Náš život se postupně více a více přesouvá do virtuálního světa. V něm se pohybují naše peníze i osobní údaje. Počítače ovládají strojní zařízení, nemocniční přístroje či systémy řízení dopravy. Útoky na ně tak patří mezi největší bezpečnostní hrozby dneška.

Právě s cílem zvýšit bezpečnost tuzemského kybernetického prostoru vznikl zákon o kybernetické bezpečnosti, který právě nyní slaví pět let své účinnosti. "Myslím, že jsme se díky zákonu o kybernetické bezpečnosti hodně posunuli, samozřejmě to zatím není ideální a stále je co zlepšovat, ale zejména ve státní správě je vidět markantní rozdíl a posun," prohlašuje ředitel odboru regulace Adam Kučínský z Národního úřadu pro kybernetickou a informační bezpečnost, který na tuto oblast dohlíží.

Avšak i přesto stále dochází k velkým bezpečnostním selháním. Benešovskou nemocnici ochromil před koncem roku kyberútok, počítačový systém napadl kryptovirus, v důsledku čehož nemocnice musela zrušit plánované operace. Ani ne dva týdny poté hackeři zaútočili na počítačovou síť těžební společnosti OKD, která musela přerušit těžbu ve všech svých dolech.

Podle odborníka na kybernetickou bezpečnost Martina Leskovjana ze společnosti Citadelo zákon sice podpořil růst investic do oblasti informačních technologií − ty nyní činí až desítky milionů korun −, avšak ne vždy to stačí. "Budeme-li blíže analyzovat poměr mezi investicemi a reálným zvýšením odolnosti informačních systémů vůči kybernetickým hrozbám, tak vidíme u většiny aktérů velký nepoměr," říká.

Efekt zákonných pravidel se podle něj rovněž výrazně liší v závislosti na odvětví, zejména ve zdravotnictví je úroveň ochrany nedostatečná. "V organizacích, jako jsou banky nebo energetické společnosti, vyplývají motivace k zabezpečení z jiných faktorů, které zde byly již před přijetím zákona," dodává Leskovjan. Byznys se oproti státní sféře snažil bránit před novými hrozbami už před rokem 2014, aby ochránil provoz podniků a údaje svých zákazníků.

Povinnosti až od rozhodnutí úřadu

Pravidly zákona o kybernetické bezpečnosti se v praxi musí řídit nejen státní úřady a podniky vlastněné státem, ale i soukromé firmy. Mezi regulované společnosti patří například poskytovatelé služeb elektronických komunikací, tedy mobilní operátoři, dále ti, kdo zajišťují takzvané významné informační systémy. Co se tím konkrétně rozumí, vyplývá z vyhlášky o významných informačních systémech. Na základě ní tak musí zákonné povinnosti dodržovat třeba Český úřad zeměměřický a katastrální, který provozuje katastr nemovitostí, nebo Všeobecná zdravotní pojišťovna spravující Centrální registr pojištěnců.

Dalšími povinnými jsou správci systémů kritické informační infrastruktury, tedy takové, která je klíčová pro chod státu. Na ně dopadá regulace nejpřísněji. "Odvětvoví garanti, například pro banky Česká národní banka, pro telekomunikace ministerstvo průmyslu a obchodu a pro státní správu ministerstvo vnitra, určují, jaká zařízení jsou pro stát onou kritickou infrastrukturou," vysvětluje Kučínský. Může jít například o konkrétní elektrárnu.

Novelou zákona o kybernetické bezpečnosti z roku 2017 došlo k rozšíření regulovaných subjektů. Těmi tak nyní jsou navíc poskytovatelé digitální služby, například provozovatelé cloudu.

Určující pro konkrétní systém je ale až rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost. Ten z vlastní iniciativy oslovuje jednotlivé subjekty a rozhoduje, zda na ně dopadají povinnosti dle kybernetického zákona. "Nedělá se to od stolu, probíhá jedno či více jednání s daným subjektem. Záleží především na tom, jak je jeho systém složitý a jak má daný správce zmapované jeho dopady," uvádí Kučínský.

Na jednání jsou přítomni jednak odborníci úřadu a pak lidé zevnitř závodu, například šéf provozu a bezpečnostní manažer. "Dále jsou tam lidé z IT oddělení, kteří vědí, jak je systém postavený a co s čím komunikuje," doplňuje. Důležitá je i přítomnost vlastníka. "Je schopen dodat informace o možných ekonomických dopadech, ví například, že když mu systém nepojede hodinu, tak se dostává do červených čísel," vysvětluje Kučínský. Kromě jednání na místě je součástí celého procesu i analytická práce, kdy se zkoumají možné dopady kybernetických incidentů.

