Kybernetický útok na firmy přes jejich dodavatele se stává největší hrozbou kyberbezpečnosti

Kybernetický útok na firmy prostřednictvím dodavatelských řetězců je třetí nejčastější způsob, jak se snaží hackeři proniknout do IT systémů českých firem. Častější jsou přímé útoky formou phishingu a ransomware, ale ty jsou méně úspěšné, protože u zabezpečených firem narazí na plně funkční kybernetický štít. Hackeři tedy hledají cestu, jak tyto štíty přes dodavatelský řetězec obejít. Firmy by si proto měly pečlivě ověřovat, zda mají jejich dodavatelé kvalitně nastavené zabezpečení svých IT ekosystémů. Aby jim mohly důvěřovat, a umožnit jim propojení se svými sítěmi.

Podle NÚKIB za rok 2023 došlo k téměř 80% nárůstu kybernetických incidentů, které úřad vyšetřoval a ve svém výhledu pro následující roky NÚKIB varuje zejména před kybernetickými útoky skrze dodavatelský řetězec. ^[1] České firmy přitom patří mezi nejčastěji napadané organizace v Evropě a podle informací společnosti Check Point Software Technologies na jednu českou firmu směřovalo v polovině tohoto roku průměrně 2094 kyberútoků týdně ^[2], což je o 30 procent nad průměrem Evropy. Evidentně jsou útočníci v Česku aktivnější, protože patrně očekávají slabší kybernetickou ochranu firem a organizací. Zejména těch, které nemají certifikované zabezpečení IT sítí a procesů.

Mnohé firmy vynakládají miliony korun na obranu svých počítačových sítí, ale jejich slabinou mohou být dodavatelé, kteří mohou přímo nebo nepřímo selhat. Komunikační kanály mezi firmou a dodavatelem mohou být považovány za zabezpečené, protože je monitorují antivirové scannery. Ale proti sofistikovanosti dnešních útoků to není nikdy stoprocentní ochrana. A s nástupem prvků umělé inteligence bude toto riziko stoupat.

Firmy by proto od svých dodavatelů měly požadovat zabezpečení jejich kyberbezpečnosti podle normy ISO 27001. Tak mají jistotu, že splňují mezinárodně platný standard managementu bezpečnosti informací. „Jsme si vědomi, že kyberbezpečnost firem začíná u jejich dodavatelů. Tím, že máme certifikaci ISO 27001, chráníme naše zákazníky stejně jako sebe. A to samé požadujeme i od našich dodavatelů,“ popsal Jakub Zetek, provozní ředitel společnosti M.B.A. Finance, jak přistupují k ochraně svých dat. Směrnici o kybernetické bezpečnosti NIS2 implementovali již letos v květnu, přestože novela zákona o kybernetické bezpečnosti ukládá tuto povinnost až do konce roku 2025.

Podle Jakuba Zetka nejde jen o přímé hrozby útoků přes nechráněný systém dodavatele. „U dodavatele, který nesplňuje kyberbezpečnost podle ISO 27001, nemá firma jistotu, co se děje s daty, která mu svěřila. A jejich následné zneužití se pak může obrátit proti ní,“ upřesnil Zetek.

Pravidla pro řešení kybernetické bezpečnosti evropské směrnice NIS2 začala platit od 18. října 2024 a po přijetí nového zákona o kyberbezpečnosti v polovině roku 2025 by je mělo dodržovat zhruba 6000 firem v Česku. Ale podle průzkumu společnosti Ernst & Young ČR zabezpečení podle této normy zatím splňují pouze dvě procenta dotazovaných firem ^[3].

^[1] Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2023, NÚKIB, https://nukib.gov.cz/cs/infoservis/dokumenty-a-publikace/zpravy-o-stavu-kb/
^[2] Check Point Software Technologies, https://www.linkedin.com/showcase/checkpointczech/posts/
^[3] Ernst & Young ČR, https://www.ey.com/cs_cz/insights/cybersecurity/nis2-klepe-na-dvere-a-pripraveno-je-minimum-ceskych-firem