Byt zamykáme, ale soukromí necháváme dokořán, říká šéfka Thein Security
Hackerské útoky jsou stále podceňované. Virtuální svět je pro lidi pořád abstraktní, jenže kybernetické hrozby jsou velmi skutečné – stejně jako jsou hmatatelné následné ztráty, ať už se jedná o rodinné úspory, nebo o citlivá firemní data.
Technologický pokrok nejde ruku v ruce se vzděláváním. U tabletu sedí už batolata, ale na hodinách IT se děti místo bezpečného chování v kybersvětě učí pracovat v Powerpointu. Není pak překvapením, že i vedení firem kyberbezpečnost podceňuje.
To by měla od roku 2025 změnit nová evropská směrnice NIS2. Změna zákona přinutí firmy ke konkrétním krokům v rámci kybernetického zabezpečení, jenže jde o komplikovaný, a hlavně drahý proces. Navíc v Česku chybí dostatek specializovaných odborníků a odbornic.
Generální ředitelka Thein Security Irena Hýsková apeluje, abychom kyberbezpečnost brali opravdu vážně a soustředili se na vzdělávání dětí, které budou v budoucnu čelit novým a stále se zdokonalujícím kyberbezpečnostním výzvám.
Jaké je současné povědomí o kyberbezpečnosti?
V Česku jsme na tom bídně. A bohužel se to zatím úplně nezlepšuje. Lidé se domnívají, že jich se žádný útok nemůže týkat – vždyť přece nejsou významní. Jenže jim nedochází, že hackeři si oběti nevybírají. Je jen otázkou času, kdy na vás přijde řada.
A na odborné úrovni?
Samozřejmě u nás najdeme mnoho špičkových lidí, ale obecně je to taky velká bída. Jelikož se o kyberbezpečnosti málo mluví, ve škole se neučí a lidé tématu obecně nerozumějí, důsledkem je bohužel nedostatek specializovaných odborníků a odbornic.
Najdeme v oboru ženy?
U nás sice pracují dvě analytičky, ale je to drtivá menšina. Ačkoli už technické obory nejsou dávno pro ženy tabu, pořád se toho podle mě bojí. Asi proto, že logické a analytické myšlení je stereotypně mužskou výsadou – ale kdyby neměl obor už ve škole nálepku „klučičí disciplíny“, třeba by v něm více žen pracovalo už dnes. Nehledě na gender je v něm prostě málo lidí.
Co nedostatek způsobuje?
To má více důvodů. Kyberbezpečnost jako taková je v celém IT světě velmi úzké zaměření a ta komunita je malá. Jde o obor mimořádně komplikovaný – musíte se celý život vzdělávat a reagovat na nové typy útoků, navíc být k dispozici nonstop, přičemž nejvíc útoků se děje o víkendu, v noci a o svátcích, kdy chce mít každý klid.
Lidé jsou v kyberbezpečnosti hodně přetěžovaní, pod velkým tlakem a často mají větší tendenci k vyhoření. Nedávno jsem četla celosvětovou studii, kde byla jedna z pozic s nejvyšším procentem vyhoření právě v tomto oboru.
To nevím, jestli jste zájemce nalákala…
Je to náročné, to nebudu lhát. Ale zároveň je kyberbezpečnost velmi dobře placená práce, která bude vždycky perspektivní. Do budoucna čím dál víc.
Co její budoucnost přinese?
Určitě nárůst hackerských útoků všech typů. Cílem různých zájmových skupin ve světě je vyvolávat nejistotu, strach a paniku. Hybridní válka je velmi aktuální téma. Hackeři často cílí na telekomunikační operátory, na různé státní weby a bankovní aplikace, což v lidech vyvolá strach.
Útoky na firmy se většinou zaměřují na vydírání a výměnu nějakých ukradených dat za peníze.
A čeho se mají obávat obyčejní lidé?
Nejčastěji hackeři útočí přes telefony na bankovní účty. Takové útoky ani nemusí být nějak extra sofistikované – přestože je to poměrně medializované téma, lidé se stále nechají snadno nachytat a mohou přijít o celoživotní úspory.
Žijeme už dekády v digitálním světě, jak to, že se neumíme chránit?
Musíme začít u dětí. Je zarážející, jak málo se vzdělávání vzhledem k technologickému pokroku posunulo. Moje děti už sice měly na základce hodiny informačních technologií, ale co to ve skutečnosti znamená? Učí se powerpointové prezentace a k tomu nějaký Excel, Word…
To nijak nesouvisí s kybernetickou bezpečností. Neříkám, že se situace vůbec nezlepšuje, ale stále žalostně málo. Musíme to začít brát víc vážně. Lidé tomu nerozumějí, zároveň je pro nás virtuální svět, na rozdíl od toho hmatatelného, stále těžko uchopitelný.
