Pojďme si nalít čistého vína. NIS2 není nějaký diktát z Bruselu, který vám říká, jaký firewall si máte koupit nebo kolik bezpečnostních kamer nainstalovat. Je to spíš takový kybernetický budíček, který nám všem říká: „Hej, probuďte se! Data jsou cenná a někdo by vám je mohl ukrást!“
„Ale to bude stát majlant!“ slyším vás křičet. Opravdu? Kde přesně v NIS2 se píše, že musíte nakoupit nejdražší bezpečnostní systémy na trhu? Nikde. NIS2 vám dává volnou ruku v tom, jak svá data ochráníte. Možná zjistíte, že stačí pořádně proškolit zaměstnance a nastavit jasná pravidla pro práci s daty. To vás bude stát zlomek toho, co byste utratili za nejnovější AI poháněný firewall.
A teď ruku na srdce – neměli bychom tohle všechno dělat i bez NIS2? Není ochrana dat a systémů něco, co by mělo být samozřejmostí pro každou firmu, která bere své podnikání vážně? Vždyť je to stejné, jako když si zamykáte kancelář, než odejdete domů. Nikdo se vás neptá, proč to děláte. Je to prostě zdravý rozum.
Víte, strávil jsem dvacet let prací v sítích s tím absolutně nejvyšším utajením – v ČR i v NATO. Možná proto mi princip NIS2 přijde jako naprosto automatická věc, kterou jsem žil den co den, a byl jsem vlastně v šoku z toho, že tam není nic šokujícího. Pamatuji si, jak se u nás řešila jako bezpečnostní incident i nalezená paměťová karta na parkovišti před budovou. Upozorňuji, před budovou! Tenkrát jsem si říkal – přitažené za vlasy, dnes už se na to dívám jinak.
Jasně, NIS2 není dokonalé. Ale představte si svět bez jakýchkoliv pravidel pro kybernetickou bezpečnost. Chtěli byste žít ve světě, kde si každý může dělat s vašimi daty, co se mu zlíbí? Kde hackeři mají volné pole působnosti, protože firmy nemají žádnou motivaci se bránit?
A nezapomeňme, že NIS2 je jen začátek. Na obzoru se rýsují další regulace jako CER, CRA a AIA. A než se nadějeme, bude tu GDPR 2 a NIS3. Místo naříkání bychom se měli zamyslet, jak z toho vytěžit maximum pro naši bezpečnost.
Ale počkat, tady je háček. Transpozice NIS2 do českého práva se nepovede v termínu, to je jasné. Je vidět i na našich vládních představitelích, že jim je to vlastně tak nějak jedno. Raději řeší nepovedenou digitalizaci stavebního řízení. Asi to je důležitější, ne? Zase švejkujeme a celé Evropě ukazujeme, že máme super chytré lidi, kteří ale spolu nedokážou táhnout jako země za jeden provaz a pochopit, že ne vše zvenčí je špatně.
Víte, co je zajímavé? Firmy běžně investují miliony do fyzického zabezpečení – alarmy, bezpečnostní dveře, kamery. Ale když přijde na ochranu dat, najednou je každá koruna problém. Přitom statisticky je dnes mnohem pravděpodobnější, že vás někdo hackne, než že vám někdo vykrade kancelář.
A co je na kybernetických útocích nejhorší? Že útočník ani nemusí vstát od počítače. Může sedět na druhém konci světa, a přitom vám způsobit obrovské škody. Zkuste pak takového pachatele chytit nebo vymáhat škodu.
Takže co s tím? Začněme od základů. Než začnete utrácet za drahé technologie, podívejte se na své procesy. Víte, kde všude máte uložená citlivá data? Mají k nim přístup jen ti, kteří ho opravdu potřebují? A co vaši zaměstnanci – vědí, jak bezpečně zacházet s firemními informacemi?
Zákazníkům se snažím vždy říkat, že základem všeho je znát svá data. Kolik jich mám, kde je mám, kdo je užívá, co se s nimi děje atd. Asi byste se divili, jak málo za tuto oblast zodpovědných manažerů na to zná odpovědi. Pravidelné audity, monitorování, jak uživatelé manipulují s daty uvnitř sítě, je stejně důležité jako ochrana perimetru sítě a další opatření. Vždyť největší slabinou ve firemní síti je vždy insider – blbec, lajdák nebo grázl. Důvod a motivace úniku dat už vám může být v konečném součtu vcelku jedno – na konci už budete počítat jen obrovské ztráty, které lidské chyby firmy vždy stojí.
NIS2 a GDPR nejsou nepřátelé. Jsou to spojenci v boji za bezpečnější digitální svět. Ano, možná nás nutí dělat věci, které jsou nepohodlné nebo drahé. Ale není to pořád lepší, než čelit následkům masivního úniku dat nebo kybernetického útoku?
Závěrem, NIS2 není dokonalé. Ale je to krok správným směrem. Místo hledání důvodů, proč to nejde, bychom měli hledat způsoby, jak to udělat. Protože v kybernetické bezpečnosti jsme všichni na jedné lodi. A tato loď je tak silná, jak silný je její nejslabší článek.
Takže co vy na to? Jste připraveni vzít NIS2 jako příležitost, ne jako hrozbu? Možná zjistíte, že to není ani tak o splnění nějakých nařízení jako spíš o ochraně toho nejcennějšího, co vaše firma má – vašich dat a důvěry vašich zákazníků.
PETR VANCL HOCHBERGER
PŘEDPLATNÉ
ČLÁNKY DO MAILU