Ve veřejné správě je citelný nedostatek odborníků na kybernetickou bezpečnost. „V případě veřejné správy je tento problém zesílen tou skutečností, že veřejná správa nemůže potřebné odborníky řádně ohodnotit,“ uvádí Národní bezpečnostní úřad (NBÚ) v analýze „bílých míst“ kybernetické bezpečnosti ČR, kterou předložila vládě a kterou má Česká justice k dispozici.
Počet odborníků je podle zprávy, kterou zabývala i Bezpečnostní rada státu, nedostatečný v zásadě ve všech potřebných oborech. Veřejná správa navíc nemůže specialisty řádně odměnit, uvádí NBÚ. „Většina odborníků, kteří ukončili vysokoškolská studia v tomto oboru, přechází do soukromé sféry, která je schopna jim nabídnout vyšší finanční ohodnocení, případně jiné benefity,“ uvádí zpáva.
Nedostatek odborníků a z toho vyplývající zaměstnávání málo kvalifikovaného personálu pak může být podle NBÚ považováno za kybernetickou bezpečnostní hrozbu sui generis, kdy neodborné řízení nebo neodborné zásahy do systémů spadajících pod kritickou informační infrastrukturu nebo významné informační systémy může způsobit jejich selhání.
Úřad kvůli tomu mimo jiné navrhuje přijmout opatření ke zvýšení počtu českých odborníků v oblasti kyberbezpečnosti.
Analýzu „bílých míst“ si můžete přečíst zde.
Chybou podle NBÚ rovněž je, že některé sektory zůstávají podle zákona mimo soustavu tzv. kritické infrastruktury, tedy soustavu systémů, jejichž narušení by mělo závažný dopad na bezpečnost státu, zdraví osob či ekonomiku. Jedná se o chemický průmysl, zdravotnická zařízení nebo plynárenství, uvádí úřad. Na zvážení by mělo být i zařazení vodního hospodářství a velkých dopravních staveb do systému varování a zvládání kybernetických bezpečnostních incidentů, dodává NBÚ.
Za problematickou označuje úřad i aktuální situaci, kdy řada správců kritické infrastruktury využívá služby externích dodavatelů informačních a komunikačních technologií a služeb. Správci potom nemají nad systémy a sítěmi technickou kontrolu, uvádí úřad. „Ze své dosavadní praxe, zejména při výkonu státního dozoru v oblasti kybernetické bezpečnosti podle zákona o kybernetické bezpečnosti Národní bezpečnostní úřad zjistil, že mnozí správci kritické informační infrastruktury a významných informačních ve veřejné správě využívají outsourcing ICT služeb. V této souvislosti je nutno ještě upozornit na to, že v minulosti nebyly stanoveny žádné technické či organizačně bezpečnostní standardy pro zadávání veřejných zakázek v oblasti ICT,“ uvádí NBÚ ve zprávě. Výsledkem je, že tito správci nemají technickou nebo právní možnost dostát základním požadavkům zákona o kybernetické bezpečnosti.
Bezpečnostní rizika pak podle úřadu představují i některé zákony. Při rigidní interpretaci jde například o předpis o svobodném přístupu k informacím. Ten totiž umožňuje požadovat i informace o zabezpečení kritické infrastruktury, míní NBÚ. „Zpřístupnění takových informací by nemělo být možné už ze samotné podstaty cíle, který se zákonnou regulací v oblasti kybernetické bezpečnosti sleduje,“ uvádí zpráva.
Požadavky kybernetické bezpečnosti nereflektuje podle úřadu ani zákon o veřejných zakázkách, rizika mohou plynout i z aplikace zákona o registru smluv.
Předpis o kybernetické bezpečnosti prošel legislativním procesem v polovině roku 2014 a aplikuje se od začátku roku 2015. Cílem zákona, připraveného NBÚ, je zefektivnit a zrychlit reakci na kybernetické hrozby, které by mohly představovat nebezpečí pro zájmy českého státu.
(epa, čtk)