Výhody migrace do cloudu v kontextu se zavedením směrnice NIS2

Celoevropská směrnice NIS2 o kybernetické bezpečnosti výrazně rozšiřuje okruh povinných subjektů - bez ohledu na oblast podnikání. Proto se každá druhá firma v Česku bude muset začít zabývat svým IT, což v rámci naplnění zákona znamená, že do něj bude muset investovat nemalé prostředky, nebo zcela změnit uvažování o IT.

NIS2 - celoevropská směrnice o kybernetické bezpečnosti, začne v České republice platit zhruba v polovině roku 2024. Její litera výrazně zpřísňuje požadavky nejen na softwarové i hardwarové vybavení, ale také na zabezpečení sítí i zařízení v nich. Nová legislativa se tak bude týkat firem s více než 50 zaměstnanci, nebo obratem či bilanční sumou roční rozvahy 10 milionů eur.

Zákon tak dopadne nejvíce na malé a střední firmy, které dosud svému IT nevěnovaly příliš pozornosti, mají vlastní stárnoucí servery, počítače i software, o něž se jim stará jeden jediný zaměstnanec. Ten v takových případech řeší veškerou agendu od instalací softwaru, nastavování uživatelských práv, zálohování, bezpečnost sítě až po hardware a jeho servis.

Tyto subjekty jsou nyní na rozcestí a budou se muset rozhodnout, kterou cestou se vydat, aby splnily požadavky vyplývající z normy NIS2.

Jak naplnit požadavky vyplývající z NIS2:

Migrace do cloudu, která naopak může v konečném důsledku firmě peníze ušetřit, protože bude moci díky přechodu z CAPEX (investiční náklady) na OPEX (operační náklady) lépe plánovat své cashflow

Nákup nových technologií a zajištění jejich zabezpečení vlastními silami, což nebude vždy možné ať už z finančního či personálního důvodu

Obrazně řečeno, firmy tak mohou přechodem do cloudu zabít několik much jednou ranou. Uspoří velké množství peněz, protože náklady na využívanou infrastrukturu sdílí s dalšími subjekty a platí pouze za to, co skutečně užívají. Zároveň ale vyřeší velkou potřebu se zabezpečením dat.

"Malé a střední firmy s inhouse řešením jsou zranitelnější a náchylnější k útokům kyberzločinců, kteří se navíc poučili a začali pracovat jinak. Pokud se například stane bezpečnostní incident, kdy útočníci pomocí ramsomware zašifrují a získají firemní data, hrozí reálně jejich zveřejnění, a to i po zaplacení výkupného. Útočníci už totiž vědí, že firmy zálohují a ztráta dat za jeden pracovní den pro ně není likvidační. A také vědí, že za únik dat hrozí dle GDPR poměrně vysoké pokuty. ÚOOÚ dokonce vydal doporučení, aby firma po napadení ransomwarem rovnou počítala s únikem dat a úřadu se sama nahlásila, protože nelze zaručit, že data po zaplacení výkupného nebudou zveřejněna a prodávána na darknetu," říká Petr Loužecký, ředitel pro cloudové služby společnosti Algotech.

Pokud se firmy rozhodnou pro více doporučovanou cestu cloudem, mají na výběr z mnoha poskytovatelů i několika různých řešení. Zde platí, že o servery a celkovou bezpečnost se vždy stará ten, kdo službu poskytuje.

Varianty řešení využití cloudu:

IaaS (Infrastruktura jako služba) - zde si zaplatí datové úložiště i virtuální server, na nějž si nahrají vlastní operační systém a další software, s nímž jsou zvyklí pracovat

PaaS (Platforma jako služba) - vhodné zejména pro firmy, zabývající se vývojem aplikací. Poskytovatel v takovém případě nabízí zákazníkovi určité prostředí, v němž on nadále tvoří vlastní produkty.

SaaS (Software jako služba) - zákazník se v takovém případě vůbec nezajímá ani o hardware a jeho výkon, ani o operační systém či software a aktualizace. Za měsíční poplatek má k dispozici licence ke všem aplikacím, které potřebuje využívat

Malé a střední firmy nejčastěji volí první variantu IaaS, protože mají často zakoupené programy s drahými licencemi a nechtějí se těchto produktů zatím zbavovat. Ale i toto základní řešení je daleko bezpečnější, než mít servery v kanceláři.