Hybridní válka:

Porozumění hybridnímu válčení a jeho dopadům na podnikání

Pro komerční podniky již hybridní hrozby nejsou teoretickými obavami, ale projevují se jako kybernetické útoky narušující výrobu nebo drony provádějící sledování. Propojená povaha těchto taktik znamená, že jediný incident může vyvolat kaskádové selhání napříč více systémy. Vaše dodávky energie mohou být narušeny sabotáží, zatímco vaše komunikace bude ochromena kybernetickými útoky.

To, co činí hybridní hrozby pro podnikání obzvláště nebezpečnými, je jejich nejednoznačnost. Společnosti mají potíže s atribucí útoků, určováním vhodných reakcí a orientací v právních složitostech, které vznikají, když se tradiční bezpečnostní opatření ukáží jako nedostatečná. Advokátní kancelář ARROWS pravidelně radí komerčním subjektům v oblasti těchto vznikajících bezpečnostních rizik a pomáhá jim porozumět právnímu rámci, v němž musí působit.

Tři pilíře hybridního útoku: Jak drony, kyberútoky a dezinformace spolupracují

Bezpilotní letadla (UAV) se stala primárním nástrojem v hybridních operacích zaměřených na odvětví infrastruktury. Na rozdíl od tradičních letadel nabízejí drony protivníkům rychlost, nízké náklady, snížené riziko atribuce a schopnost operovat mimo konvenční obranné perimetry. Pro společnosti spravující energetická zařízení nebo telekomunikační sítě se hrozby dronů vyvinuly z teoretických rizik v doloženou realitu.

Při nedávných incidentech v Evropě i mimo ni byly drony využity ke sledování elektráren, ropných a plynových zařízení a telekomunikační infrastruktury. Dokumentované případy ve Spojených státech a Evropě ukázaly, jak snadno lze komerční platformy upravit k vyvolání úmyslných škod. Novější případy zahrnují koordinované operace dronů určené ke sběru zpravodajských informací o uspořádání objektů před zahájením útoků.

Hrozba přesahuje přímé fyzické poškození, protože drony vybavené sledovací technikou mohou identifikovat vzorce ve vašem provozu. V kombinaci s kybernetickými útoky na vaše systémy SCADA a dezinformačními kampaněmi, které se k útokům hlásí, se škody násobí exponenciálně. Tyto kombinované taktiky vytvářejí multiplikační efekt, který tradiční fyzická bezpečnost nemůže izolovaně vyřešit.

Kybernetické útoky jako multiplikátory síly v hybridních operacích

Kybernetické útoky slouží jako digitální složka strategií hybridního válčení, často koordinovaná s fyzickými operacemi za účelem maximalizace narušení. Na rozdíl od samostatných kyberkriminálních útoků motivovaných finančním ziskem, hybridní kybernetické operace podporují širší geopolitické cíle. Mezi ně patří destabilizace ekonomik, podkopávání důvěry veřejnosti v instituce a oslabování schopností protivníka.

Sofistikovanost hybridních kybernetických operací se dramaticky zvýšila, přičemž útoky již nevyžadují přímý přístup k systémům. Protivníci nyní provádějí předběžný kybernetický průzkum, napadají partnery v dodavatelském řetězci a využívají zranitelnosti v propojených systémech. Kybernetické útoky na ukrajinskou rozvodnou síť ukázaly, jak může kybernetické narušení ovlivnit miliony civilistů a způsobit sekundární ekonomické škody.

Pro vaši organizaci je riziko umocněno konvergencí kybernetických hrozeb s fyzickými operacemi. Vaše dodávky energie závisí na digitálních řídicích systémech zranitelných vůči kyberútokům a vaše komunikační infrastruktura může být rušena nebo kompromitována. Vaši partneři v dodavatelském řetězci se mohou stát cílem ransomwaru, což naruší vaši výrobu a prokáže, že tradiční rozpočty na kybernetickou bezpečnost jsou nedostatečné.

