Do kritické infrastruktury patří nejen energetická síť nebo nemocnice, ale také informační a komunikační systémy. Ilustrační foto: Uma.es

Do kritické infrastruktury budou patřit i informační a komunikační technologie

Vláda dnes dostává na stůl návrh novely vládního nařízení, které se týká tzv. kritické infrastruktury v Česku. Do té nově mají patřit také vybrané informační a komunikační technologie.

Návrh vládě předloží ministr vnitra Milan Chovanec (ČSSD). Pokud bude novela schválena, bude účinná od 1. ledna 2015 stejně jako zákon o kybernetické bezpečnosti. Za kritickou infrastrukturu se podle právní úpravy z roku 2010 považují výrobní a nevýrobní systémy nebo služby, jejichž nefunkčnost by měla závažný dopad na bezpečnost státu, ekonomiku, veřejnou správu a zabezpečení základních životních potřeb obyvatelstva. Nově jí budou třeba informační systémy, které shromažďují informace o více než třech stech tisíc lidí, u komunikačních systémů jde o ty s rychlostí 1 Gbit za vteřinu. Samotné určení konkrétních prvků kritické infrastruktury  provádí podle své působnosti subjekty jako Ministerstvo průmyslu a obchodu, Ministerstvo zdravotnictví či Národní bezpečnostní úřad formou opatření obecné povahy. Pouze u prvků, jejichž provozovatelem je organizační složka státu, rozhoduje až vláda.

Novelizaci si vynutil prudký nárůst počtu kybernetických útoků. Jen v první polovině letošního roku se stalo 2276 trestných činů spáchaných s využitím informačních technologií, což je meziroční nárůst o pětačtyřicet procent. Typickou ukázkou hrozícího kyberútoku je incident, při kterém na jaře 2013 hackeři vyřadili pomocí přehlcení počítačových systémů několik tuzemských zpravodajských serverů a internetových systémů českých poboček bankovních domů a mobilních operátorů.

Nový zákon o kybernetické bezpečnosti a s ním spojená novela o kritické infrastruktuře zjednodušeně řečeno předem stanovuje minimální pravidla pro kybernetickou bezpečnost. Případné problémy by se nadále neměly řešit až na základě incidentů. Součástí zákona je proto hlášení a shromažďování informací o jednotlivých útocích. Na základě analýzy by měl vznikat systém vytvářející podmínky pro preventivní zabezpečení důležitých systémů.

Pro zhruba dvacet procent státních i soukromých subjektů, kterých se novela týká, to znamená, že svůj systém řízení bezpečnosti informací musejí vybudovat znovu od základů. To je podle generálního ředitele Bureau Veritas Jakuba Kejvala práce minimálně na rok a výdaje v řádu milionů korun. Subjekty musejí nejprve provést vstupní analýzu deseti bezpečnostních zón a prověření více než 120 bezpečnostních funkcí. Dále je potřeba stanovit rozsah a hranice systému řízení bezpečnosti informací.

Nově by se měla sjednotit výměna informací ve státní a částečně v soukromé sféře. Kontrolní i výkonnou pravomoc bude vykonávat Národní centrum kybernetické bezpečnosti CERT v Brně. Pasivní počítačová ochrana státu by se výhledově měla změnit v obranu aktivní. Lepší ochrany by se tak měla dočkat osobní data občanů registrovaných například na úřadech nebo bankách.

Jak nový zákon o kybernetické bezpečnosti, tak novela vládního nařízení o kritické infrastruktuře, kterou má na stole česká vláda, se nevyhnuly kritice. Směřuje především ke způsobu reakce na bezpečnostní incidenty v informačním prostředí.

„Kritici říkají, že zákon dává státu moc regulovat informační sektor a že by mohl odposlouchávat či přímo odpojovat nepohodlné osoby či organizace. Já osobně se však mnohem více bojím toho, že zákon by měl nabýt účinnosti již 1. ledna 2015, přičemž dotčené subjekty budou mít pouze necelý půlrok na to, aby uvedli svůj systém bezpečnosti informací plně v soulad se zákonem,“ uvedl Jakub Kejval.

-of-