat pokuty nebo další právní důsledky.
Firmy budou motivovány k tomu, aby spolupracovaly s vládními orgány a sdílely informace o kybernetických incidentech a hrozbách. Důraz bude kladen na školení zaměstnanců v oblastech kybernetické bezpečnosti, aby se zvýšila jejich povědomost a schopnost reagovat na možná rizika.