Pátek 29. března 2024, svátek má Taťána
130 let

Lidovky.cz

Jak se Česko připravuje na dobu, kdy bude hlavní zbraní klávesnice?

  12:35

Zatím se nezdá, že by vládní rošády měly zásadní vliv na vznik klíčové tuzemské instituce pro potírání kyberzločinu.

foto: © ČESKÁ POZICE, Alessandro CanuČeská pozice

Internet není idylickým prostředím a nikdy jím ani nebyl. Ale zjednodušení a zrychlení, které do našich životů přinesl, je tak obrovské, že se na jeho rizika pravidelně zapomíná. Kontakt s realitou přitom může být značně bolestivý. Když někdo firmě ukradne data obsahující hospodářské výsledky, citlivé údaje a know how, je to pro podnik katastrofa, která může v krajním případě skončit bankrotem. Hackerské útoky na firmy jsou přitom už natolik časté, že některé pojišťovny pro tento případ začaly nabízet pojištění.

V případě státních institucí může totéž znamenat pohromu pro miliony lidí, jejichž data daná instituce spravuje. A u elektráren, vodáren, přehrad a dalších podobných subjektů jde přímo o ohrožení národní bezpečnosti. 

Zatímco o bezpečnost ve fyzickém světě se stará policie, hasiči a další složky, starost o zákon a pořádek v kybernetickém prostoru zvolna přebírá Národní centrum kybernetické bezpečnosti, které v Česku pod Národním bezpečnostním úřadem (NBÚ) vzniká od října 2011. Jak to s ním vlastně vypadá v době, kdy pád vlády rozhodil řadu zaběhnutých projektů?

Ve vedení NBÚ zatím žádná personální rošáda nenastala, takže by neměla být ohrožena ani práce na vzniku centra kybernetické bezpečnostiZatím se podařilo dopsat paragrafové znění zákona o kybernetické bezpečnosti a odeslat ho do vlády, ve fázi přípravy jsou i prováděcí předpisy. Stalo se tak krátce před pádem vlády Petra Nečase. Teď je zákon v legislativních komisích a čeká na projednání Legislativní radou vlády a kabinetem samotným. Další osud důležité legislativy je tudíž nejasný. Bez zákona však centrum nemá příliš pádné zákonné podklady pro svou činnost.

„Já se teď snažím dělat vše pro to, abychom zákon dostali do sněmovny co nejdříve. Tudíž jakmile zákon projde vládou, budu se snažit, aby mohl být ve sněmovně schválen v co nejkratším možném termínu,“ řekl ČESKÉ POZICI poslanec Zdeněk Boháč (ODS), předseda stálé sněmovní komise pro kontrolu činnosti Národního bezpečnostního úřadu. Nicméně ani on neví, jak to se zákonem bude vypadat na jednání vlády, která se teď teprve seznamuje s tím, jaká agenda ji vlastně čeká. Ve vedení Národního bezpečnostního úřadu ale zatím žádná personální rošáda nenastala, takže by neměla být ohrožena ani práce na vzniku centra kybernetické bezpečnosti.

Nespolupracovat je proti rozumu

Zákon je pro činnost centra do značné míry klíčový, protože říká, kdo s kým musí komunikovat, jaké informace si vyměňovat, co evidovat a další věci. Zákon by podle původního záměru měl platit až od roku 2015, přičemž do té doby může centrum fungovat na základě usnesení vlády. Podle informací ČESKÉ POZICE se činnost centra zatím daří naplňovat i bez zákona na základě zmíněného usnesení, protože klíčové subjekty na tomto poli s centrem spolupracují i dobrovolně. „To je samozřejmé, protože spolupráce v této oblasti musí probíhat primárně na základě zdravého rozumu. Vzájemná nespolupráce by naopak byla v přímém rozporu se zdravým rozumem,“ tvrdí bývalý ředitel odboru kybernetické bezpečnosti ministerstva vnitra Aleš Špidla, který je zároveň autorem starší verze české strategie kyberbezpečnosti (autorem současné strategie je již centrum).

Centru se zatím kromě sepsání zákona podařilo vybudovat poměrně rozsáhlou komunikační síť napříč státní správou i soukromým sektorem. Jejím cílem je hlavně výměna informací o různých rizicích, která se v informačních systémech objevují. Zároveň probíhá mapování informačních systémů veřejné správy. To se uskutečnilo už loni formou dotazníků a letos se závěry těchto studií zpřesňují. Lidé z ministerstev ČESKÉ POZICI potvrdili, že komunikace funguje bez větších problémů.

Ze soukromého sektoru stát spolupracuje hlavně se sdružením CZ.NIC, které sdružuje více než sto poskytovatelů internetových služeb, a dále s asi padesáti dalšími podobnými subjekty, mezi které patří oborové svazy, jako například ICT Unie nebo jednotlivé firmy.

Kritická infrastruktura

Složitější je to s tím, co se označuje jako kritická informační infrastruktura. Prakticky jde třeba o informační nebo komunikační systémy elektráren, velkých bank, přehrad a dalších věcí, jejichž výpadek by mohl ohrozit bezpečnost státu. Kolem 90 procent této infrastruktury je v soukromých rukou a při pokusech o spolupráci by mohlo centrum bez zákonného zmocnění narazit. Správci těchto systémů zpravidla mají nasazené vlastní parametry zabezpečení a nejsou nadšení z představy, že by se měli radit s někým zvenku. Práce v této oblasti se teprve rozjíždějí, tudíž je těžké předvídat, jak bude kooperace fungovat.

Další klíčovou oblastí je komunikace se zahraničím, konkrétně s národními týmy CERT (Computer Emergency Response Team) nebo CSIRT (computer Security Incident Response Team). Mezinárodní spolupráci v Česku vykonávalo a vykonává hlavně sdružení CZ.NIC, které má pro podobné účely od roku 2010 podepsané memorandum přímo s cetrem kybernetické bezpečnosti. Nicméně problém je, že spousta podobných týmů v zahraničí je součástí zpravodajských služeb, které se s civilními nevládními organizacemi z pochopitelných důvodů příliš nebaví.

Kolem 90 procent kritické infrastruktury je v soukromých rukou a při pokusech o spolupráci by mohlo státní centrum bez zákonného zmocnění narazitČeskému centru se zatím podařilo podepsat memorandum o spolupráci s týmem NCIRC (NATO Computer Incident Response Capability), který spadá pod Severoatlantickou alianci. Podobně probíhá spolupráce například s Nizozemskem, které je v oblasti kybernetické bezpečnosti z Evropy asi nejdál. Souvisí to zejména s relativně nedávným hackerským útokem na tamní certifikační autoritu DigiNotar. V Česku podobně posílily zájem na vybudování kvalitní infrastruktury na ochranu kybernetické bezpečnosti nedávné DDoS (Distributed Denial of Service Attack) útoky na zpravodajské servery a banky, jejichž pachatele se sice nepodařilo a asi ani nepodaří vypátrat, ale minimálně tyto útoky dokázaly, že různá varování expertů před kyberhrozbami nebyla voláním jen tak do větru.

Zatím se nezdá, že by vládní rošáda měla na vznik Národního centra kybernetické bezpečnosti zásadní vliv. Práce pokračují podle schváleného harmonogramu a vypadá to, že bez větších problémů. Zajímavý bude vývoj po prázdninách, kdy by se měl naplno rozjet proces připomínkování vyhlášek k zákonu o kybernetické bezpečnosti. Stejně jako u přípravy zákona půjde primárně o debatu s odbornou veřejností a odbornými pracovníky úřadů.