Představitelé státu včetně Národního bezpečnostního úřadu ladí detaily toho, jak bude vypadat kybernetická ochrana Česka. Má stát po boku policie či zpravodajských služeb.
Původce masivních DDoS útoků na weby bank, médií a mobilních operátorů ze začátku loňského roku už zřejmě nikdo nikdy neodhalí. Minimálně Národní bezpečnostní úřad (NBÚ), pod jehož křídla spadá budované Národní centrum kybernetické bezpečnosti (NCKB) už s tím moc nepočítá. Útoky podle slov představitelů NBÚ nenapáchaly žádné zásadní finanční škody. I tak se ale díky mediálně vděčné aféře dalo více věci do pohybu.
„Ony útoky byly dobré cvičení, při kterém se odhalila spousta nedostatků a zároveň daly vzniknout různým soukromým bezpečnostním CERT týmům,“ popisuje ředitel NCKB Vladimír Rohel. Své kybernetické jednotky spustily třeba společnosti Seznam.cz a Telefónica, internetový uzel NIX spustil projekt Bezpečná VLAN, NBÚ zformoval speciální komisi pro rychlejší zásahy, a hlavně se ve státní správě začíná více jednat o koncepčním přístupu k ochraně kybernetického prostoru.
„Státní správa má plné sklady technického zařízení, které už technické zabezpečení zvládají a případné incidenty hlásí. Jen nejsou nastaveny procesy, jak s tím vším pracovat,“ tvrdí Aleš Špidla z Českého institutu informační bezpečnosti a člověk, který se v prostředí IT bezpečnosti v rámci různých pozic ve státní správě pohybuje už delší dobu. S naplňováním nové koncepce počítačové ochrany tak, aby odpovídala nejenom rostoucím útokům a špionáži, ale také požadavkům Evropské unie, je podle něj možné začít „okamžitě a bez dalších investic“.
Spolupráce napříč složkami
Pro zlepšení celkového stavu byl vytvořen návrh zákona o kybernetické bezpečnosti, který aktuálně leží ve sněmovně a čeká na schválení poslanci a následně i senátory. Pokud tento dokument projde, platit začne od začátku příštího roku. S přípravami je ale nutné začít už nyní. Jako zcela zásadní se každopádně jeví to, že stát konečně bude moci kybernetické bezpečnostní akce koordinovat a rozumět jim.
Kybernetická bezpečnost má být důležitá i vedle policie a zpravodajských služeb.
„Kybernetická bezpečnost je standardní součástí bezpečnosti, kterou se stát musí zabývat,“ tvrdí Vladimír Rohel z NCKB. Počítačová bezpečnost by tedy podle jeho slov měla být zařazena po bok policie, zpravodajských služeb, obrany a zasahovat by měla nejenom v rámci státních složek, ale také do komerčního sektoru a akademické sféry. Česká republika jinými slovy potřebuje centrální řízení kybernetické bezpečnosti, jasná pravidla, procesy a postupy a jednotné zadávání úkolů, například v případě, že je nutné skrze různé úřady reagovat.
Současný předváděcí předpis o kybernetickém zákonu je podle zainteresovaných lidí krokem kupředu. „Je to konečně manuál, který je schopen poskytnout návod, aby se plnilo to, co vyžaduje zákon,“ popisuje Aleš Špidla.
Nová pravidla například řeší to, že doposud v podstatě neexistovala funkce manažera pro kybernetickou bezpečnost, což v rámci proslavených tabulkových pozic působilo komplikace. „Stát na mě nemůže najít kolonku, jsem prostě specialista IT,“ vysvětluje Špidla. To už by v budoucnu mělo být vyřešeno a objeví se posty jako manažer či auditor bezpečnosti. Definováno už je i to, co je to bezpečnostní incident či co je to (obecně) kritická infrastruktura.