Důležité je, že právní odpovědnost za kybernetické incidenty se v posledních letech dramaticky rozšířila. Od společností se stále častěji očekává, že zavedou „přiměřená“ kybernetická bezpečnostní opatření úměrná jejich rizikovému profilu a průmyslovému sektoru. Advokátní kancelář ARROWS pomáhá podnikům orientovat se v těchto složitých povinnostech v oblasti compliance a bránit se proti sankčním opatřením regulačních orgánů.

Dezinformace jako zbraň proti důvěře v korporace a trhům

Dezinformační kampaně zaměřené na korporace jsou stále sofistikovanější a ekonomicky škodlivější. Na rozdíl od tradiční propagandy využívají moderní dezinformace algoritmické zesílení, deepfakes a koordinované sítě botů. Tyto nástroje šíří falešné narativy v takovém rozsahu a rychlosti, kterým tradiční ověřování faktů nemůže konkurovat.

Korporátní dezinformační kampaně mohou cílit na vaši pověst, bezpečnost vašich produktů, integritu vašeho vedení nebo vaši finanční životaschopnost. Zvažte dopad tržních „bleskových propadů“ (flash crashes) vyvolaných falešnými informacemi, jako byl incident z roku 2013 týkající se hacknutého tweetu o Bílém domě. Pro společnosti s veřejně obchodovanými cennými papíry představují dezinformace přímé finanční riziko, které může vyvolat rychlý pokles hodnoty.

Konvergence dezinformací s kybernetickými útoky a operacemi dronů škody umocňuje. Poté, co kybernetický útok kompromituje vaše systémy, šíří se falešné zprávy tvrdící, že data byla ukradena ve prospěch protivníků. V těchto scénářích se vaše vlastní pravda v tržním prostředí reálného času, kde obchodní chování určuje vnímání, prosazuje jen obtížně.

Regulační orgány nyní uznávají dezinformace jako systémové riziko vyžadující pozornost v rámci správy a řízení společností (corporate governance). Finanční regulátoři v mnoha jurisdikcích začali po společnostech vyžadovat zavedení kontrolních mechanismů pro detekci a reakci na falešné narativy. Advokátní kancelář ARROWS radí společnostem v oblasti těchto vznikajících povinností správy a řízení a zastupuje podniky v regulatorních šetřeních po dezinformačních incidentech.

Právní a regulatorní odpověď: Co musí společnosti nyní dělat

Státy a nadnárodní regulační orgány kodifikovaly požadavky, aby se společnosti připravily na hybridní hrozby a reagovaly na ně. Nejpodrobnější rámce pocházejí z Evropské unie, jejíž geografická blízkost k zónám hybridních konfliktů z ní činí inovátora v oblasti regulace. Její významná technologická infrastruktura dále zvyšuje potřebu robustních právních norem v této oblasti.

Směrnice EU NIS2 vyžaduje, aby „základní“ a „důležité“ subjekty v kritických odvětvích zavedly opatření kybernetické bezpečnosti založená na analýze rizik. NIS2 se vztahuje na střední a velké subjekty v energetice, dopravě, bankovnictví, zdravotnictví, vodním hospodářství a digitální infrastruktuře. Zásadní je, že NIS2 činí řídicí orgány osobně odpovědnými za dodržování kybernetické bezpečnosti, což znamená, že členové statutárních orgánů mohou čelit odpovědnosti za pochybení.

Ve Spojených státech fungují odvětví kritické infrastruktury podle specifických sektorových předpisů. Odvětví elektroenergetiky podléhá standardům NERC CIP, zatímco finanční instituce musí dodržovat zákon GLBA a předpisy orgánů, jako je SEC. Každý rámec sdílí společné prvky: posouzení rizik, plánování reakce na incidenty, řízení bezpečnosti dodavatelského řetězce a povinnosti rychlého oznámení.

U společností s mezinárodní působností se regulatorní složitost násobí. Evropská dceřiná společnost musí dodržovat vnitrostátní zákony transponující NIS2, zatímco dceřiná společnost v USA se orientuje ve federálních a státních rámcích. Advokátní kancelář ARROWS pravidelně radí společnostem působícím ve více jurisdikcích ohledně harmonizace programů souladu s předpisy o kybernetické bezpečnosti.

