Na charakterizování stavu kybernetické bezpečnosti a jejího možného vývoje do budoucna jsme se ptali Lukáše Přibyla, předsedy představenstva společnosti AXENTA a.s. Výsledkem našeho setkání je následující materiál.
Informační technologie se rozvíjejí jinak, živelněji, než se rozvíjelo strojírenství v 17. a 18. století. Jen pro srovnání, např. z mnoha typů závitů a z mnoha typů jednotek pro měření, byly v podstatě ustanoveny vždy dvě – anglické a metrické. Ve strojní praxi tak nyní máme etalony pro měření, laboratoře pro kontrolu měřidel, firmy pro kontrolu jakosti a pro zavedení jakosti máme normy. Celý tento proces je zmapovaný, řízený, kontrolovaný a certifikovaný.
V informačních technologiích začal opravdový boom až s objevem a využitím vlastností křemíku a tím pádem s miniaturizací a integrací elektrických obvodů. Od této doby – zhruba před 50 lety – výrobci sami určovali – a stále určují – standardy a etalony a dosud neexistuje funkční model řízení, kontroly a certifikace v oblasti informačních technologií. Prvním pokusem jsou standardy ISO a ISMS, ale nejsou povinné, jen doporučené.
Jediným mechanizmem kontroly a správy nad informačními technologiemi se tedy jeví informační a kybernetická bezpečnost, protože bezpečnost, zvláště kybernetického – nehomogenního – prostředí je nyní prioritní a vyžadovaná. Naše peníze, archivy, dokumenty, chcete-li životy, jsou stále více přítomny jen v elektronické formě a otázka zneužití neboli otázka bezpečnosti, se stává otázkou číslo jedna.
Současný stav
V České republice je situace na poli kybernetické bezpečnosti velice dobrá, a to jak ve srovnání se zeměmi střední Evropy, tak i celosvětově. Lukáš Přibyl charakterizuje tento stav:
- Máme vytyčenu Strategii kybernetické bezpečnosti již ve druhé verzi a pro tuto strategii máme zpracován Akční plán. NSKB byla zpracována velice dobře, o čemž svědčí to, že byla použita mnohými zeměmi jako vzor pro jejich vlastní strategické dokumenty.
- Vznikl samostatný úřad pro KB vyčleněním NCKB z NBÚ – NÚKIB, se sídlem v Brně.
- Jako jedna z prvních zemí máme platný Zákon o kybernetické bezpečnosti, který byl v roce 2017 novelizován po transpozici evropské směrnice NIS, a jeho prosazení v praxi se jeví velmi dobře. Náš ZoKB byl použit jako vzor například pro ZoKB ve Vietnamu.
„Dále je vhodné uvést, že kybernetická bezpečnost je na státní úrovni zabezpečována komplexně, kdy jsou jasně stanoveny oblasti a kompetence,“ říká Lukáš Přibyl ze společnosti AXENTA a.s. „Velmi přínosné jsou rovněž aktivity sdružené kolem Masarykovy univerzity v Brně, která postavila, vlastní a provozuje KYPO (Kybernetický Polygon), neboli laboratoř pro výzkum, výuku a cvičení ve zvládání kybernetických bezpečnostních incidentů. Tým MU provozující polygon spolupracuje s NBÚ (NÚKIB) a pravidelně školí nejen komerční subjekty, ale i organizace zařazené do kritické infrastruktury státu, a to cvičeními pod názvem CyberCzech.“
Lukáš Přibyl dodává: „V neposlední řadě je nutné uvést aktivity družstva firem Network Security Monitoring Clusteru (NSMC), který pracuje zejména v osvětové, analytické a metodické činnosti a ve vzdělávání v oblasti kybernetické bezpečnosti, a to jak ve spolupráci s MU, NÚKIB, PČR, tak i se středními školami.“
Doporučovaný stav
Pro rozvoj kybernetické bezpečnosti v České republice by bylo vhodné v příštích letech realizovat následující dva kroky, přičemž u toho druhého je zde celá spousta dalších úkolů, o kterých je třeba uvažovat, uvádíme je i s komentářem tam, kde je to třeba:
- Naplnit Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020 a aktualizovat stávající Národní strategii kybernetické bezpečnosti – současná je platná do roku 2020.
