V kulisách stále častějších zpráv o průniků hackerů do počítačových sítí a krádeží citlivých dat, má již i česká vláda k dispozici strategii ochrany před »virtuálními« zloději a teroristy. Do roku 2015 by měl vzniknout speciální zákon o kybernetické bezpečnosti, měla by se zlepšit spolupráce se soukromým sektorem nebo povědomí společnosti o tomto novém typu globální hrozby.

»Bezpečný kyberprostor a ochrana informací by měly přispět ke zvýšení konkurenceschopnosti české ekonomiky,« myslí si autor strategie Aleš Špidla.

Oslovení experti materiál vypracovaný ministerstvem vnitra vesměs chválí. »Je to skutečně strategický a koncepční dokument. Strategie předčila naše očekávání, nic zásadního v tom materiálu nechybí,« uvedl Jiří Devát, generální ředitel společnosti Cisco dodávající síťová řešení.

Podle přijaté strategie budou v příštích čtyřech letech náklady na aktivity vedoucí k posílení kybernetické bezpečnosti komunikačních sítí v Česku 1,2 miliardy korun, tedy v průměru asi 300 milionů ročně. Největší díl prostředků (30 procent) je plánován na financování položky »aplikace a rozvoj odpovídající technologie« a »zajištění ochrany informační a komunikační infrastruktury státu«.
Tuto službu by mělo poskytovat nově vytvořené pracoviště GovCERT (Government Computer Emergency Response Team).

Mělo by být určeno primárně k monitoringu vládních sítí a sítí kritické infrastruktury, tedy elektráren nebo vodáren. Bude fungovat jako záchytný bod pro případ, že počítačové sítě těchto institucí budou čelit tak závažnému problému, který nezvládnou řešit vlastními silami.

V případě kyberterorismu, kdy by útok přicházel z cizího státu, bude CERT sloužit také jako spojovník se zahraničními týmy, což by mělo výrazně urychlit zásah proti virtuálnímu nepříteli.

Několik let zpoždění

Na příkladu vládního týmu CERT je názorně patrné, že vláda dlouhé roky o kybernetické bezpečnosti pouze teoreticky uvažovala, ale praktické výsledky by měly být patrné teprve v následujících měsících. O zřízení pracoviště GovCERT se hovoří již od počátku tisíciletí. Podle prvního termínu mělo vzniknout již před devíti lety.

Česko je dnes vedle Kypru poslední zemí Evropské unie, kde podobný tým dosud neoperuje. Autoři strategie vládní kabinet ve zprávě upozorňují, že »pokračování tohoto stavu je naprosto neudržitelné a vyžaduje bezodkladnou akci«.

Definitivní termín spuštění týmu CERT je nyní stanoven na 1. ledna 2012. Plán personálního obsazení počítá s 33 pracovníky. Vybudování pracoviště a první tři roky jeho provozu budou podle ministerstva vnitra hrazeny z prostředků strukturálních fondů EU, státní rozpočet by se na krytí měl podílet maximálně částkou 45 milionů korun ročně.

Neplánovaně se protáhla také příprava samotné strategie kybernetické bezpečnosti. Její vypracování totiž zadal ještě vloni v březnu tehdejší premiér Jan Fischer, ale schválil ji kabinet až letos 20. července. Ministerstvo vnitra, které má tuto problematiku v gesci, se nyní snaží napravit pověst. V předkládací zprávě připouští, že vedle bezpečnosti, je jedním z obecných cílů vypracovaného dokumentu i zlepšení image státu v této oblasti.

Podobně hovoří i zástupci z branže. » Vnímám to tak, že stát žádnou image dosud nemá. Zatím v této oblasti nijak nevystupoval, nijak se neangažoval,« myslí si Jiří Devát.

Nový kyber-zákon

Strategie vymezila celkem sedm základních principů, které by měly přispět ke zvýšení bezpečnosti v tuzemském virtuálním prostoru. Vedle již zmíněného centra GovCERT by vláda do defenzivy ráda více zapojila i akademickou a soukromou sféru. To kvitují i zástupci privátní sféry. »Úzkou spolupráci považujeme za nutnost,« uvedl šéf české pobočky Microsoftu Roman Cabálek.

»Je v zájmu státu a podnikatelského sektoru definovat minimální standardy kybernetické bezpečnosti a vyžadovat jejich zavedení do praxe,« uvádějí autoři dokumentu. Jestli bude povinné bezpečnostní minimum vypadat například jako zásady bezpečnosti práce (BOZP), je zatím nejasné.

Otázkou bez odpovědi také zústává, zda budou standardy závazné plošně pro všechny firmy, nebo jen subjekty kritické infrastruktury. »Dodržování standardů by se mělo vztahovat pouze na ty soukromé subjekty, jejichž fungování je důležité pro chod státu,«  myslí si Viktor Paggio (VV), místopředseda sněmovního výboru pro obranu a bezpečnost. Jako příklad institucí uvádí elektrárny, ropovody, přenosové sítě nebo dopravní systémy.

Podle Pavla Hanka z McAfee však soukromý sektor nese stejný podíl zodpovědnosti jako vláda. »Měly by být povinné a celoplošné kontrolované audity bezpečnostních opatření z hledisky kybernetické ochrany,« uvedl.

Již teď se však ozývají hlasy proti další regulaci. »Stávající legislativa dává potřebné nástroje pro ochranu,« tlumočil stanovisko České spořitelny mluvčí Jan Holinka. Podle něj navíc nebude možné ve světě IT technologií definovat legislativně závazné a technologicky použitelné standardy kyber-ochrany tak, aby zakrátko nezastaraly. Podobné vyjádření zaslal i mluvčí Pražských vodovodů a kanalizace Ondřej Pokorný.