Peníze prý stačí
NBÚ v rámci svých nových aktivit nebude chtít řešit to, zda běžní uživatelé mohou chytit vir skrze podezřelý odkaz na Facebooku a podobně. Úřad bude zajímat zejména právě ona významná infrastruktura státu, která může ohrozit fungování země. Komise aktuálně pracuje na vyhlášce, která bude vše jasně definovat, je každopádně jasné, že půjde o ochranu počítačových sítí elektráren, policie, hasičů a tak dále.
Vláda schválila návrh zákona o kybernetické bezpečnosti
NBÚ tvrdí, že právě oni jsou ideální stranou, která by měla tuto oblast řešit. „NBÚ má zkušenost s utajovanými informacemi. Vzhledem k tomu, že Česko nemá tolik úniku informací, si myslíme, že bezpečnost umíme,“ věří Rohel. „Dokážeme kybernetickou bezpečnost někam posunout, máme kapacity, odborníky a zkušenosti z NATO,“ dodává.
Národní centrum kybernetické bezpečnosti nicméně pracuje s ročním rozpočtem kolem 60 milionů korun, což podle odborníků není vůbec mnoho. „Peníze nám zatím stačí,“ reaguje Rohel s tím, že se finance dají ušetřit například díky tomu, že podobné CERT týmy pracují s open source softwarem a podobně.
NCKB nabízí nástupní plat zhruba 27 tisíc korun, což vzbuzuje podezření, zda za takovou částku budou skuteční odborníci pracovat. Podle Rohela jsou nicméně platy dány i tabulkově a nelze s nimi moc hýbat, pouze v některých případech skrze osobní ohodnocení. I šéf NCKB proto upozorňuje na neexistující tabulky pro informatiky.
Nedostatek odborníků
Vzájemnou spolupráci institucí a firem má kromě NCKB hlídat také několik bezpečnostních CERT týmů, ve hře jsou dokonce centra na každém rezortu. Hlavními dohledovými pracovišti samozřejmě mají být vládní CERT (GOVCERT.CZ) a národní CERT (CSIRT.CZ) provozovaný sdružením CZ.NIC. Zapojit se ale mají i týmy Seznamu, Telefóniky, Active 24, CESNETu a další.
Například CSIRT.CZ tvrdí, že kybernetický zákon pro jejich chod tak zásadní nebude, protože tato organizace už koordinační a informační roli plní. „Posunem je ovšem to, že se počítačová ochrana definuje ve státní správě,“ myslí si vedoucí CSIRT.CZ Martin Peterka.
Vlády a firmy cvičí novou generaci kyberválečníků
Aleš Špidla sice tvrdí, že s novými aktivitami je možné začít okamžitě, nějaké investice ze státního rozpočtu ale s největší pravděpodobností vyžadovány budou. Nikdo ale prozatím nedokáže říci, jak velké.
Stát i soukromá sféra nicméně řeší i jiný problém – nedostatek odborníků na počítačovou bezpečnost. Různé studie ukazují, že už letos bude po celém světě chybět okolo milionu pracovníků tohoto typu. „Techničtí odborníci se možná ještě najít dají, zásadní problém je ale s lidmi, kteří umí spojit procesy, technologie a vedení,“ popisuje technický ředitel české pobočky společnosti Cisco Ivo Němeček.
Právě Cisco proto chystá v rámci svých 73 vzdělávacích akademií (Networking Academies) bezplatné doplňující kyberbezpečnostní kurzy. „Našim cílem je přidat až několik tisíc profesionálů v oblasti kybernetické bezpečnosti, protože jich je nedostatek a to se zdá být jedním z největších problémů,“ doplňuje šéf zdejšího Cisca Jiří Devát.
Aktivity chystá i ministerstvo práce a sociálních věcí, kde působí i Aleš Špidla. Z evropských peněz by měl být spuštěn projekt pro vzdělávání v bezpečnosti na více úrovních. Má nejenom šířit povědomí mezi běžnými uživateli, ale také lépe trénovat odborníky.
Český internet má být díky novému projektu NIXu bezpečnější