Na kybernetické nebezpečí si nemůžeme sáhnout, a tak ho máme tendenci přehlížet. Dokud útok nezažijeme na vlastní kůži…
Majetek si přitom chráníme běžně.
Ano, dveře od bytu přece všichni zamykáme. I malé dítě ví, že může přijít zloděj – ale v onlinu se najednou chováme úplně jinak. Necháváme dveře dokořán. Nemáme to prostě ještě zažité.
Pomůže diskutovaná evropská směrnice NIS2?
Já jí fandím. Je potřeba, jinak bychom se nikam neposunuli. Významná změna oproti NIS1 je odpovědnost jednatelů firem za naplňování směrnice. Což je jedna z těch velkých kontroverzí, kvůli kterým původní návrh zákona zatím nebyl schválen.
Je potřeba dotlačit firmy, aby do kyberbezpečnosti investovaly a aby se jí skutečně zabývaly. Nová směrnice je podle mě efektivní metoda, jak toho dosáhnout.
Co se tedy od roku 2025, pokud se nový zákon schválí, změní?
Firmy budou muset dělat konkrétní kroky pro svou ochranu, rozplánovat si strategii a brát ji v potaz také v rozpočtu. Kyberbezpečnost nevybudujete jen tak – je to komplikovaná, a hlavně opravdu drahá záležitost.
Asi není divu, že se do toho firmám nechce…
Uvědomuji si, že dnes mají spoustu nákladů, zaměstnanci očekávají vyšší platy, podražily energie, nájmy a tak dále. Prostředky na investice do IT inovací, natož do kyberbezpečnosti, nezbývají. Není to pro ně priorita – ale měla by být. Když podlehnou hackerskému útoku, byznys se zastaví třeba i na měsíc a přijdou tím o peníze i reputaci.
Kolik stojí zabezpečení středně velké firmy?
Menší společnosti může velmi hrubým odhadem vyjít přibližně na šest set tisíc během prvního roku. Je však třeba si uvědomit, že vybudování robustní kyberbezpečnosti je dlouhodobý proces. Další investice by měly následovat.
Jak velké?
Všeobecně platí, že investice do kyberbezpečnosti mají tvořit minimálně pět procent ročního rozpočtu, ideálně spíš deset – a v sektorech, jako je bankovnictví, zdravotnictví, energetika a telekomunikace, se vyšplhají až na patnáct.
A konkrétně naplnění požadavků nové směrnice?
To se liší podle velikosti organizace a oboru podnikání. U společnosti s 250 zaměstnanci mohou náklady dosáhnout zhruba 4,8 milionu korun ročně, což odpovídá přibližně dvěma procentům ročního obratu u firmy s obratem deset milionů eur.
Menší organizace s padesáti zaměstnanci mohou očekávat náklady přes dva a půl milionu korun ročně. Tyto odhady předpokládají, že nemají vlastní oddělení kyberbezpečnosti a využívají externí služby. Ale říkám velmi hrubý odhad, je tam mnoho dalších proměnných.
Jaké firmy jsou nejohroženější?
Korporáty jsou na tom s kyberbezpečností obecně lépe, ale jsou to menší firmy, které v tomto ohledu zaostávají. Právě těch se směrnice NIS2 dotkne nejvíce. NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost, pozn. red.) odhaduje, že má postihnout až dvanáct tisíc středně velkých a menších firem z různých oborů.
A jak si vedeme v porovnání se světem?
Ve srovnání s Amerikou je na tom Evropská unie podstatně hůře. Směrnicí se to snažíme dohnat, ale ten progres je bohužel stále pomalý, takže dostat se na podobnou úroveň bude trvat ještě roky.
V čem je největší rozdíl?
Konkrétně odpovědnost jednatelů firem je v USA ze zákona daleko vyšší. Když jednatelé aktivně nechrání svoji firmu a neinvestují do kyberbezpečnosti, můžou jít před soud.
Takže jsou potřeba tak přísné restrikce shora?
Podle mě ano. Směrnice vznikla hlavně s uvědoměním si, že Evropa není dostatečně chráněna v souvislosti s válkou na Ukrajině a obecně s bojem nejen na fyzické úrovni, ale také ve virtuálním světě. Takových hackerských útoků stále přibývá.
Mluvila jste o nutnosti lepšího vzdělávání. Čím mladé lidi motivovat?
Je třeba ukazovat, že kyberbezpečnost je zábavná, a hlavně taky lidská práce. Všichni si myslí, že v oboru pracují samí introverti v kapucích, zavření někde v tmavé místnosti bez oken. Tak to vůbec není, jsou to fakt normální lidi. Pořád říkám, že tu máme i fešáky, spoustu fešáků. (smích)