Článek vznikl při příležitosti debaty „Kybernetická bezpečnost: posílení kapacit EU“ pořádané 20. června 2023 zastoupením Evropské komise v ČR, Kanceláří Evropského parlamentu, Konfederací zaměstnavatelských a podnikatelských svazů ČR a CEBRE – Českou podnikatelskou reprezentací při EU.
Evropská unie čelí rostoucímu riziku kybernetických hrozeb. Nejvíce postiženy jsou Polsko, pobaltské a severské země, terčem útoků se ale stává celá Evropa. V reakci na tuto hrozbu Evropská komise představila dvě nové legislativy: Akt o kybernetické solidaritě a Akt o kybernetické odolnosti, jejichž cílem je posílit odolnost EU vůči kybernetickým hrozbám.
Za rok 2022 zaznamenali výzkumníci společnosti CheckPoint v porovnání s předchozím rokem celosvětový nárůst kyberútoků o 38 procent. Zatímco v Severní Americe zjistili nárůst útoků o 52 procent, v Evropě je toto číslo nižší – došlo v ní k nárůstu „pouze“ o 26 procent. A podobně rychlé tempo se očekává i v nadcházejících letech.
Lépe vypovídající je tento nárůst v řeči peněz. Kyberútok totiž v praxi neznamená pouze paralyzování webu společnosti nebo instituce, ale lze si pod ním představit například poškození a zničení dat, krádež peněz i duševního vlastnictví nebo narušení normálního provozu. Důsledek je proto jednoznačný – finanční ztráta a ní související ohrožení evropské ekonomiky. Zatímco za rok 2022 tak stály podle Statisty hackerské útoky zhruba 8 bilionů amerických dolarů (185 bilionů korun), v roce 2027 budou náklady na vyrovnání se s kyberútoky dosahovat až 24 bilionů amerických dolarů (522 bilionů korun).Kybernetické útoky v Evropě se nyní zaměřují zejména na Polsko a pobaltské a severské země, jak dříve zjistila studie společnosti Thales, globálního technologického lídra. Stále intenzivněji přitom cílí na kritickou národní infrastrukturu v odvětvích, jako je energetika, zdravotnictví, bankovnictví, letectví nebo veřejné služby.
EU by měla být schopná se kybernetickým útokům bránit, volá po tom Evropský parlament i samotné členské státy. V roce 2020 proto Evropská komise představila vlastní kybernetickou strategii, ve které se zaměřuje především na ochranu vnitřního trhu a evropských ekonomických subjektů. Na diskusi, kterou uspořádalo CEBRE koncem června, to popsal Jan Míča, digitální lídr Zastoupení Evropské komise v ČR.Stejně masivní opatření jako GDPR
Evropská komise v návaznosti na svou strategii představila dva nové nástroje, jejichž pomocí by se EU měla stát vůči kybernetickým hrozbám odolnější.
Prvním z nich je Akt o kybernetické solidaritě, představený v polovině dubna letošního roku. Ten by měl vést k vytvoření „štítu“, infrastruktury bezpečnostních operačních středisek a posílit tak akceschopnost EU. Střediska by měla začít fungovat již začátkem roku 2024. Společně s nimi je součástí návrhu také vznik mechanismu pro pro kybernetickou nouzovou situaci, který by měl podpořit ochranu ohrožených oblastí, stejně jako vytvoření finanční rezervy pro vyrovnávání se s kybernetickými hrozbami.
Druhým nástrojem je Akt o kybernetické odolnosti, který Komise představila již v září loňského roku. Ten by naopak měl zajistit, aby výrobci zlepšili bezpečnost výrobků s digitálními prvky, a to od návrhu a vývoje a během celého životního cyklu produktu. Tedy kteréhokoliv hardwaru nebo softwaru, který bude mít přístup na unijní trh. Návrh by měl zároveň zvýšit transparentnost bezpečnostních vlastností produktů s digitálními prvky.
Podle odhadu Tomáše Minárika, ředitele odboru mezinárodní spolupráce a Evropské unie z Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), by mělo jít výsledně o stejně masivní balíček opatření, jakým bylo například GDPR.
„Každých 11 sekund proběhne na vnitřním trhu Evropské unie kybernetický útok,“ uvedl Míča. Průměrný hackerský útok přitom podle něj stojí přibližně půl milionu eur. Právě s ohledem na vysoké náklady řešení kybernetických útoků je důležitá zejména prevence. Ta by přitom měla podle Minárika přinést úsporu pro celou ekonomiku, a to ve výši 180 až 190 miliard eur.Samotné firmy si jsou nutnosti investovat do své ochrany a preventivních opatření vědomy, uvedla zástupkyně ředitele sekce kybernetické bezpečnosti společnosti Deloitte Martina Chitu. „Vidíme obrovský zájem o to, abychom firmám radili, jak zajistit jejich kybernetickou bezpečnost,“ popsala.
V rámci České republiky je přitom připravenost větších firem zpravidla lepší než připravenost těch menších, upozornila Chitu. Většina středních podniků je nucena najímat externí pracovníky, protože není v jejich silách kybernetickou bezpečnost pokrýt vlastními finančními a personálními kapacitami. Jsou to ale přitom právě menší a střední podniky, na které podle společnosti Astra cílí až 40 procent všech útoků.
Aby se rozdíly mezi možnostmi jednotlivých podniků srovnaly a nebyly na podniky s tisícem i desítkou zaměstnanců kladeny stejné nároky, obsahují oba evropské akty o kyberbezpečnosti řadu výjimek. EU zároveň nabízí i možnost finanční podpory, která by zabezpečení menším firmám umožnila.
Na druhou stranu, firmy se mnohdy nedokážou v evropské legislativě dobře orientovat a nemají přehled o tom, jaké požadavky musejí při podnikání plnit. To se však netýká pouze kybernetické legislativy, ale i dalších evropských či národních předpisů. Podniky proto volají po lepší informovanosti a asistenci, například ze strany státu.Syrovátka: Důvěra v jednu konspirační teorii z vás ještě nedělá antisystémového člověka