Pojem cybersecurity compliance odkazuje na soulad s právními předpisy, které dnes nejsou jen položkou, kterou si musíte odškrtnout. Je to klíčový štít, který chrání bezpečnost vaší firmy – její pověst a samotné přežití vašeho podnikání.
Jaký je nejčastější problém, kterému dnes společnosti čelí? Je to křehkost dodavatelského řetězce? Tvrdá konkurence? Napjaté financování? Nebo je to rostoucí a neúprosná vlna kybernetických útoků?
Důkazy v podobě rostoucích incidentů i experti kybernetické bezpečnosti jasně poukazují na to, že je to právě poslední jmenovaný problém. Vývoj kybernetických hrozeb rozhodně nezpomaluje a firmy všech velikostí si stále více uvědomují, že kybernetická bezpečnost již není oblastí, která je dobrovolná.
Její důležitost si uvědomují i vládní instituce a regulační agentury, zejména pokud jde o organizace, které působí v kritických odvětvích důležitých pro infrastrukturu státu. Výsledek? Rozšiřující se soubor tzv. compliance požadavků. Na společnosti a organizace mohou požadavky klást nemalý tlak, jsou ale nezbytné, protože útoky na kritickou infrastrukturu mohou mít dalekosáhlé dopady na celkovou bezpečnost země i její společnost.
Co to je Cybersecurity Compliance?Termín označuje dodržování pravidel a právních předpisů v oblasti kybernetické bezpečnosti a bezpečnosti dat prostřednictvím nastavených procesů uvnitř firem a organizací. Dodržování předpisů je nezbytné k ochraně uživatelů, zákazníků a zaměstnanců a může být například podmínkou pro dosažení kybernetického pojištění. |
Cybersecurity Compliance: různá podoba pravidel
Pro začátek je důležité rozlišovat mezi dvěma typy compliance pravidel – povinnými a dobrovolnými, protože každá oblast přináší svůj vlastní soubor požadavků.
Povinná oblast zahrnuje předpisy, které jsou vynucované státními nebo ke státu přidruženými agenturami. Zaměřují se na společnosti, které působí v sektorech kritické infrastruktury, jako je například zdravotnictví, doprava a energetika. Například americká společnost, která pracuje s údaji o pacientech, musí dodržovat tamější Zákon o odpovědnosti za přenos údajů o zdravotním pojištění (HIPAA). Cílem je na federální úrovni zajistit ochranu soukromí údajů o pacientech.
Na druhé straně v rámci dobrovolných regulací a pravidel firmy žádají o specifické certifikace a standardy, které je označí jako odborníky v určitém oboru nebo označí některé jejich produkty za splňující oficiální standardizace. Například firma, která usiluje o důvěryhodnost v oblasti ekologie, může požádat o certifikaci ISO 14001, která prokazuje její závazek k ekologicky šetrným praktikám.
Každá společnost si však musí uvědomit, že compliance není jednorázovou záležitostí. Každá standardizace nebo část celého procesu vyžaduje většinou konzistentní monitorování nebo recertifikace, a je proto důležité počítat s nutností přidělení dedikovaného rozpočtu a alokovat pro tuto oblast potřebné zdroje.
Cybersecurity Compliance není jen pro dodavatele bezpečnostních služeb
Společnost, která nedodržuje povinné regulace a pravidla, může čelit vysokým pokutám. Stejně jako incidenty v podobě úniků dat nebo útoky ransomwarem, které si mohou vyžádat vysoké náklady, i důkazy o nedodržování povinných bezpečnostních opatření mohou nakonec způsobit obrovskou díru ve firemním rozpočtu.
Specifické kybernetické bezpečnostní předpisy, které musí organizace dodržovat, závisí na typu odvětví, ve kterém společnost působí, a na tom, jak důležitá je bezpečnost jejích interních dat pro soukromí, zabezpečení údajů nebo zákony pro oblast kritické infrastruktury. Jak jistě také víte, mnohé regulace a certifikace jsou specifické pro daný region.
V závislosti na tom, jaké zákazníky, klienty nebo partnery chce firma přilákat, je tak dobré požádat o specifický certifikát, který ji pomůže k uzavření kýžené smlouvy. Pokud chce například americká společnost spolupracovat s federální vládou USA, musí požádat o certifikát FedRAMP, který prokazuje její způsobilost chránit federální data.
V každém případě je nutné soulad s regulacemi a standardizacemi začlenit do základů jakékoli obchodní strategie. Jak se v budoucnu budou zvyšovat regulační požadavky, dobře připravené společnosti se budou snáze přizpůsobovat změnám. Protože se míra souladu s předpisy a regulacemi vyhodnocuje průběžně, může to firmám ušetřit značnou část zdrojů a umožnit jim růst v dlouhodobém horizontu.