Výzva osobní odpovědnosti pro vedení korporací

Moderní předpisy o kybernetické bezpečnosti přenesly odpovědnost z IT oddělení na představenstva a vrcholový management. Soudy v Delaware vytvořily precedens, podle kterého mohou ředitelé čelit osobní odpovědnosti za to, že nezavedli odpovídající systémy dohledu. Akcionáři úspěšně napadli rozhodnutí představenstev týkající se investic do kybernetické bezpečnosti s argumentem, že nedostatečná příprava představuje porušení péče řádného hospodáře.

Standardy, které soudy a regulátoři uplatňují, vyžadují, aby vedení jednalo proaktivně. Vedení musí aktivně monitorovat kybernetická rizika, nikoli pouze pasivně přijímat zprávy IT oddělení. Kromě toho musí prověřovat, zda jsou investice do bezpečnosti úměrné identifikovaným rizikům, a stanovit jasnou odpovědnost za výsledky v oblasti kybernetické bezpečnosti.

Pro evropské společnosti vytvářejí ustanovení NIS2 o osobní odpovědnosti srovnatelné riziko. Vnitrostátní implementace výslovně činí řídicí orgány odpovědnými za nedodržení předpisů. Pokuty pro subjekt mohou dosáhnout 10 milionů EUR nebo 2 % celosvětového ročního obratu, přičemž specifická ustanovení zakládají osobní odpovědnost vedoucích pracovníků.

Situaci dále komplikuje skutečnost, že soudy stále častěji vyvozují odpovědnost vůči ředitelům za zavádějící zveřejňování informací o kybernetické bezpečnosti. Pokud vaše výroční zpráva tvrdí, že jste zavedli „nejlepší bezpečnostní postupy ve své třídě“, ale narušení odhalí významné nedostatky, mohou ředitelé čelit žalobám za podstatné zkreslení skutečnosti. Advokátní kancelář ARROWS pomáhá představenstvům a vrcholovému managementu při vytváření rámců správy kybernetické bezpečnosti, které splňují právní požadavky a zároveň zohledňují provozní realitu.

Hybridní hrozby a kritická infrastruktura: Odvětvová rizika

Energetická infrastruktura čelí trvalým kampaním hybridních hrozeb ze strany státních i nestátních aktérů. Dokumentované kampaně se zaměřily na elektrické sítě pomocí koordinovaných kybernetických útoků a úderů dronů navržených tak, aby maximalizovaly narušení života civilního obyvatelstva. Energetická infrastruktura na Blízkém východě byla rovněž napadena kombinací komerčně dostupných dronů a pokročilých vojenských systémů.

Pro energetické společnosti je hrozba vícerozměrná, kombinuje fyzickou sabotáž s kybernetickými operacemi. Fyzická sabotáž zaměřená na podmořské kabely a potrubí se pojí s kybernetickými operacemi kompromitujícími systémy SCADA. Důsledek je jasný: kritická infrastruktura funguje v prostředí, kde samotná fyzická bezpečnostní opatření již nestačí.

Regulační reakce se v souladu s tím zintenzivnily. Směrnice EU o odolnosti kritických subjektů (CER) vyžaduje, aby provozovatelé v energetice identifikovali kritická aktiva a posoudili zranitelnosti. Advokátní kancelář ARROWS pomáhá provozovatelům v energetice orientovat se v těchto sbíhajících se povinnostech a poskytuje poradenství v oblasti souladu s předpisy a protokolů reakce na incidenty.

Finanční služby a manipulace s trhem prostřednictvím hybridních operací

Finanční instituce čelí hybridním hrozbám z mnoha směrů. Kybernetické útoky se zaměřují na údaje o zákaznících a transakční systémy, zatímco dezinformační kampaně cílí na institucionální stabilitu a důvěru zákazníků. V nedávném významném případě byly k autorizaci podvodných převodů finančních prostředků použity deepfakes firemních manažerů vytvořené umělou inteligencí.

Manipulace s trhem prostřednictvím dezinformací představuje systémové finanční riziko. Bleskové propady (flash crashes) a rychlé změny ocenění způsobené neověřenými narativy ukazují, jak mohou nepravdivé informace vyvolat masivní pohyby na trhu. Pro finanční instituce vzniká regulační expozice v několika směrech, včetně povinnosti zveřejňovat významná kybernetická rizika.

