Obavy o bezpečnost patřily zpočátku k zásadním argumentům, proč do cloudu podnikové aplikace a data vůbec nepouštět. Velmi rychle se ukázalo, že cloud, o který se stará rozsáhlý tým profesionálů v oblasti provozu a zabezpečení, je naopak daleko bezpečnějším prostorem pro provozování aplikací a systémů než naprostá většina podnikových datových center. Jak se mění povaha kybernetických hrozeb a především jak roste intenzita útoků, je extrémně náročné, aby tým podnikového oddělení IT obsáhl svými znalostmi a zkušenostmi celou aktuální oblast kyberbezpečnosti. Navíc se musí postarat také o další náležitosti každodenního provozu a nemůže se tedy věnovat jen bezpečnosti. Mezi povinnosti tisíců českých firem navíc nově přibudou i náročné požadavky regulace NIS2 (Nová směrnice EU o kybernetické bezpečnosti) transformované do připravovaného zákona o kybernetické bezpečnosti.
Samozřejmě i pro cloud platí, že je jen tak bezpečný, jak dokážeme jeho prostředí nakonfigurovat a zabezpečit. Proto je nezbytné odlišit platformy jako Microsoft Azure a další veřejné cloudy, stejně jako virtuální servery v cloudu, od aplikačního hostingu v cloudu. Rozdíl spočívá v tom, že o aplikace provozované ve veřejném cloudu nebo na virtuálních serverech musí opět pečovat především podnikové IT. To znamená aktualizovat systémy, zálohovat data nebo řešit bezpečnostní incidenty. Oproti tomu aplikační hosting v cloudu, jako je náš AppOn.cloud, představuje službu, o kterou se kompletně stará její poskytovatel, který je současně zodpovědný za plnění všech provozních parametrů takové služby.
„BEZPEČNOST JE JEDNÍM Z FAKTORŮ, KTERÉ ZDŮRAZŇUJÍ EKONOMICKOU VÝHODNOST CLOUDOVÝCH SLUŽEB. BOHUŽEL SE NA NI ČASTO ZAPOMÍNÁ A NEBÝVÁ ZAHRNUTA V KALKULACÍCH NÁKLADŮ.„
BEZPEČNÉ APLIKACE V CLOUDU
Formou aplikačního hostingu se nejčastěji provozují účetní a ekonomické systémy, aplikace pro personalistiku nebo CRM (Customer Relationship Management) a ERP (Enterprise Resource Planning). Úloha poskytovatele služby přitom spočívá v zajištění provozu a dostupnosti těchto aplikací, stejně jako zabezpečení dat. To znamená, že se musí postarat o zálohování dat i ochranu před kybernetickými útoky, stejně jako o případnou obnovu po havárii (disaster recovery) – aniž uživatelé aplikací zaznamenají jakýkoli problém nebo výpadek. Ale jak poznáme, že to provozovatel aplikačního hostingu zvládne?
Především by měla být bezpečnost samozřejmou součástí jeho podnikání. To lze prokázat například certifikací ISO 27001 pro systém řízení bezpečnosti dat, která vyžaduje pravidelné audity. Sprinx, jako provozovatel služby AppOn.cloud, k tomu přidává například i prověrku NBÚ (Národní bezpečnostní úřad). A samozřejmě se vyplatí sledovat také historii na trhu a reference.
Certifikace samozřejmě neznamenají, že poskytovatel aplikací v cloudu nemůže být napaden. Prokazují však, že s takovou možností počítá, je na ni dobře připraven a útok dokáže buďto odvrátit, nebo se z něj rychle a bez následků pro své zákazníky zotavit. Dobrý poskytovatel cloudu dokáže takové certifikace a svá opatření v kybernetické bezpečnosti odprezentovat společně s výsledky aktuálních auditů.
A co je velmi důležité – dokáže svou kompetenci sdílet se svými zákazníky, kterým pomůže rychle prokázat, že ve svých aplikacích a systémech udržují data v souladu s příslušnou legislativou. Ať už jde o GDPR (General Data Protection Regulation), nebo v blízké budoucnosti o NIS2, respektive připravovanou novelu zákona o kybernetické bezpečnosti. Prokazování shody s předpisy na správu a zpracování citlivých dat, zajištění dostupnosti a obecně kybernetické bezpečnosti budou stále častějším požadavkem ve všech odvětvích, a firmy proto velmi ocení partnera, který jim se splněním povinností v této oblasti pomůže.
