Vnitřní KYBEZ ČR: Zvítězilo papírování nad funkčností?
O posilování kybernetické bezpečnosti státu a veřejné správy se toho v posledních letech napovídalo a naslibovalo spousty. Jaká je ale skutečnost? Povedlo se dosáhnou významné kvalitativní změny? A na co se v budoucnu zaměřit?
Ať žije papírování!
Česká republika má poměrně smysluplnou legislativu v oblasti kybernetické bezpečnosti. Náš zákon (ZoKB) a vyhláška o kybernetické bezpečnosti (VoKB), zákon o zpracování osobních údajů i zákon o vojenském zpravodajství nám mohou mnohé země závidět. Jedná se o poměrně stručné, výstižné a lehce pochopitelné dokumenty.Tyto předpisu vysvětlují základní termíny a povinnosti v dané oblasti. Podle původních plánů k nim v roce 2019 přibýt ještě cloudová vyhláška. Ovšem ta pravděpodobně nebude v schválena ani do konce roku 2021. Samotná vyhláška nabírá prozatím dvouleté zpoždění. Avšak skutečné naplnění ZoKB a VoKB je mnohem delší.
Zadrhávání systému
Současná legislativa uvaluje různé povinnosti na správce významných informačních systémů (VIS), kritické informační infrastruktury (KIS) a další povinné subjekty. Nicméně je veřejným tajemstvím, že spousta organizací tyto povinnosti neplní. Jeden příklad za všechny. Předpisy požadují, aby organizaci monitorovaly a ukládaly data o svém síťovém provozu. Tato věc se dá vyřešit pomocí nástrojů typu SOC či SIEM. Spousta organizací si tento typ nástroje díky různým dotacím pořídila. Jenže často už nedokázala nabrat pracovníka, jež by daný systém spravoval. Výsledek je podobný jako kdybyste si koupili auto, ale neměli řidičský průkaz či řidiče. K čemu pak takové auto je? Popsaný případ se až podezřele často objevuje u různých nemocnic a zdravotnických zařízení. A možná právě patří mezi časté úspěšné cíle kybernetických útoků.
Komunikační šum
Na dodržování právních předpisů by měl dohlížet NÚKIB. Ovšem i lidé z dozorového úřadu mluví o tom, že s nimi subjekty podléhající zákonu o kybernetické bezpečnosti nedostatečně komunikují. Například v březnu 2021 vydal NÚKIB povinné reaktivních opatření týkající se zranitelnosti Microsoft Exchange Serveru. Ani po týdnu od vydání neměl úřad vyjádření do třetiny subjektů, jak na dané opatření a zmíněnou zranitelnost reagovaly. Nemusíme doufám připomínat, jak zásadní roli hraje v kybernetické bezpečnosti faktor času. Podle právních předpisů hrozí organizacím nedodržujícím ZoKB a VOKB. I přesto některé svým přístupem stále riskují svoji bezpečnosti, pověst a financi.
Kam se poděla práva občana?
V srpnu 2021 vyšel v pořadu Českého rozhlasu Vinohradská 12 díl dokazující rozšířený negativní jev – nedostatečnou vymahatelnost práva na ochranu osobních údajů. Jedna česká klinika byla úspěšně napadena ransomwarem. O útoku se dozvěděl pacient daného zdravotního zařízení. Zeptal se zda jeho zdravotní záznamy unikly či zda zůstaly v bezpečí. Klinika na dotaz nedokázala odpovědět. Tudíž pak šel klient se stejným dotazem na policii, ale ta též nevěděla poradit. Pomocnou ruku našel až u soukromé společnosti monitorující aukce osobních údajů na darknetu. Podle ní se jeho údaje neobjevili v žádné aukci (zatím). Na tomto případu lze dobře pozorovat jak těžké to má občan, když chce vědět, jak je s jeho údaji opravdu nakládáno a zejména, jak jsou chráněni. Přitom komunikace napadené organizace s postiženým subjektem – občanem by dle práva měla být samozřejmost.
Ke zvýšení kybernetické bezpečnost nám nyní nepomohou nové zákony či předpisy, nýbrž navýšení personálních, technických a finančních kapacit dohledových orgánů – zejména NÚKIB, ÚOOÚ a specializovaných útvarů policie. Díky tomu by toto organizace mohly plnit svoji zásadní misi: bránit práva občana – jednotlivce a veřejnosti v kyberprostoru.
Co byste pro zlepšení kybernetické bezpečnosti veřejných institucí a kritické infrastruktury zavedli Vy? Nebo jste se současnou situací spokojeni?