Průnik hybridních hrozeb a finančních trhů vytváří novou právní odpovědnost. Instituce musí zavést kontrolní mechanismy pro ověřování identity, které jsou dostatečně sofistikované, aby odhalily zneužití identity založené na deepfakes. Advokátní kancelář ARROWS pomáhá finančním institucím při navrhování rámců správy a řízení (governance), které řeší tyto sbíhající se hrozby a zajišťují obranu proti regulatorním opatřením.

Voda a telekomunikace: Zranitelná kritická místa

Infrastruktura pro zásobování vodou a telekomunikační sítě představují kritická místa, která jsou stále častěji terčem hybridních operací. Vodárenské systémy v mnoha vyspělých zemích byly navrženy bez ohledu na moderní kybernetickou bezpečnost. Systémy řídící hladiny chemických látek v úpravnách vody často fungují na zastaralé infrastruktuře s minimálním zabezpečením.

Nedávné incidenty demonstrují jak zranitelnost, tak následky. V USA se hackeři pokusili zvýšit hladinu hydroxidu sodného v zásobách vody na nebezpečnou koncentraci. V Evropě došlo k poškození podmořských telekomunikačních kabelů při incidentech, které vyvolaly obavy ze sabotáže.

Pro společnosti provozující vodovody nebo telekomunikační infrastrukturu kombinují hybridní hrozby kybernetické útoky s dronovým průzkumem. Advokátní kancelář ARROWS radí těmto operátorům v oblasti strategií souladu s předpisy (compliance), vývoje protokolů pro reakci na incidenty a řízení odpovědnosti v případě vzniku incidentů.

Právní rámec kybernetické bezpečnosti a reakce na incidenty

Dojde-li k hybridnímu incidentu, povinnosti hlášení dozorovým orgánům vytvářejí naléhavé právní lhůty, které výrazně omezují flexibilitu vaší reakce. Regulační prostředí vyžaduje porozumění několika rámcům současně.

Podle nařízení EU GDPR musí být porušení zabezpečení osobních údajů nahlášeno dozorovým úřadům do 72 hodin. To poskytuje méně než tři dny na prošetření rozsahu porušení, určení dotčených osob a podání formálního oznámení. Lhůta 72 hodin začíná běžet v okamžiku, kdy se o porušení dozvíte, bez ohledu na úplnost vyšetřování.

Nařízení EU DORA zrychluje lhůty pro finanční subjekty. Významné incidenty související s ICT musí být nahlášeny příslušnému orgánu v přísných lhůtách, často do 24 hodin. Tyto překrývající se požadavky vytvářejí praktické komplikace, protože právní týmy musí současně vyšetřovat technický incident a posuzovat finanční dopad.

Složitost se prohlubuje, pokud hybridní incidenty zasahují do více jurisdikcí. Kybernetický útok ovlivňující vaše operace v EU spouští lhůty podle GDPR a DORA, zatímco útoky na dceřiné společnosti v USA spouští odlišné požadavky. Advokátní kancelář ARROWS pomáhá společnostem při zavádění protokolů pro reakci na incidenty, které splňují složité lhůty pro hlášení.

Rozhodování o platbách ransomware a dodržování sankcí

Pokud hybridní operace zahrnují útoky ransomwarem, rozhodování o platbě vytváří mimořádnou právní složitost umocněnou geopolitickými faktory. Rozhodnutí zaplatit nebo odmítnout požadavky na výkupné ovlivňuje nejen okamžité vyřešení incidentu, ale také soulad s předpisy. Má také dopad na riziko budoucího zacílení a potenciální odpovědnost za financování sankcionovaných subjektů.

Sankční režimy USA (OFAC) i EU ukládají standardy objektivní odpovědnosti za platby sankcionovaným subjektům. Pokud vaše společnost zaplatí výkupné útočníkovi, který je později identifikován jako sankcionovaný, čelíte významným občanskoprávním sankcím bez ohledu na váš úmysl. To vytváří skutečné dilema: odklad platby zvyšuje provozní škody, zatímco její urychlení zvyšuje riziko porušení předpisů.

