Kyberbezpečnost a Ochrana dat: Boj s Ransomware a nová legislativa

S prohlubující se digitalizací je kybernetická bezpečnost jedním z nejpalčivějších témat, které rezonuje napříč firmami, státní správou i mezi běžnými uživateli. Rychlý rozvoj sofistikovaných útoků, zejména ransomware, a zpřísňující se legislativa (jako je směrnice NIS2) nutí organizace k radikální změně přístupu k ochraně dat, přičemž klíčovou se stává architektura Zero Trust.

I. Analýzy nejnovějších a největších Ransomware útoků

Ransomware zůstává největší a nejvýnosnější hrozbou pro podniky. Útočníci neustále inovují své metody, přičemž aktuální trend směřuje k tzv. dvojitému vydírání (Double Extortion), kdy kromě zašifrování dat dojde i k jejich exfiltraci (ukradení), a hrozbě zveřejnění. Tím se zvyšuje tlak na oběť k zaplacení výkupného, bez ohledu na existenci záloh.

Klíčové trendy v ransomware útocích:

Zaměření na kritickou infrastrukturu: Stále častěji jsou cílem organizace z oblasti zdravotnictví, energetiky a finančních služeb. Útoky na tyto sektory mají největší dopad na veřejnost a státní bezpečnost.
Ransomware-as-a-Service (RaaS): Model, kdy vývojáři ransomware poskytují svůj kód méně technicky zdatným útočníkům (tzv. affilliates) výměnou za podíl na výkupném. Tento model zmasivňuje útoky a ztěžuje vypátrání původních aktérů.
Využití zero-day zranitelností: Útočníci stále častěji zneužívají nově objevené, dosud nezáplatované zranitelnosti ve firemním softwaru a síťových zařízeních, což umožňuje rychlé a tiché proniknutí do sítě.

II. Novinky v oblasti Zero Trust a ochrany dat

Tradiční model obrany, postavený na ochraně perimetru (tzv. „hrad a příkop“), je v moderních cloudových a hybridních prostředích neúčinný. Proto se stává normou architektura Zero Trust (Nulová důvěra).

Koncept a pilíře Zero Trust:

Zero Trust je bezpečnostní model postavený na principu: „Nikdy nedůvěřuj, vždy ověřuj.“ Namísto automatické důvěry uživatelům nebo zařízením uvnitř síťového perimetru vyžaduje model Zero Trust striktní ověření pro každý požadavek na přístup k prostředkům.

Ověření identity: Zahrnuje robustní metody ověřování, jako je vícefaktorová autentizace (MFA), která je považována za základní pilíř ochrany.
Ověření zařízení: Kontrola stavu a zabezpečení každého zařízení (počítač, mobil, IoT), které se snaží o připojení, a to bez ohledu na jeho polohu.
Princip nejnižších oprávnění (PoLP): Uživatelé a systémy mají přístup pouze k těm datům a prostředkům, které nezbytně potřebují ke své práci, čímž se minimalizuje potenciální škoda při kompromitaci.

Ochrana osobních dat

V kontextu Zero Trust a rostoucího objemu dat se klíčové zaměření přesouvá na šifrování dat v klidu i při přenosu a na techniky anonymizace/pseudonymizace osobních údajů v souladu s GDPR.

III. Změny v legislativě o kybernetické bezpečnosti (Směrnice NIS2)

Evropská unie reaguje na rostoucí hrozby novou legislativou, přičemž nejdůležitější změnou je revidovaná Směrnice o bezpečnosti sítí a informací (NIS2), která nahrazuje původní směrnici NIS.

Co přináší NIS2:

Směrnice NIS2 zásadně rozšiřuje rozsah (scope) subjektů, na které se povinnosti vztahují, a zpřísňuje sankce. Cílem je zvýšit úroveň kybernetické odolnosti v rámci celé EU.

Původní směrnice NIS	Směrnice NIS2
Oblast: Jen úzká skupina „provozovatelů základních služeb“ (OES) a „poskytovatelů digitálních služeb“ (DSP).	Oblast: Rozšíření na „klíčové“ a „důležité“ entity napříč novými sektory (např. veřejná správa, potravinářství, výroba chemikálií, vesmírné služby).
Sankce: Mírnější a neharmonizované sankce.	Sankce: Zpřísnění, možnost pokut až do výše 10 milionů EUR nebo 2 % celosvětového ročního obratu (podle toho, co je vyšší).
Požadavky: Méně detailní.	Požadavky: Zavádí detailní seznam minimálních bezpečnostních opatření (např. analýza rizik, management incidentů, používání kryptografie a MFA).

Dopad na firmy:

Firmy a organizace, které dosud nemusely řešit povinnosti plynoucí z NIS, se nyní musí připravit na nové regulatorní a technické požadavky. Zásadní je zejména:

Identifikace: Zjistit, zda spadáte do kategorie „klíčové“ nebo „důležité“ entity.
Řízení rizik: Implementovat robustní systém pro řízení a minimalizaci kybernetických rizik.
Hlášení incidentů: Zavedení schopnosti hlásit významné bezpečnostní incidenty národním autoritám (v ČR NÚKIB) do 24 hodin od jejich zjištění.

Kyberbezpečnost tak přestává být pouhým IT problémem a stává se prioritou pro nejvyšší management a klíčovým faktorem pro kontinuitu podnikání.