- V tomto plánu potom klást důraz především na:
a) Vzdělávání studentů – a to nejen na vysokoškolské a středoškolské úrovni, ale i v základním školství.
Vzdělávání studentů se odehrává většinou jen na VŠ úrovni, na SŠ úrovni probíhá zkušební výuka dle osnov schválených na MŠMT, které připravil a nechal schválit NSMC. Rozvoj oboru kybernetické bezpečnost je velice dynamický a VŠ nestíhají tento rozvoj zařazovat do výuky, tedy je žádoucí doplnit výuku praxí ve firmách, a to i zahraničních.
b) Vzdělávání zaměstnanců/pracovníků, a to jak u tzv. povinných osob, tedy subjektů spadajících pod ZoKB, tak i u ostatních státních institucí, organizací státní správy a samosprávy.
Pracovníci v kybernetické bezpečnosti se etablují z řad zaměstnanců IT a plně ještě nechápou, že proces kybernetické bezpečnosti je oddělený od procesu řízení a správy IT. IT je v tomto případě jen podpůrný proces pro správný chod kybernetické bezpečnosti. Vzdělávání je pro tyto pracovníky žádoucí a nezbytné úplně stejně jako pro studenty vysokých škol, a to včetně zahraničních stáží.
c) Sjednocení digitálních strategií ministerstev.
d) Vzdělávání populace 50+ v oblasti kybernetické bezpečnosti (dále KB).
e) Standardizaci informační a kybernetické bezpečnosti u všech státních institucí, státní správy a samosprávy.
Je nezbytné stanovit standardy pro kybernetickou bezpečnost v oblasti procesní – oddělení od IT; a v oblasti technologické – použití určitých skupin prvků musí být pro výkon kybernetické bezpečnosti povinné, zejména pro organizace v kritické infrastruktuře státu.
f) Koordinaci a centralizaci všech státních institucí.
Bez vedení není velení, popisuje výstižně vojenské heslo, což v tomto případě platí dvojnásob. Je potřeba zřídit pracovní skupinu na úrovni kabinetu vlády České republiky; tato skupina se musí pravidelně scházet a musí rozdávat a kontrolovat plnění úkolů. Jen integrace všech kroků do jednoho bodu přinese posun celku!
g) Budování dohledových center kybernetické bezpečnosti.
Ruku v ruce s jednotným vedením je potřeba budovat jednotné schéma dohledových center. Tato by měla být budována v liniích po jednotlivých resortech tak, aby bylo možné sledovat případné útoky na jednotlivá odvětví. Centrem by mělo být dohledové centrum NÚKIB, které bude zpětně informovat ostatní resorty o dění v ČR a zejména informovat v případě zvýšených rizik napadení.
h) Budování CSIRT týmů na krajské úrovni.
i) Výběr vhodných středních škol v krajích (v každém kraji jedna SŠ) a zajištění jejich koncepční, metodickou, evangelizační, výukovou, legislativní, organizační a technickou způsobilost pro zřízení JCEKB (Junior Center Excellence KB), tak jak je to vzorově realizováno v Brně na SŠ Čichnova.
j) Budování JCSIRT týmů (Junior Computer Security Incident Response) na JCEKB – excelentních středních školách v rámci krajů.
k) Rozvoj národního týmu nejen pro dohled nad kybernetickou bezpečností, ale také pro reakci na vzniklé incidenty.
Současně je potřeba budovat pod jednotlivými resortními dohledovými centry a také pod dohledovým centrem NÚKIB týmy, které budou pracovat poté, co se incident stane. Tj. budou školeni na rychlé odhalení rozsahu vzniklých ztrát, jejich eliminaci a opětovné uvedení informačních systémů do chodu. V současnosti existuje CERT tým jen pod NÚKIB.
l) Budování a rozvoj vztahů v oblasti kybernetické bezpečnosti v evropském a mezinárodním měřítku.
Z výše uvedeného je jasné, že Česká republika nemůže a nesmí být ostrovem uprostřed EU a musí se aktivně zapojit do budování kybernetické bezpečnostní ochrany EU.