Nedávná donucovací opatření dokládají závažnost situace. Orgány stíhají prodejce a platební platformy usnadňující platby ransomwarem sankcionovaným subjektům. Regulátoři zkoumají, zda vaše společnost provedla před platbou hloubkovou kontrolu (due diligence) útočníků a zda jste prověřili příjemce platby v sankčních seznamech.

Regulační prostředí nyní předpokládá, že se společnosti s incidenty ransomware setkají, a očekává, že budou udržovat komplexní postupy reakce. Advokátní kancelář ARROWS pomáhá společnostem zavést protokoly pro reakci na ransomware splňující očekávání regulátorů, včetně postupů pro dodržování sankcí.

Rizikové scénáře a regulatorní důsledky

Pochopení vašich compliance povinností: Praktický přehled

Určení, které předpisy týkající se hybridních hrozeb se vztahují na vaši organizaci, vyžaduje pochopení více faktorů. Musíte zvážit své průmyslové odvětví, velikost společnosti, geografickou polohu a typy zpracovávaných osobních údajů. Navíc musíte určit, zda jste klasifikováni jako „subjekt kritické hodnoty“ (essential) nebo „důležitý subjekt“ (important).

Společnosti v odvětvích energetiky, telekomunikací, vodohospodářství, finančních služeb, zdravotnictví a digitální infrastruktury čelí nejvyššímu zatížení v oblasti compliance. Pro tato odvětví vyžaduje směrnice EU NIS2, aby střední a velké subjekty implementovaly komplexní rámce kybernetické bezpečnosti. USA ukládají srovnatelné požadavky prostřednictvím odvětvových předpisů, jako jsou NERC CIP a HIPAA.

Geografie hraje významnou roli. Společnosti působící v EU musí dodržovat GDPR bez ohledu na to, kde se nachází jejich sídlo, pokud nabízejí zboží nebo služby rezidentům EU. To vytváří extrateritoriální povinnosti pro mezinárodní společnosti, což znamená, že například americká společnost zpracovávající data evropských zákazníků musí dodržovat požadavky na oznamování incidentů.

Velikost vaší společnosti ovlivňuje intenzitu compliance, přičemž větší organizace čelí přísnějším povinnostem než malé firmy. Malé podniky by však neměly předpokládat, že jsou osvobozeny, protože předpisy se stále častěji vztahují i na ně, pokud působí v kritických odvětvích. Advokátní kancelář ARROWS pomáhá společnostem provádět posouzení compliance a určit, které předpisy se vztahují na jejich konkrétní situaci.

Základní kroky k připravenosti na hybridní hrozby

Budování připravenosti na hybridní hrozby vyžaduje integraci fyzické bezpečnosti, kybernetické bezpečnosti, krizové komunikace a rámců právní compliance do ucelené organizační reakce. Pro většinu organizací to zahrnuje několik vzájemně propojených kroků.

Za prvé, proveďte komplexní posouzení rizik zahrnující fyzické, kybernetické a informační hrozby. NIS2 a ekvivalentní rámce výslovně vyžadují dokumentované posouzení rizik identifikující zranitelnosti a potenciální dopady. Tato posouzení by se měla zabývat scénáři hybridních hrozeb, nikoli pouze izolovanými kybernetickými útoky nebo incidenty s drony.

Za druhé, implementujte vrstvené bezpečnostní kontroly zaměřené na ochranu fyzického perimetru a posílení kybernetické bezpečnosti. Fyzická bezpečnostní opatření musí řešit hrozby ze strany bezpilotních systémů, protože tradiční oplocení perimetru selhává, pokud protivníci využívají letecké platformy. Kybernetické kontroly by se měly rovnoměrně zaměřit na operační technologie (OT) i IT systémy.

Za třetí, vytvořte postupy pro reakci na incidenty s jasnými lhůtami pro regulatorní hlášení. Vaše postupy by měly řešit současnou koordinaci mezi IT, právním oddělením, komunikací a vedením. Předem připravené šablony oznámení a rozhodovací stromy umožňují rychlou reakci splňující zákonné lhůty.

