Bezpečnost v dnešní době dávno neznamená pouze instalaci dražších firewallů a dobrého antiviru. Kyberbezpečnost je obří exaktní obor. Stejně jako stavitelství či doprava má svá pevná pravidla a orgány, tak se i kyberbezpečnost ve firmách řídí celosvětovými standardy a dokonce neřešatelnými zákony. Zde je přehled toho absolutně nejdůležitějšího z procesního pole.

Legislativní státní prostředí

Správné kybernetické zajištění přestává být pro velké firmy a kritickou infrastrukturu dobrovolné. Evropská unie i jednotlivé státy tvrdě přikazují legislativu pod nekompromisní pohrůžkou likvidačních mnoha-milionových pokut pro jednatele ne-zajištěných firem:

1. ZoKB (Zákon o kybernetické bezpečnosti)

Česká národní legislativa z pera odborníků z NÚKIBu (Národního úřadu pro kybernetickou a informační bezpečnost). Hlavním grófem tohoto obřího spisu je tvrdě zajistit a naoktrojovat takzvanou kritickou informační infrastrukturu státu. Víte, co by se zítra stalo, kdyby kvůli nezaplacené licenci antiviru padla veškerá síť velkých nemocnic a vypla se distribuce elektráren do trafostanic, nebo náhle přestaly na počítačích komunikovat po letišti řídící věže s letadly na přistávací ranveji? ZoKB organizacím provozujícím tyto fatální uzly zákonem drsně nařizuje obrovský nutný audit papírového i technického zajištění sítí, s povinným hlášením všech hacknutých síťových propadů dnem i nocí přímo české vládě. Jeho chystané dodatečné modernizace do zákona silně natlačí i vyřazení dodavatelů asijských a východních nepodšitelných značek ze státních IT obvodů.

2. Směrnice NIS2 (Network and Information Security 2)

Evropská nekompromisní směrnice sloužící zároveň coby velká tvrdá celounijní předloha i naší české národní ZoKB legislativy, která zarovnává celoevropskou bezpečnostní síť napříč všemi státy. Pokud dříve spadal audit úřadů pouze na stovky těch nejdůležitějších klíčových prvků (elektrárny/nemocnice apod.), NIS2 masivně a drasticky pohlcuje do zákona i seznam odvětví, kterých se kdysi netýkal (celý automobilový průmysl, odpadové a kurýrní firmy, potravinářské holdingy). Dotkne se do pár měsíců tisíců velkých nadnárodních i středních českých firem, které plošně donutí do systému najmout dedikované drahé IT experty pod hrozbou likvidace v rámci sankčních trestů státu.

3. GDPR (Ochrana osobních údajů)

Bezpečnostní obor mohutně přesahující do spíše lidsko právního papírování, se kterým se setkal absolutně nejčastěji jakýkoliv český internetový konzument a eshopař. General Data Protection Regulation tvrdě zvedá obranných deštník občanů EU pro potlačení zranitelnosti jejich digitálních stop a tváří (e-mail, fotka, jméno, chování na internetových vyhledávačích a nákupy kreditek). Pokud obří korporáty špatně zajištují citlivá zdravotní či úřední data a na web padne ransomware, po pádu sítě už je povinnost úřad UOOU informovat prakticky ihned a otevírá se stavidlo nesnesitelně ohromných procentuálních pokut v hodnotě celosvětového ročního prodeje dané korporace.

4. Rámec ISO 27001 (ISMS procesní certifikace bezpečnosti)

Tento papírový standard se řadí jako výše dobrovolný, ovšem ze stran ředitelů extrémně vyhledávaný a z obchodního pomezí i v soutěžích tvrdě nárokovaný dokument, je to byznysový zlatý certifikát. Ačkoliv to obří stoh papírů a oběhů u korporací je, když se firma pochlubí zlatou raženou obálkou od certifikačního ročního auditora nad textem ISO 27001, zákazník dostává ohromnou objektivní jistotu, že ten cizí firemní svět pod kapotou z ničeho nic po hackerském průšvihu neshoří. Znamená to tvrdý dril - ISO 27001 nekompromisně firmu proškolí z procesů uvnitř vlastních řad (od zaměstnaneckých pístupů do sklepních serveroven pro zakázané uklízečky, rotaci pinu čipových vchodových dveří, blokací propisek s flashdisky a hlavně pravidelný roční papírový Risk Management proces ze zasedaček nejvyšších korporátních činitelů).

Zahraniční normy a zákony na ochranu dat

Globální internet nezná hranic, a proto i státy mimo Evropu a Česko zavedly ultimátní předpisy pro zpracování kybernetických zranitelností. S těmi se každá česká firma poskytující aplikaci nebo zpracovávající data pro cizince musí pod hrozbou žaloby nutně sladit:

5. HIPAA (Health Insurance Portability and Accountability Act)

Zásadní americký federální zákon chránící přísně vybrané citlivé zdravotnické informace pacientů v USA. Pokud vaše IT firma v Česku vyvíjí aplikaci pro americkou nemocnici nebo zpracovává zdravotní data pro pojišťovny zámořského trhu, dopadá na vás přísný audit HIPAA. Nastavuje nekompromisní limity na to, jak se mohou data pacientů (tzv. ePHI – Electronic Protected Health Information) ukládat, šifrovat a s kým logově sdílet. Odcizení nezabezpečených lékařských záznamů tu končí astronomickými tresty.

6. CCPA a CPRA (Zákony v Kalifornii, USA)

Spojené státy americké paradoxně nedrží jeden ohromný kybernetický zákon ve stylu plošného GDPR. Silnou otěž však za ně převzal samotný stát Kalifornie (California Consumer Privacy Act a jeho rozšíření CPRA). Ten dává všem lidem masivní právo kontrolovat, mazat a zakazovat firmám přeprodej dat dalším stranám za účelem reklamy. A jelikož v Silicon Valley v Kalifornii sídlí snad každý technologický obří tahoun a data centum, CCPA udává automaticky ochranný standard pro všechny služby na webu bez ohledu na sídlo uživatele.

7. PDPA (Personal Data Protection Act)

Východní a asijské státy kyber-regulacemi nezaostávají. Obrovsky důležitý je standard PDPA (nejvěhlasnější je Singapurská verse, ale používá ji i Malajsie nebo Thajsko). Nastavuje neprostupná asijská pravidla zakazující “na černo” sběr profilových občanských dat bez svolení a např. dává firmám jasně časový limit pro povinné nahlášení hacknutí jejich serverů policii dříve, než to tajně zametou pod koberec. Je to vynikající ekvivalent GDPR aplikovaný pro dynamické obchodní prostředí asie.