Úřad poté vydává buď opatření obecné povahy, nebo správní rozhodnutí. Opatření obecné povahy je veřejné, vyvěšuje se na úřední desce úřadu. "Nejsou tam proto detaily, dostat se k němu může každý," uvádí Kučínský. Informační a komunikační systémy, které musí povinný zabezpečit, se označují kódem. Podrobnosti jsou obsaženy v neveřejných dokumentech. Forma rozhodnutí záleží na typu subjektu. V případě takzvaných provozovatelů základní služby se vydává rozhodnutí podle správního řádu. "Tam už je možné být konkrétnější, protože se nezveřejňuje," dodává ředitel.

Lidé i technika

Teprve od chvíle, kdy se danému zařízení doručí rozhodnutí či opatření obecné povahy, běží roční lhůta na splnění zákonných povinností. Podle Leskovjana má ale každá organizace odlišné předpoklady, možnosti a schopnosti implementovat povinná opatření. "Ve větší organizaci je zavedení komplexního a funkčního managementu informační bezpečnosti dlouhodobý projekt na několik let. Za jeden rok lze s vypětím všech sil dosáhnout formálního souladu s předpisy, ovšem reálné zabezpečení IT zůstává sekundárním problémem," upozorňuje.

Bezpečnostní opatření, která musí povinná instituce zavést, jsou jak technická − například šifrování dat −, tak organizační. Mezi ta patří povinnost jmenovat manažera kybernetické bezpečnosti, tedy odborníka, který bude odpovědný za systém řízení bezpečnosti informací.

"Lidský faktor hraje významnou roli, u nás proto dbáme o průběžné zvyšování a prohlubování bezpečnostního povědomí zaměstnanců," uvádí vedoucí odboru kybernetické a informační bezpečnosti ČEPS Jan Šmolík. Všichni noví pracovníci společnosti musí projít vstupním školením, v rámci kterého jsou seznamováni se základními pravidly bezpečnosti včetně té informační. Následně pak zaměstnanci absolvují průběžně e-learningové kurzy zakončené testem.

"Technickým pracovníkům jsou pak určena kybernetická cvičení," dodává Šmolík. Simulované útoky na počítačové sítě se provádí ve spolupráci s úřadem pro kybernetickou bezpečnost.

Bezpečnostní požadavky se uplatňují i na obchodní partnery. "Jsou promítnuty přímo do smluvních ujednání," říká odborník ČEPS. Potřebný rozsah ochrany a požadavků se určuje na základě analýzy rizik. Jedná se o proces, na základě kterého si subjekt vyhodnotí rizika, která mu hrozí a na ně pak reaguje bezpečnostními opatřeními. Do analýzy musí organizace zahrnout mimo jiné i varování zveřejňovaná Národním úřadem pro kybernetickou a informační bezpečnost. Ten zatím vydal jediné, a to v prosinci 2018 ve vztahu k softwaru a hardwaru společností Huawei a ZTE Corporation. "Varování neznamená bezpodmínečný zákaz používání daných technických a programových prostředků, ale nutnost zvážit případné bezpečnostní riziko související s jejich užíváním," vysvětluje Kučínský. Úřad na ochranu hospodářské soutěže navíc potvrdil, že zohlednění varování při zadávání veřejných zakázek není nedovoleným porušením soutěže.

Kyberbezpečnost ovšem není o jednorázovém opatření. Funkčnost přijatých technických a organizačních opatření se musí průběžně ověřovat. A to interními či externími audity a revizí analýzy rizik.

Další zákonnou povinností pak je hlásit úřadu kybernetické bezpečnostní incidenty. "Hlavním smyslem je, aby se informace o incidentech scházely na jednom místě, odkud by mohly být ve formě upozornění předány ostatním," vysvětluje Kučínský.

Úkolem úřadu pak je i kontrola, zda instituce plní své povinnosti. Tu úřad provádí až na výjimky po roce, tedy po uplynutí lhůty pro zavedení bezpečnostních opatření. "Pokud přijdeme na nějaké nedostatky, pak můžeme uložit opatření k nápravě, případně zahájit řízení o přestupku," uvádí Kučínský. Pokud by organizace bezpečnostní opatření nezavedla, může jí úřad uložit pokutu až pět milionů korun. To je ale ojedinělé, většina povinných se podle Kučínského snaží s úřadem spolupracovat a nedostatky odstranit.

 

Článek byl publikován v měsíčníku Právní rádce.