Opačný názor zastává například výrobce antivirů Symantec. »Nejdůležitějšími kroky pro důslednou kybernetickou ochranu jsou předpisy, vyhlášky, legislativa a jejich důsledné vyžadování a kontrola,« myslí si Markéta Bauerová, ředitelka české a slovenské pobočky Symantec.

Ministerstvo vnitra se každopádně zavázalo k vypracování specifického zákona o kybernetické bezpečnosti. Věcný záměr by měl být hotov letos v prosinci, paragrafové znění o dva roky později.
»Ve fyzickém světě máme dnes jasně definovaná pravidla chování, v kyberprostoru do jisté míry pořád panuje Divoký západ,« komentuje situaci ředitel firmy Cisco.

Jakkoli se firmy stanovování plošných závazných bezpečnostních standardů brání, riziko napadení z virtuálního prostředí si uvědomují všichni. Česká spořitelna vyčíslila roční náklady na ochranu IT infrastruktury na desítky milionů korun. Národní bezpečnostní úřad utratí z ročního rozpočtu na informační technologie 15 procent za bezpečnostní opatření. Útoky na počítačové systémy se netýkají pouze velkých zahraničních firem jako byla například Sony, ale čelí jim i instituce v Česku. »Registrujeme zejména pokusy o neautorizovaný přístup a automatizované mapování služeb,« popisuje Petra Hájková z odboru komunikace České národní banky. »Naše společnost je vystavována pokusům počítačových pirátů dostat se do systému téměř denně,« připojuje další zkušenosti Michaela Lagronová za ruzyňské letiště.

Osvěta i výuka

Dalším z nástrojů preventivního boje s kybernetickými hrozbami má být i zvyšování povědomí o počítačové bezpečnosti, uvádí vládní materiál. Ve vládním týmu CERT mají být tři lidé speciálně zaměření pouze na PR. Jejich pracovní náplní bude příprava na širokou veřejnost zaměřené kampaně, informačních bulletinů, vyřizování dotazů z call-centra nebo správa webových stránek.

Specializovaný internetový portál spustilo vnitro v polovině července, prozatím obsahuje jen několik oficiálních dokumentů a odkazy na zahraniční stránky věnující se dané problematice. »V současné době neregistrujeme žádnou akutní kybernetickou hrozbu,« uvádí noticka na stránkách.

Od příštího školního roku by se také kybernetická bezpečnost měla začlenit do školních vzdělávacích programů, obdobně jako v současné době například finanční nebo mediální gramotnost. Autoři strategie si od tohoto postupu slibují, že každý jednotlivec přijme zodpovědnost za bezpečnost používaných technologií a systémů.

»Lidé by se měli například dozvědět, aby bianco nepovolovali cizímu zařízení přes bluetooth připojení ke svému mobilnímu telefonu, ze kterého se v ten okamžik stává vstupní bod do sítě, kde bude útočník něco páchat,« nabízí konkrétní příklad Jiří Devát.

Nejistota trvá

Oslovení experti hodnotí strategii kybernetické bezpečnosti vesměs kladně. »Jedná se o poměrně detailně vypracovaný dokument. Vystihuje momentální situaci ohrožení, nejen v meřítku ČR, ale všech vyspělých zemí,« dodává šéf tuzemské pobočky McAfee.

Druhým dechem ale dodávají, že nyní bude záležet, jak bude dokument přetaven do reálných kroků. Narážejí tím mimo jiné i na fakt, že ministerstvo vnitra opustil autor strategie Aleš Špidla. Podle svých slov kvůli špatné komunikaci s bývalým vedením pod ministrem Radkem Johnem (VV). »Pan Špidla se vzdal funkce ředitele odboru kybernetické a informační bezpečnosti na vlastní žádost. Jeho nástupce nebyl ještě jmenován,« uvedla Denisa Čermáková z ministerstva vnitra.

Již citovaný poslanec Viktor Paggio považuje Špidlův odchod za »skutečné oslabení týmu«. Podle Giuliano Giannettiho, bývalého zástupce Armády ČR při kyber-cvičení NATO, se nyní zvyšuje riziko, že dokument nebude mít promotora, a zapadne tak v šuplíku státní správy.»Vytvořil se ambiciózní projekt, ale nevíme, kdo je jeho leaderem. To musí být velmi rychle dořešeno,« přitakává Jiří Devát. Poukazuje přitom na praxi z Velké Británie, kde je za oblast kybernetické bezpečnosti zodpovědný přímo člověk v týmu premiéra.

Vedle personálního, ztratí kybernetická bezpečnost i dosavadní institucionální oporu. Podle informací týdeníku Ekonom bude problematika převedena z gesce ministerstva vnitra na Národní bezpečnostní úřad. »O konkrétních krocích, rozsahu a termínech přesunu agendy se povedou jednání,« uvedla mluvčí ministerstva. Hlavním důvodem zvažovaného přesunu jsou údajně škrty v rozpočtu ministerstva.

»V zásadě je úplně jedno, kdo to dělá, ale hlavně ať to někdo dělá. Navíc tým na ministerstvu nebyl tak veliký, se mnou jsme tam byli tři a ještě jeden stážista. Takže jeho rozpuštění velký kráter neudělá,« dodává Aleš Špidla


Vybrané počítačové útoky v roce 2011

Související