Před časem se náš pan prezident vyjádřil o kybernetické bezpečnosti jako o žvástech, které jsou tak trochu móda? Co si o tom myslíte?
Zde bych si vypůjčil název keynte přednášky z konference CyberCon mého kolegy z NÚKIB Ondřeje Rojčíka: Make cyber security not cool. Skutečnost, že se o kybernetické bezpečnosti aktuálně mluví více než dříve, možná může v někom budit dojem, že jde o módní trend. S tím, jak se stále větší část života společnosti přesouvá do kyberprostoru, však očekávám, že oblast kybernetické bezpečnosti bude řešena čím dál více a intenzivněji. Nemyslím si tedy, že jde o nějakou módní vlnu, která by měla krátkodobé trvání. Spíše jde o potřebu, ke které jsme vývojem dospěli.
V období průmyslové revoluce mohlo znít volání po zvýšení bezpečnosti práce jako výstřelek a módní trend, dnes se jedná o naprosto samozřejmou věc a přívlastek módního trendu této oblasti bezpečnosti se tak nepotvrdil. To stejné se nevyhnutelně musí stát i s kybernetickou bezpečností, neboť ICT proniká do životů každého z nás, i do chodu základních služeb států celého světa stále markantněji a tento vývoj nelze nazvat módním trendem. Pokud tedy nechceme za módní trend označit například i fenomén internetu či ICT technologií obecně.
Cílem Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) je v této oblast to, aby vzrostlo povědomí o kybernetické bezpečnosti a lidé začali brát bezpečnost v kyberprostoru stejně vážně, a samozřejmě, jako bezpečnost jinou.
Co činí stát v oblasti kybernetické bezpečnosti? Jaké jsou jeho nejnovější aktivní kroky?
Česká republika je jedním ze států, které podnikly kroky směrem k zvýšení kybernetické bezpečnosti jako jedni z prvních, když ne na světě, pak určitě v kontextu Evropské unie. Zákon o kybernetické bezpečnosti nabyl účinnosti již v roce 2015, tedy v předstihu před vznikem směrnice NIS, kterou Evropská unie reagovala na vývoj na poli kybernetických hrozeb. Tato směrnice se pak v mnoha ohledech českým zákonem o kybernetické bezpečnosti inspiruje. Díky tomu se nejprve pod záštitou NBÚ a následně v gesci samostatného úřadu (NÚKIB) začalo se zajišťováním kybernetické bezpečnosti u stěžejní infrastruktury státu.
Avšak zde práce NÚKIB rozhodně nekončí, NÚKIB provozuje vládní CERT (computer emergency response team), tedy skupinu ICT specialistů na řešení kybernetických bezpečnostních incidentů, zabývá se oblastí vzdělávání, radí se zaváděním bezpečnostních opatření povinným osobám, které určuje a zároveň pak úroveň provádění těchto bezpečnostních opatření i kontroluje, zabezpečuje mezinárodní spolupráci v rámci i nad rámec Evropské unie, provádí analytickou činnost, zabývá se výzkumem a vývojem, kryptografickou ochranou a v neposlední řadě i tvoří strategie pro budoucí rozvoj kybernetické bezpečnosti. Tuto naši činnost pak podporují další hráči v oblasti kyberbezpečnosti, jako nejbližšího partnera mohu jmenovat např. sdružení CZ.NIC, které na základě veřejnoprávní smlouvy s NÚKIB provozuje národní CERT.
Velmi významnou aktivitou nelegislativní povahy, na kterou bych rád upozornil je také pořádání kybernetických bezpečnostních cvičení, které jsou NÚKIB pořádány nejen pro povinné osoby, ale také pro mezinárodní partnery. Zároveň bylo na základě různých zjištění ze strany NÚKIB vydáno několik usnesení vlády, které směřují k posílení kybernetické bezpečnosti v klíčových veřejných institucích.
Jsou tyto kroky dostatečné v oblasti státu?
Česká republika dle mého názoru přistoupila k problematice kybernetické bezpečnosti velmi zodpovědně. Zda se jedná o kroky dostatečné, se paradoxně nejlépe prokáže, pokud občané České republiky následky kybernetických bezpečnostních incidentů či v horším případě kybernetických operací či útoků nepocítí. Tedy nebude docházet k výpadkům dostupnosti stěžejních služeb, jako je například připojení k elektřině, teplu nebo pitné vodě či nebude docházet k haváriím způsobeným kybernetickými bezpečnostními incidenty. Ovšem naopak, i u sebelépe připravené země nebo firmy může pod neočekávaně silným, pečlivě připraveným ůtokem dojít k dočasnému výpadku služeb.
Absentuje v ČR nějaká forma regulace? Která je z vašeho pohledu aktuální?