Za čtvrté, udržujte komplexní dokumentaci o bezpečnostních rozhodnutích, posouzeních rizik a činnostech v oblasti správy a řízení (governance). Dokumentace prokazuje, že vaše organizace jednala s náležitou péčí, a slouží jako klíčová obrana v případě incidentu. To je nezbytné, pokud regulátoři později zpochybní, zda jste přijali adekvátní preventivní opatření.

Za páté, zaveďte programy školení a zvyšování povědomí zaměstnanců zaměřené na scénáře hybridních hrozeb. Studie konzistentně ukazují, že sociální inženýrství a phishing zůstávají významnými vektory útoků. Zaměstnanci představují jak zranitelné místo, tak vaši první linii obrany proti dezinformacím.

Složitost implementace těchto opatření při zachování kontinuity provozu je pro většinu organizací výzvou. Advokátní kancelář ARROWS pomáhá společnostem navrhovat rámce compliance, které tyto požadavky řeší, aniž by vytvářely neúnosnou provozní zátěž.

Mezinárodní perspektivy: Jak různé jurisdikce přistupují k hybridním hrozbám

Regulační reakce na hybridní hrozby se v jednotlivých jurisdikcích výrazně liší, což vytváří výzvy pro nadnárodní organizace, které se snaží dosáhnout efektivního a konsolidovaného souladu s předpisy (compliance).

Přístupy Evropské unie kladou důraz na jednotné rámce použitelné ve všech členských státech. Směrnice jako NIS2 a CER stanovují základní požadavky, které musí členské státy EU implementovat do vnitrostátního práva. To vytváří srovnatelnou regulační konzistenci, která odráží geografickou expozici hybridním operacím a uznání skutečnosti, že národní fragmentace vytváří zranitelná místa.

Rámce ve Spojených státech zůstávají více odvětvově specifické a geograficky roztříštěné. Federální předpisy jako NERC CIP a HIPAA stanovují základní požadavky pro konkrétní sektory, zatímco jednotlivé státy si udržují vlastní zákony o kybernetické bezpečnosti. Pro americké společnosti je často jednodušší dodržovat nejpřísnější státní požadavky jako de facto národní standardy.

Přístupy Spojeného království po brexitu přešly z rámců EU, přičemž si zachovaly významnou regulační shodu. Subjekty ve Spojeném království nadále podléhají ekvivalentům GDPR a čelí odvětvovým požadavkům prostřednictvím orgánů, jako je Financial Conduct Authority. Přístup Spojeného království se snaží udržet regulační kompatibilitu s rámci EU a zároveň stanovit nezávislé standardy.

Srovnávací složitost vytváří pro nadnárodní organizace skutečné výzvy. Namísto implementace čtyř samostatných programů compliance budují sofistikované organizace integrované rámce zahrnující nejpřísnější požadavky napříč jurisdikcemi. Advokátní kancelář ARROWS pomáhá nadnárodním společnostem při této konsolidaci a pomáhá identifikovat překrývající se požadavky.

Náš pražský tým pravidelně řeší přeshraniční transakce a záležitosti nadnárodní compliance. Kombinujeme hlubokou znalost evropských právních požadavků se zkušenostmi s poradenstvím mezinárodním klientům pohybujícím se v jurisdikcích USA, Spojeného království a dalších. Pokud vaše organizace čelí hybridním hrozbám zasahujícím do více geografických oblastí, je nezbytné mít právního zástupce obeznámeného se srovnávacími právními povinnostmi.

Technologie a vznikající hrozby: AI, deepfakes a vyvíjející se hybridní operace

Technologická vyspělost hybridních operací se s pokrokem AI dramaticky zrychlila. Umělá inteligence umožňuje kybernetické útoky v rozsahu a rychlosti, které dříve vyžadovaly lidské odborné znalosti, spolu s deepfakes, které jsou tak přesvědčivé, že tradiční video ověřování selhává.

Kybernetické útoky řízené AI automatizují průzkum a zneužití, což protivníkům umožňuje rychle identifikovat a kompromitovat zranitelná místa. Technologie deepfake v kombinaci se sociálním inženýrstvím vytváří nové vektory pro obcházení autentizace. Podvodný převod ve výši 25 milionů dolarů provedený prostřednictvím deepfake videohovorů v Hong Kongu ukázal, že samotné rozpoznávání hlasu a obličeje je nedostatečné.

