Zdravotnické systémy, inteligentní energetika, ale také celý koncept českého eGovernmentu v současnosti představují z hlediska kybernetické bezpečnosti riziko. Vyplývá to ze strategie české kyberbezpečnosti, kterou v těchto dnech předkládá vládě Národní bezpečnostní úřad.
„Česká republika bude v nadcházejících letech čelit mnoha kybernetickým bezpečnostním hrozbám a rizikům a naše sítě a systémy musí být za všech okolností vždy stabilní a bezpečné,“ stojí v preambuli dokumentu nazvaného Národní strategie kybernetické bezpečnosti České republiky na období let 2015 až 2020. Vládě ji v těchto dnech předkládá Národní bezpečnostní úřad (NBÚ). Významnými riziky jsou podle Strategie kybernetická špionáž, ať průmyslová, vojenská, politická či jiná, za kterou stále častěji stojí přímo vlády, potažmo bezpečnostní struktury konkrétního státu, působení organizovaného zločinu v kyberprostoru, hacktivismus, záměrné šíření dezinformací za účelem dosažení politických a vojenských cílů, či v budoucnu i kyberterorismus.
Šedá zóna v zemi nikoho
Nejnovější příspěvek Národního bezpečnostního úřadu naznačuje, že si tato organizace coby hlavní garant kybernetické bezpečnosti České republiky jasně uvědomuje dynamiku nárůstu hrozeb přicházejících z šedé zóny. Vlády a bezpečnostní struktury cizích zemí, organizovaný zločin, velké hackerské organizace – ti všichni dělají z internetu v polovině druhého desetiletí jednadvacátého století obdobu válečné země nikoho. Je to území, kde je dovoleno vše a kde hledisko konečného úspěchu ospravedlňuje jakékoliv počínání.
Česká republika ke svému zabezpečení využívá technologie používané i dalšími státy. Proto může sloužit útočníkům jako testovací objekt před samotným útokem na spojence nebo jiné státy s větším strategickým významem, užívající stejné technologie a zabezpečovací mechanismy a procesy. Tomu nasvědčuje i fakt, že množství kybernetických útoků stabilně narůstá. Jen za první dva týdny letošního roku jich bylo Národnímu centru kybernetické bezpečnosti ČR (CERT) ohlášeno skoro pět desítek. Na tomto místě je třeba připomenout, že povinnost hlásit kyberútok je ze zákona povinná a za její nedodržení hrozí pokuty.
Informační a komunikační technologie ve stále větší míře pronikají do systémů, sítí i samotné techniky obranných složek státu. „Zranitelnosti těchto technologií a hrozby jejich narušení nebo
zničení včetně působení kybernetických útoků výrazně zvyšují rizika negativního dopadu na plnění základních schopností obranných složek při obraně státu a při plnění závazků vyplývajících zejména z členství v Severoatlantické alianci a Evropské unii,“ uvědomuje si NBÚ.
Strategie národní kybernetické bezpečnosti znamená výraznou změnu v pojetí boje o zachování o kybernetickou bezpečnost českého informačního prostředí. Jestliže předchozí roky byly ve znamení obrany, v následujících letech chce NBÚ přejít nepříliš obrazně řečeno do útoku.
„Česká republika, jakožto moderní středoevropská země a aktivní člen Evropské unie, Severoatlantické aliance, Organizace spojených národů a dalších mezinárodních organizací, bude v nejbližších letech aspirovat na přední postavení v oblasti kybernetické bezpečnosti, a to jak v rámci svého regionu, tak i celé Evropy,“ píše se ve Strategii.
