O kybernetickou bezpečnost České republiky na institucionální úrovni pečuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Jeho úkolem je chránit jak kyberprostor v této zemi, tak i kyberprostor každého občana naší republiky. Co všechno v této oblasti úřad dělá a jak hodnotí současný stav?

Jak jsme už zmínili v jiných článcích tohoto vydání Export Journalu, z pravidelných Zpráv o stavu kybernetické bezpečnosti vyplývá, že v posledních letech počet tzv. incidentů výrazně stoupá. Tajné služby, NÚKIB a další složky upozorňují například na kybernetickou špionáž provozovanou cizími státními aktéry, pravděpodobně zejména z Číny a Ruska, nebo jimi sponzorovanými skupinami v českých sítích. Výsledkem pak může být mimo jiné kompromitace citlivých a utajovaných informací anebo ztráta obchodních tajemství, což vede k oslabení konkurenceschopnosti. Hrozí také úniky dat, útoky skrze slabá místa v dodavatelském řetězci nebo i útoky na volební proces.

Častými cíli jsou přitom univerzity, subjekty v bankovním sektoru a energetice, subjekty kritické infrastruktury, veřejný sektor a koncoví uživatelé coby brána do sítí organizací. V posledních měsících jsme také byli svědky rostoucího množství útoků na zdravotnická zařízení a citlivé zdravotní údaje. Například na začátku covidové pandemie způsobili kyberútočníci Fakultní nemocnici Brno škody ve výši 150 milionů korun.

Terč na záda

Zpráva úřadu za rok 2022 zatím nebyla zveřejněna, ale podle Lukáše Kintra, ředitele NÚKIB, platí, že útočníci neustále vyvíjejí nové techniky, zdokonalují se a snaží se své oběti zaskočit. „Základní typy útoků nicméně zůstávají stejné. I nadále nejčastěji čelíme útokům na dostupnost, tedy DDoS útokům, podvodným phishingovým kampaním, různým škodlivým kódům a pokusům o průnik,“ vysvětluje Lukáš Kintr.

NÚKIB ve zprávě za rok 2021 současně konstatuje, že u čtvrtiny respondentů došlo následkem útoku k narušení důvěrnosti, integrity nebo dostupnosti informací či služeb. Je to ve srovnání se zeměmi, které jsou na tom z pohledu kyberbezpečnosti nejlépe, hodně, či málo? Ředitel NÚKIB odpovídá, že státy z bezpečnostních důvodů stav své kybernetické bezpečnosti příliš do detailu nerozvádějí. „Bylo by to jako namalovat si terč na záda. Navíc metody, kterými se vyhodnocují různé parametry, jsou stát od státu odlišné. Obecně vzato má Česká republika bezpochyby prostor pro zlepšení, ale to platí pro všechny státy. Kyberbezpečnost je totiž nikdy nekončící proces.“

Vše, co Česká republika potřebuje

Logicky se tedy nabízí otázka na onen prostor pro zlepšení. Vše, co aktuálně Česko potřebuje, je podle Lukáše Kintra obsaženo v novém zákonu o kybernetické bezpečnosti, který jeho úřad aktuálně připravuje. Norma je prý mj. reakcí na dynamický vývoj v bezpečnostním prostředí a její součástí je také nová bezpečnostní směrnice EU, tzv. NIS2, i mechanismus na prověřování rizikovosti dodavatelů ICT do strategicky významné infrastruktury České republiky.

Směrnice je už platná a v současnosti probíhá její implementace do právních řádů členských států. Dlužno dodat, že NÚKIB se na její přípravě také podílel. Norma ovšem podle Lukáše Kintra přináší takové množství změn, že úřad upustil od původně plánované novely a jeho specialisté sepsali zcela nový zákon o kybernetické bezpečnosti. Podle informací z médií úřad na jeho návrh letos obdržel z trhu a od státních institucí včetně ministerstev tisíc připomínek. A objevila se také kritika.

Podle ní například hrozí, že NÚKIB ze sebe zákonem vytvoří „superúřad“ s možností určovat si rozsah regulace, zasahovat do působnosti ministerstva zahraničních věcí, vlády apod. „Nic takového jako ‚superúřad‘ z NÚKIB nebude. Budeme jednat z pověření vlády, dle zákonem stanovených kompetencí a rozhodovat na základě informací a dat od našich spojenců a partnerů. Finální konzultace pak budou probíhat nejen na straně státu, ale také s dotčenými subjekty,“ dodal ředitel Kintr.

Obrovské rozdíly mezi firmami

Pokud jde o situaci ve firemním sektoru, Lukáš Kintr vysvětluje, že úřad má ze zákona podrobné informace o přibližně čtyřech stovkách subjektů, které jsou nejdůležitější pro fungování státu. „I z dat, která máme, je zřejmé, že mezi jednotlivými firmami jsou obrovské rozdíly. Jednak jsou společnosti, které si nebezpečí plně uvědomují, což se jim také jednoznačně vyplatí. Druhé skupině pak přeji, aby se jich netýkal žádný kybernetický incident, protože následné škody by pro ně mohly být likvidační,“ zdůrazňuje ředitel NÚKIB.

Rozsah činností a aktivit, kterými se úřad snaží vylepšovat kybernetickou bezpečnost České republiky, je opravdu široký. Kromě regulace a kontroly, což vedle zmíněné přípravy zákona o kybernetické bezpečnosti zahrnuje také třeba posuzování nabídek cloud computingu podle zákona o informačních systémech veřejné správy, je to několik dalších oblastí. Především vzdělávání, v jehož rámci NÚKIB připravuje e-learningové kurzy kyberbezpečnosti či různé konference, semináře a workshopy (více viz box). Je to také organizace a příprava kybernetických cvičení, která umožňují simulovat rozličné typy krizových situací. NÚKIB je současně hlavním národním kontaktním centrem v oblasti výzkumu a vývoje v kybernetické bezpečnosti a ochrany utajovaných informací. A v neposlední řadě připravuje Národní strategii kybernetické bezpečnosti České republiky včetně akčního plánu.