Dezinformace generované umělou inteligencí představují jedinečné výzvy pro detekci a reakci. Tradiční ověřování faktů vycházelo z předpokladu, že nepravdivá tvrzení budou nakonec identifikovatelná prostřednictvím vyšetřování. Pokud algoritmy dokážou generovat přesvědčivé falešné video nebo audio nerozeznatelné od autentického obsahu, tradiční cyklus oprav se hroutí.

Regulační rámce se vyvíjejí, aby dohnaly technologickou realitu. Většina předpisů napsaných v desátých letech 21. století předpokládá obsah generovaný lidmi. Společnosti implementující systémy AI bez vyspělých rámců správy a zabezpečení čelí znásobeným rizikům. Samotné systémy AI se stávají plochou pro útoky a modely mohou být kompromitovány nebo otráveny falešnými tréninkovými daty.

Pro organizace implementující systémy AI to vytváří nové požadavky na správu a řízení (governance). Členové statutárních orgánů nyní čelí potenciální odpovědnosti, pokud jsou systémy AI nasazeny bez adekvátních bezpečnostních kontrol. Advokátní kancelář ARROWS pomáhá společnostem při navrhování rámců správy AI, které současně řeší bezpečnost, compliance a důsledky v oblasti odpovědnosti.

Budování rámce reakce vaší organizace

Připravenost na hybridní hrozby vyžaduje posun od tradičních izolovaných přístupů k bezpečnosti. Namísto oddělených týmů pro kybernetickou bezpečnost, oddělení krizové komunikace a provozu fyzické bezpečnosti integruje efektivní reakce na hybridní hrozby tyto funkce operativně i právně.

Zaveďte integrovanou správu reakce na incidenty, kde týmy kybernetické bezpečnosti, právní poradci a vrcholové vedení koordinují v reálném čase. Mnoho organizací udržuje „war rooms“ umožňující rychlé mezifunkční rozhodování. Právní složka by měla zahrnovat poradenství schopné v reálném čase podporovat rozhodování týkající se regulačních povinností a dodržování sankcí.

Implementujte plánování kontinuity provozu (BCP) specificky zaměřené na hybridní scénáře. Obecné plány kontinuity provozu v hybridních incidentech často selhávají, protože neřeší koordinované kyberneticko-fyzické útoky. Cvičení by měla simulovat scénáře, kdy kybernetické útoky vyřadí komunikaci právě ve chvíli, kdy dojde k fyzickým incidentům.

Navrhněte komunikační strategie řešící reakci na dezinformace. Mnoho organizací postrádá předem stanovené protokoly pro opravu falešných narativů šířených prostřednictvím sociálních médií. V době, kdy organizace vydají opravy, algoritmické zesílení již doručilo falešná tvrzení milionům lidí.

Zajistěte, aby pojištění kybernetických rizik řešilo vznikající scénáře hybridních hrozeb. Standardní pojistky pro kybernetická rizika často vylučují fyzické škody, sabotáže a terorismus. Pečlivě si projděte své pojištění, abyste se ujistili, že se krytí vztahuje i na hybridní scénáře a zahrnuje náklady na obhajobu při regulačním vyšetřování.

Advokátní kancelář ARROWS pomáhá společnostem navrhovat tyto integrované rámce a zajišťuje, aby splňovaly regulační požadavky a zároveň zůstaly provozně funkční. Poskytli jsme poradenství řadě společností při vytváření protokolů pro reakci na incidenty a plánů kontinuity provozu řešících scénáře hybridních hrozeb.

Manažerské shrnutí

Konvergence operací s drony, kybernetických útoků a dezinformačních kampaní představuje novou kategorii hrozeb, která vyžaduje integrovanou organizační reakci. Hybridní operace se současně zaměřují na fyzickou infrastrukturu, digitální systémy a informační prostředí. Tradiční izolované přístupy k bezpečnosti nedokážou tyto kaskádové poruchy řešit.