Klíčové zákony a rámce kybernetické bezpečnosti
Níže si můžete projít některé z nejdůležitějších zákonných regulací a právních rámců v oblasti kybernetické bezpečnosti:
Health Insurance Portability and Accountability Act (HIPAA)
Tento Zákon o odpovědnosti za přenos údajů o zdravotním pojištění se týká nakládání s informacemi o pacientech v nemocnicích a dalších zdravotnických zařízeních. Představuje soubor standardů, které jsou navrženy tak, aby chránily důvěrné zdravotní údaje pacientů před zneužitím, a vyžaduje, aby správní subjekty zavedly různá opatření na ochranu těchto údajů, jak fyzicky, tak elektronicky.
Právní rámce National Institute of Standards and Technology (NIST)
NIST je americká vládní agentura pod ministerstvem obchodu, která vyvíjí standardy a pokyny pro různé sektory, včetně kybernetické bezpečnosti. Tím, že nařizuje určitý soubor zásad, které jsou základem bezpečnosti organizací, umožňuje firmám lépe řídit jejich kybernetickou bezpečnost. Například NIST Cybersecurity Framework 2.0 obsahuje komplexní pokyny pro organizace všech velikostí a aktuálně platný přístup k otázkám bezpečnosti, díky kterému mohou řídit a snižovat kybernetická rizika pro oblasti jejich podnikání.
Payment Card Industry Data Security Standard (PCI DSS)
PCI DSS je další standardizace informační bezpečnosti navržená k řízení nakládání s údaji o kreditních kartách. Jejím cílem je snížit rizika podvodů s platebními kartami, a to zpřísněním bezpečnosti údajů o držitelích karet. Platí pro všechny subjekty, které nakládají s údaji o kartách, ať už jde o obchod, banku nebo poskytovatele služeb.
Směrnice NIS2 – Network and Information Security Directive
Tato směrnice posiluje kybernetickou odolnost firem a institucí spadajících nejen pod oblast kritické infrastruktury v Evropské unii tím, že ukládá přísnější bezpečnostní požadavky a postupy řízení rizik subjektům, které působí například v sektorech, jako je energetika, doprava, zdravotnictví, digitální služby a řízené bezpečnostní služby. NIS2 také zavádí nová pravidla pro hlášení incidentů a pokuty za nedodržení.
Buďte v souladu s regulacemi a předpisy
Zajímá vás, jaká další preventivní opatření může vaše firma zavést, abyste snížili kybernetická rizika na minimum?
ZJISTIT VÍCEGDPR – General Data Protection Regulation
Obecné nařízení o ochraně osobních údajů, GDPR, je jedním z nejpřísnějších předpisů o ochraně soukromí a bezpečnosti dat na světě. Zaměřuje se na soukromí a právo na ochranu údajů lidí v Evropské unii, dává jim kontrolu nad nakládáním s jejich údaji a nařizuje společnostem bezpečné ukládání jejich dat a hlášení vzniklých incidentů.
Existují jak specifické regulace pro jednotlivá odvětví, tak široké regulační rámce a každý z nich má své vlastní požadavky. Dodržování jednoho nezaručuje, že neporušujete jinou sadu pravidel. Proto věnujte pozornost tomu, které předpisy se vztahují na vaše podnikání.
Cena nesouladu s regulacemi a nařízeními
Jak již bylo zmíněno, v některých případech hrozí za nedodržení předpisů vysoké pokuty.
Porušení GDPR může mít například za následek pokuty až do výše 10 milionů eur nebo 2 % celosvětového ročního obratu pro každou společnost, která neoznámí buď dozorovému orgánu, nebo majitelům údajů porušení. Dozorové orgány mohou také uložit další pokuty za nedostatečná bezpečnostní opatření.
V USA může například nedodržení zákonu FISMA znamenat snížení federálního financování, vládní slyšení, cenzuru, ztrátu budoucích smluv a další. Podobně porušení HIPAA může mít také vážné důsledky, ať už jde o pokuty ve výši 1,5 milionu USD ročně nebo dokonce o trest odnětí svobody na 10 let. Je zřejmé, že je v sázce více než rozpočtový blahobyt. Investice do preventivních opatření se tak jistě zdají být výhodnější.
Držet krok s předpisy kybernetické bezpečnosti, které se týkají vašeho podnikání, není jen prázdnou povinností. Místo toho, abyste je vnímali jako další zbytečný výdaj, zkuste na ně pohlížet na nezbytnou a pravidelnou investici, což se o to víc týká hlavně povinných standardů.