Důležitým aspektem budování funkční kybernetické bezpečnosti je vyvážení míry svobody a regulace. Je vždy nutné zvážit, zda je každá regulace nutná. I my se snažíme přistupovat k regulaci subjektů tak, aby vznikl funkční systém kybernetické bezpečnosti, nikoli pouze předpisy, které znějí hezky na papíře, ale v reálném světě nefungují nebo je snaha je obcházet, protože jsou nesrozumitelné či nesplnitelné. Zákon o kybernetické bezpečnosti zde podle mého názoru nastavil základní pravidla a standardy. Samozřejmě vždy je co zlepšovat a kam se posouvat, ale je třeba to dělat rozumně a s citem. Touto cestou tedy chceme v rámci regulace pokračovat.
Co je z mého pohledu aktuální problém a částečně zodpovídá má odpověď na první otázku, je povědomí lidí o kybernetické bezpečnosti, což prostřednictvím regulace nelze zajistit ze dne na den. Přál bych si a považuji za nutné, aby vzdělávání o kybernetické bezpečnosti bylo tématem v rodinách, pronikalo markantněji do výuky ve školách, ale i formou školení směrem k zaměstnancům v soukromé i veřejné sféře.
Mohou se státy obecně bránit vůči kybernetickému zločinu?
Z hlediska státu je dle mého názoru třeba mít strategii rozvoje v této oblasti, zahrnující komplexní pohled na celou problematiku a zároveň svěřit naplňování této strategie schopným odborníkům. Nad kybernetickou bezpečností je třeba uvažovat globálně, nikoli pouze po linii technologického vývoje. Co se týká boje s kybernetickým zločinem, jde zejména o záležitost Policie ČR, která v této oblasti dle mého názoru funguje dobře a daří se jí.
V jaké oblasti je stát z pohledu kyberzločinu nejvíce ohrožen?
Nejpalčivějším problémem kybernetické bezpečnosti je mnou už několikrát zmíněné nedostatečné povědomí o kybernetické bezpečnosti, nedodržování digitální hygieny běžnými uživateli vede v důsledku často k horším následkům než nenasazení nejmodernějších technologií, přestože držet krok s vývojem technologií a včas na něj reagovat je samozřejmě také jedním z pilířů kybernetické bezpečnosti.
Dalším, do značné míry, souvisejícím problematickým aspektem je nedostatek expertů a specialistů na kybernetickou bezpečnost. Na trhu práce jde o velmi nedostatkové zboží, jelikož jejich dostatečné množství ještě český vzdělávací systém nevychoval.
Spolupracují se státem z pohledu kybernetické bezpečnosti i firmy? Pokud ano, jak?
Ano, soukromé subjekty spolupracují se státem i na poli kybernetické bezpečnosti. Příkladem může být již zmíněná spolupráce se sdružením CZ.NIC, které provozuje národní CERT a jeho ICT specialisté tak zajišťují podporu při řešení kybernetických bezpečnostních incidentů s dalšími subjekty povinnými podle zákona. Vedle toho dochází ke sdílení informací z oblasti kybernetické bezpečnosti mezi soukromým i státním sektorem, které probíhá na dobrovolné bázi. Tedy spolupráce funguje a my se ji snažíme dále rozvíjet.
Když se podíváme do zahraničí, které státy jsou z oblasti kybernetiky s kyberzločinem nejdále?
Nejdále jsou v obecném měřítku standardně státy, které se nejčastěji potýkají s kybernetickými útoky. Typicky je tedy kybernetická bezpečnost velkým tématem v USA, Rusku, Jižní Koreji, Izraeli, Íránu a z evropského prostoru pak například v Estonsku, Velké Británii, Francii nebo Německu. Estonsko je právě jedním ze států, kde je ICT a komunikace online do běžného života jeho obyvatel promítnuta naprosto markantně. Jejich systém eGovernmentu je velmi propracovaný a hojně využívaný. Proto také potom, co Estonsko čelilo vážným kybernetickým útokům a uvědomilo si závislost fungování svých služeb pro občany na ICT, začalo svojit kybernetickou bezpečnost intenzivně řešit. Dlužno závěrem dodat, že i Česká republika má na tomto poli, minimálně v evropském kontextu, co nabídnout a dá se minimálně říci, že není nikterak pozadu.
Jaké trendy a zásadní změny očekáváte z vašeho pohledu v nejbližší době ve smyslu stát a kybernetická bezpečnost?
Pevně doufám, že bude Česká republika i nadále považovat kybernetickou bezpečnost za svou významnou prioritu, protože se i v porovnání s daleko většími a bohatšími státy Evropské unie máme čím pochlubit a já bych byl rád, kdyby Česko o tento svůj náskok do budoucna nepřišlo. Zároveň doufám, že dojde k zapojení kybernetické bezpečnosti do běžného chodu soukromých i veřejných subjektů, stejně jako do běžného povědomí občanů. Toho lze pak dosáhnout jedině akcentací této problematiky v rámci vzdělávání.