Regulační rámce se rychle změnily a vytvořily osobní odpovědnost členů představenstev a vrcholového managementu za řízení kybernetické bezpečnosti. Směrnice NIS2, nařízení DORA a GDPR nyní činí řídicí orgány osobně odpovědnými za selhání v oblasti souladu s předpisy o kybernetické bezpečnosti. Dokumentace bezpečnostních rozhodnutí na úrovni statutárních orgánů se stala kritickým důkazem v regulačních šetřeních.

Časové osy pro reakci na incidenty se dramaticky zkrátily, což vyžaduje právní koordinaci v reálném čase během krizí. Oznámení o porušení zabezpečení podle GDPR musí proběhnout do 72 hodin, zatímco nařízení DORA vyžaduje hlášení finančních subjektů ještě rychleji. Organizace, které postrádají předem stanovené protokoly, riskují zmeškání regulačních lhůt nebo porušení sankčních zákonů.

Dezinformační kampaně představují systémové finanční riziko, které si zaslouží zvláštní pozornost v rámci správy a řízení společnosti. Deepfakes s podporou AI umožňují falešným narativům zasáhnout miliony lidí během několika hodin, což ovlivňuje chování trhu. Společnosti napříč odvětvími zaznamenaly v důsledku dezinformačních incidentů významné dopady na svou tržní hodnotu.

Budování účinné obrany proti hybridním hrozbám vyžaduje integraci kybernetické bezpečnosti, fyzické bezpečnosti, právního compliance a schopností krizové komunikace. Kompartmentalizované přístupy, kde týmy pracují nezávisle, selhávají v okamžiku, kdy incidenty vyžadují současnou koordinaci. Efektivní připravenost prokazuje integraci těchto funkcí jak na provozní úrovni, tak v rámci dozoru nad správou a řízením.

Závěr článku

Hybridní válka přešla z teoretické geopolitické obavy do provozní reality ovlivňující korporace napříč odvětvími. Integrace sledování drony, kybernetických útoků a dezinformačních kampaní vytváří rizikové profily, které tradiční bezpečnostní přístupy řeší nedostatečně. Společnosti působící v kritické infrastruktuře a finančních službách čelí nejvyšší míře expozice.

Regulační reakce se dramaticky zrychlila a zavedla komplexní povinnosti v oblasti compliance podložené značnými sankcemi. Regulační lhůty pro reakci na incidenty zkracují rozhodovací okna na dny nebo hodiny, což vyžaduje předem naplánované protokoly. Správa kybernetické bezpečnosti na úrovni statutárních orgánů přešla z kompetence IT oddělení do sféry klíčové fiduciární odpovědnosti.

Pro vaši organizaci vyžaduje budování efektivní připravenosti na hybridní hrozby integraci fyzické bezpečnosti, kybernetické bezpečnosti, krizové komunikace a právního compliance. Tato integrace vyžaduje odborné znalosti zahrnující více domén, přičemž techničtí specialisté a právní poradci musí spolupracovat na provozní úrovni.

Advokátní kancelář ARROWS pravidelně radí společnostem v oblasti připravenosti na hybridní hrozby a pomáhá organizacím zavádět rámce správy a řízení. Pomáháme s posuzováním rizik, vývojem programů pro dodržování regulačních předpisů a zastupováním během regulačních šetření. Ať už vaše organizace čelí evropským nebo nadnárodním požadavkům na compliance, pomůžeme vám efektivně se orientovat v této složité problematice.

Náš tým kombinuje hluboké právní znalosti s praktickým pochopením toho, jak operace kybernetické bezpečnosti skutečně fungují. Zastupovali jsme klienty při incidentech a spolupracovali se statutárními orgány na vývoji rámců správy a řízení. Jako přední pražská advokátní kancelář rozumíme tomu, jak různé jurisdikce přistupují k regulaci hybridních hrozeb.

Pokud vaše organizace zaznamenala hybridní hrozby nebo vyvíjí rámce připravenosti, kontaktujte konzultace@arws.cz. Můžeme vám pomoci posoudit aktuální zranitelná místa a navrhnout rámce compliance řešící regulační požadavky specifické pro vaše odvětví.