Nebezpečí skrytá v „internetu věcí“
Strategie jmenovitě označuje rizika, která se objevila nově v relativně nedávné době a jejichž závažnost narůstá. Týká se to například takzvaného internetu věcí. Zatímco s klasickými zařízeními jako jsou počítače či notebooky jsou běžně dodávány pokročilé antivirové programy, u nových chytrých zařízeními jako jsou televize nebo běžné domácí spotřebiče to neplatí. Uživatelé nejen že nevědí jak je zabezpečit, mnohdy je vůbec nenapadne, že by je zabezpečovat měli. Přitom platí, že jakékoliv zařízení připojené ke komunikačním sítím, je napadnutelné. Na to by koneckonců neměli zapomínat ani automobilisté. Nedávné testy prokázaly, že auta využívající velké množství nových technologií jako je třeba hybridní Toyota Prius jsou až děsivě snadno „hacknutelná.“
Až příliš zranitelné jsou zdravotnické systémy, o inteligentních energetických sítích ani nemluvě. Strategie NBÚ upozorňuje také na fakt, že se značné riziko skrývá ve stávajícím konceptu českého eGovernmentu.
„Služby a aplikace poskytované občanům a soukromým podnikům prostřednictvím eGovernment s sebou nesou značná kybernetická bezpečnostní rizika,“ uvádí zpráva výslovně.
Nedostatečně chráněné jsou i malé a střední podniky, přestože jejich systémy často obsahují kritická data.
Vzhledem k otevřenému a anonymnímu charakteru internetu narůstají podle NBÚ i možnosti obchodování s citlivými informacemi, snadná dostupnost, či dokonce volné nakupování kriminálních služeb. „V souvislosti s pokračujícím pronikáním informačních technologií do běžného života a fungování společnosti dochází také k rychlému přesunu řady kriminálních aktivit do virtuálního prostředí, které pachatelům slibuje rychlý účinek při výrazně sníženém riziku postihu,“ varuje Strategie.
Proč stát nikdo nemá rád
Strategie pro období 2015 až 2020 navrhuje celou řadu opatření, která by měla uvést oblast české kyberbezpečnosti do souladu s hrozícími riziky a jejich vývojem. Vzniknout má třeba efektivní model spolupráce na národní úrovni mezi jednotlivými subjekty kybernetické bezpečnosti nebo koordinovaný postup pro zvládání incidentů, který nastaví formát spolupráce, bude obsahovat komunikační matici, protokol postupu a definuje jednotlivé role aktérů.
Nejvýznamnějším úkolem ale bude navázání aktivní spolupráce mezi státem a občanem. Jak konstatuje Strategie, „v poslední době obecně utrpěla důvěra veřejnosti ve státy jako entity zajišťující kybernetickou bezpečnost a jejich bezpečnostní aparáty. Bez důvěry a dobrovolné spolupráce českých občanů a soukromého sektoru se subjekty zajišťujícími kybernetickou bezpečnost je však celý koncept kybernetické bezpečnosti bez významu.“
Důvěru občanů by mělo pomoct získat třeba ustanovení důvěře se těšícího Národního bezpečnostního úřadu hlavním kontaktním místem pro oblast počítačové bezpečnosti. NBÚ by také měl dohlížet na vývoj bezpečnostních technologií a koordinovat práci akademického a soukromého sektoru, aby nedocházelo ke zbytečnému zdvojování prací. Modernizovat se mají policejní pracoviště, policisté sami by pak měli získat hlubší vzdělání v celé problematice. A změny by se měly dotknout i legislativy. Vedle vzdělávání justičních pracovníků v oblasti počítačové gramotnosti by se Česko v daleko větší míře než doposud podílet na přípravě mezinárodní legislativy. Národní bezpečnostní úřad požaduje také „kontinuální analýzu efektivity účinné právní úpravy a jejího souladu s aktuálními poznatky z dotčených technických a společenskovědních oborů, tak i průběžné provádění změn a doplňování tak, aby právní úprava odpovídala aktuálním požadavkům bezpečné informační společnosti.“
Jak ale upozorňuje mluvčí NBÚ Radek Holý, změny se projeví nejdřív za rok. Do té doby si bude Česko muset vystačit se stávajícími (a ne vždy dostačujícími) způsoby ochrany před kybernetickými riziky.
Ondřej Fér