U ransomwaru je vhodné oddělit dvě roviny, které bývají v debatách zbytečně směšovány. První rovinou je trestní odpovědnost pachatelů. Druhou rovinou je právní postavení oběti, která se pod tlakem rozhodne zaplatit výkupné. Právě tato druhá rovina je daleko složitější, než jak se někdy prezentuje.

Na straně útočníků typicky nejde jen o vydírání, ale současně i o neoprávněný přístup k počítačovému systému a neoprávněný zásah do systému nebo dat. Nás zde ale nezajímá pachatel, nýbrž oběť, která stojí před otázkou, zda zaplacením výkupného nepřekračuje hranici zákona.

Řízení rizik je nedílnou součástí moderního podnikání. Jedním z nejrozšířenějších nástrojů jsou tzv. risk matice, které pomáhají vizualizovat a prioritizovat rizika.

Právě jejich rozšířenost ale vytváří nebezpečný dojem samozřejmosti: co používají všichni, bývá považováno za dostatečné. Jenže dějiny selhání ukazují něco jiného. Mnoho postupů se jeví jako přijatelné až do okamžiku, kdy jejich limity narazí na realitu a způsobí škodu. Teprve tehdy přestává být metodická debata akademickou disciplínou a začíná se zkoumat, kdo rozhodoval, na základě čeho rozhodoval, co měl vědět a zda jednal s péčí, kterou bylo možno rozumně očekávat.

Vlastníci firem, členové představenstva i manažeři nesou odpovědnost za dodržování právních předpisů v oblasti kybernetické bezpečnosti.

Tato odpovědnost zahrnuje nejen implementaci technických opatření, ale i řízení rizik a dodržování bezpečnostních standardů podle předpisů EU jako jsou GDPR, NIS2, CRA a DORA. Ale neměl by to být ten hlavní důvod. Tím by měl být pud sebezáchovy, který možná některým zcela schází.

Během léta se riskařilo a kvantovalo jak v Bruselu, tak i na Slovensku. A trochu nečekaně vznikl revoluční metodický/podpůrný materiál právě na východ od nás.

Během horkých letních dní vzniklo v okruhu států EU hned několik materiálů zajímavých pro analytiky, specialisty a manažery, kteří se budou v souvislosti s NIS 2 zabývat kybernetickými riziky. Pozastavme se u dvou z nich. Důvodem výběru je „oficiální“ punc jednoho a až revoluční vyznění druhého.

Evropská unie se v nově přijatém nařízení 2025/38 (tzv. „akt o kybernetické solidaritě“) snaží posílit obranu proti kybernetickým hrozbám.

Předpokládá se, že tato opatření zvýší ochranu digitálních infrastruktur a budou reakcí na stále častější a sofistikovanější kybernetické útoky. Myšlenka je to jistě chvályhodná, ovšem existuje zde jistá obava, že to nebude fungovat a dojde na známé rčení: „Mysleli jsme to dobře, ale dopadlo to jako vždycky.“

NDA (Non-Disclosure Agreement) je bezpečnostní opatření mající podobu dohody o zachování mlčenlivosti mezi dvěma případně i více stranami.

Setkat se můžeme s jednostrannou (unilateralní), dvoustrannou (bilaterální) a vícestrannou (multiraterální) dohodou o mlčenlivosti.

S exploity se obchoduje stejně jako s jakoukoliv jinou komoditou. Jednoduše řečeno, někdo vykupuje švestky a dělá z nich kvalitní slivovici a někdy zase zero day exploity a dělá z nich kvalitní malware.

O kvalitě lze samozřejmě v obou případech diskutovat, ovšem oboje si své kupce najde, jen u těch exploitů je výkupní cena za kus kapánek vyšší a v čase roste.

Cílem tohoto příspěvku není detailně obsáhnout všechny problémy, se kterými se můžete při vývoji setkat, a které byste měli mít smluvně ošetřeny, ale upozornit jen na vybrané z nich.

Nebudu zde řešit, zda se jedná o klasický vývoj anebo agilní, protože níže uvedené problémy budete muset řešit tak jako tak.

V prvé řadě je třeba uvést, že etický hacking je možný pouze se souhlasem subjektu, který daný systém provozuje.

V opačném případě dochází k naplnění skutkové podstaty trestného činu dle § 230 Zákona č. 40/2009 Sb. trestního zákoníku, zkr. TZ.