Malé a střední firmy se budou muset začít daleko více starat o svou kybernetickou bezpečnost. Vyplývá to ze směrnice NIS2, která začne v České republice platit zhruba v polovině roku 2024 a jejíž litera výrazně zpřísňuje požadavky nejen na softwarové i hardwarové vybavení, ale také na zabezpečení sítí i zařízení v nich.

V současné době je v platnosti kybernetický zákon 181/2014 Sb., který se ale zaměřuje především na zabezpečení orgánů státní správy, kritické infrastruktury státu a subjektů, které se podílejí na chodu této infrastruktury. Ovšem norma NIS2 se stává v podstatě „gamechangerem“, protože výrazně rozšiřuje okruh povinných subjektů bez ohledu na oblast podnikání. Nová legislativa se tak bude týkat firem s více než 50 zaměstnanci, nebo obratem či bilanční sumou roční rozvahy 10 milionů eur. „Prakticky vzato se tedy bude muset každá druhá firma v Česku začít svým IT zabývat, což v rámci naplnění zákona znamená, že do něj bude muset investovat nemalé prostředky, nebo zcela změnit uvažování o IT,“ vysvětluje Petr Loužecký, ředitel pro cloudové služby společnosti Algotech.

Zákon tak dopadne nejvíce na malé a střední firmy, které dosud svému IT nevěnovaly příliš pozornosti, mají vlastní stárnoucí servery, počítače i software, o něž se jim stará jeden jediný zaměstnanec. Ten v takových případech řeší veškerou agendu od instalací softwaru, nastavování uživatelských práv, zálohování, bezpečnost sítě až po hardware a jeho servis. Podle Petra Loužeckého budou tyto subjekty na rozcestí, protože se budou muset rozhodnout, kterou cestou se vydat, aby splnily požadavky vyplývající z normy NIS2. Jednou variantou bude nákup nových technologií a zajištění jejich zabezpečení vlastními silami, což nebude vždy možné ať už z finančního či personálního důvodu. Druhou možností je pak migrace do cloudu, která naopak může v konečném důsledku firmě peníze ušetřit, protože bude moci díky přechodu z CAPEX (investiční náklady) na OPEX (operační náklady) lépe plánovat své cashflow.

 

Pro malé firmy může být únik dat likvidační

Obrazně řečeno, firmy tak mohou přechodem do cloudu zabít několik much jednou ranou. Uspoří velké množství peněz, protože náklady na využívanou infrastrukturu sdílí s dalšími subjekty a platí pouze za to, co skutečně užívají. Zároveň ale vyřeší velkou potřebu se zabezpečením dat.

Malé a střední firmy s inhouse řešením jsou zranitelnější a náchylnější k útokům kyberzločinců, kteří se navíc poučili a začali pracovat jinak. „Pokud se například stane bezpečnostní incident, kdy útočníci pomocí ramsomware zašifrují (a získají) firemní data, hrozí reálně jejich zveřejnění, a to i po zaplacení výkupného. Útočníci už totiž vědí, že firmy zálohují a ztráta dat za jeden pracovní den pro ně není likvidační. A také vědí, že za únik dat hrozí dle GDPR poměrně vysoké pokuty,“ pokračuje Petr Loužecký s tím, že ÚOOÚ dokonce vydal doporučení, aby firma po napadení ransomwarem rovnou počítala s únikem dat a úřadu se sama nahlásila, protože nelze zaručit, že data po zaplacení výkupného nebudou zveřejněna a prodávána na darknetu.

Pokud se firmy rozhodnou pro více doporučovanou cestu cloudem, mají na výběr z mnoha poskytovatelů i několika různých řešení. Zde platí, že o servery a celkovou bezpečnost se vždy stará ten, kdo službu poskytuje. Mohou tedy zvolit buď variantu IaaS, což v překladu znamená Infrastruktura jako služba. Zde si zaplatí datové úložiště i virtuální server, na nějž si nahrají vlastní operační systém a další software, s nímž jsou zvyklí pracovat. Druhou možností je PaaS, tedy Platforma jako služba, která je vhodná zejména pro firmy, zabývající se vývojem aplikací. Poskytovatel v takovém případě nabízí zákazníkovi určité prostředí, v němž on nadále tvoří vlastní produkty. A poslední možností je SaaS, tedy Software jako služba. Zákazník se v takovém případě vůbec nezajímá ani o hardware a jeho výkon, ani o operační systém či software a aktualizace. Za měsíční poplatek má k dispozici licence ke všem aplikacím, které potřebuje využívat. „Z mé zkušenosti vyplývá, že malé a střední firmy nejčastěji volí první variantu, protože mají často zakoupené programy s drahými licencemi a nechtějí se těchto produktů zatím zbavovat. Ale i toto základní řešení je daleko bezpečnější, než mít servery v kanceláři,“ uzavírá Petr Loužecký.