NOVÉ POVINNOSTI V KYBERBEZPEČNOSTI
Splnění požadavků nového zákona o kybernetické bezpečnosti bude pro organizace v režimu regulovaných služeb velmi náročné. Zavádí totiž řadu zásadních změn:
Rozšířená působnost a nové regulované subjekty
Nový zákon se bude vztahovat na širší spektrum subjektů, což podle odhadů NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) znamená přibližně 6 000 nových firem či organizací ze sektorů jako veřejná správa, energetika, výrobní a potravinářský průmysl, chemický průmysl, vodní a odpadové hospodářství, doprava, digitální infrastruktura, finanční trhy, zdravotnictví, věda, výzkum a vzdělávání, poštovní služby a vojenský i vesmírný průmysl.
Zvýšený důraz na bezpečnost dodavatelských řetězců
Z důvodu častých útoků na dodavatelský řetězec a rostoucí závislosti mezi dodavateli stanoví nový zákon povinnost aktivně řídit kybernetickou bezpečnost při výběru dodavatelů. Zavádí také další povinnosti pro významné dodavatele, včetně požadavků na obsah smluv a pravidelnou kontrolu opatření.
Lokalizace dat
Pro organizace spadající do režimu vyšších povinností navrhuje NÚKIB požadavek na lokalizaci dat na území ČR nebo EU. Tento požadavek se vztahuje na zpracování dat, která mohou vést k incidentům s významným dopadem. Podobně jako u GDPR může tento požadavek znamenat pro společnosti významné náklady na migraci dat do povolených lokalit.
Rozšíření povinnosti hlášení incidentů
Povinnost hlášení kybernetických incidentů NÚKIB nebo národnímu CERT (Computer Emergency Response Team) bude nově rozšířena na větší počet subjektů. Nový zákon také zavádí povinnost informovat uživatele služeb o incidentech, čímž se zvyšuje transparentnost a reakční schopnost na kybernetické hrozby.
Vyšší sankce za porušení kybernetické bezpečnosti
Návrh zákona výrazně zpřísňuje pokuty za porušení kybernetické bezpečnosti, které mohou dosáhnout až 10 milionů eur nebo 2 % z čistého obratu za poslední ukončené účetní období. Tento krok má za cíl motivovat organizace k důslednému dodržování bezpečnostních opatření.
Odpovědnost vrcholového vedení
NIS2 klade na vrcholové vedení organizací zvýšenou odpovědnost za kybernetickou bezpečnost. Povinnosti zahrnují stanovení bezpečnostní politiky a cílů, zajištění dostatečných zdrojů, komunikaci důležitosti bezpečnosti ve společnosti a aktivní účast na řízení kybernetických rizik.
Směrnice NIS2 představuje komplexní přístup k posílení kybernetické bezpečnosti v EU s důrazem na zvýšení ochrany kritické infrastruktury a zajištění bezpečnosti v dodavatelských řetězcích. Opatření na základě této směrnice budou vyžadovat značné úsilí od všech zúčastněných subjektů, to je však možné do značné míry přenést na spolehlivé partnery.
V ROCE 2023 EUROPOL ZDOKUMENTOVAL 5 613 RANSOMWAROVÝCH ÚTOKŮ (Ransomware je druh škodlivého softwaru, který zašifruje, zakáže nebo výrazně omezí přístup k datům, zařízením nebo celým systémům oběti, dokud nebude zaplaceno požadované výkupné), COŽ PŘEDSTAVUJE 42% NÁRŮST OPROTI ROKU 2022. RANSOMWARE TAK ZŮSTÁVÁ HLAVNÍ HROZBOU. NEJAKTIVNĚJŠÍ RANSOMWAROVOU SKUPINOU BYL LOCKBIT (LockBit je mezinárodní kyberkriminální
skupina, která své oběti napadá ransomwarem) ZODPOVĚDNÝ ZA 25 % HLÁŠENÝCH PŘÍPADŮ.
Jiří Jinger, AppOn.cloud