Jak zajistit kybernetickou bezpečnost ve veřejné správě?
Nedávná kauza kolem podnikání čínských společností ZTE a Huawei v Česku ukázala zajímavý přístup
různých aktérů k zajištění kybernetické bezpečnosti. Oprostěme se na chvíli od česko-čínských vztahů
a obchodní války, zaměřme se na hlavní výzvu: zajištění kybernetické bezpečnosti ve veřejné správě.
Mýtus nejnižší ceny
“Nemáme na výběr, musíme vzít nejnižší cenu,” takto se často hájí zástupci veřejné správy, když pořídí software,
u kterého panuje podezření na nízkou úroveň kybernetické bezpečnosti. Podobnou výmluvu, kdy údajně 5G sítě
nedokáže budovat nikdo levněji, jsme v rámci debaty o působení čínských technologických gigantů v ČR slyšeli
nesčetněkrát. Ovšem vždy záleží na samotném orgánu jakožto zákazníkovi, jak veřejnou zakázku vypíše.
Čili jaká kritéria pro něj budou nejdůležitější. I dnes, kdy chybí legislativa, která by požadovala národní či evropskou
certifikaci produktů pro veřejnou správu, disponují orgány možností vyžadovat vysokou úroveň kybernetické bezpečnosti
dodávaných produktů. Stačí pouze kvalitně vypsat veřejnou zakázku.
Cizinec, našinec a spojenec
“Prozatím neexistuje česká ani evropská firma, která by nám poskytla potřebné technologie.” odpovídají zástupci
správy na dotazy, proč upřednostňují společnosti z dálného východu na úkor domácích. Zde leží další problém.
Musíme si jasně odpovědět na otázku: “Chceme aby k datům naší veřejné správy měly přístup firmy z Číny či Ruska
nebo se naopak raději obrátíme na české IT firmy případně společnosti ze spojeneckých zemí, i když zaplatíme i vývoj
požadavaných technologií?” Zde nejde o žádnou provokaci ruského medvěda či čínského rudého draka. Tato podmínka
by se klidně mohla vztáhnout na Saudskou Arábii, Venezuelu nebo jakoukoliv jinou zemi, se kterou nemá ČR hlubší
spojenecké vztahy. Koho si raději pustíte do domu, vaši rodinu a přátele nebo úplně cizího člověka s pochybnou pověstí?
Čekání na G – Cloud
Obrovskou část problémů se zajištěním bezpečnosti IT systému pro veřejnou správu by mohl vyřešit nově budovaný
eGovernment Cloud, ve kterém by si orgány veřejné správy kupovali produkty a služby prověřených dodavatelů podobně
jako v jakémkoliv jiném digitálním tržišti. Samotné produkty by pak musely splňovat určitá bezpečnosti specifika,
jež by definovala vyšší autorita (např. ministerstvo vnitra, NÚKIB, ENISA). Podobný systém skvěle funguje ve Velké Británii,
kde došlo k úspoře nákladů veřejné správy a větší transparentnosti v IT zakázkách. Bohužel o českém eGovernment
cloudu se více mluví, než aby se skutečně něco dělo. Smutným faktem je, že se naše země stále propadá v mezinárodním
hodnocení eGovernmentu, ve kterém jsme byli před pár lety lídry.
Danou situaci může pomoci změnit každý z nás. Ať už jako volič, nebo v lepším případě aktivněji – například podílem na činnosti
zastupitelstva, dozorčí rady, prací v IT oddělení nebo jinou možností aktivní angažovanosti v otázkách kybernetické bezpečnosti.‘
Jde o data nás všech. Pomozme tak udělat svět ICT bezpečnějším.
V případě jakýchkoliv výzev v oblasti kybernetické bezpečnosti se na nás neváhejte obrátit.
Mohlo by se Vám líbit:
Analýza kybernetické bezpečnosti #6: Jak odhalit skryté nedostatky?