“Nejsou peníze. Novela měla zlepšit kyberbezpečnost ministerstev a vlády, ale vnitro ji zametá pod stůl“. „ Ministerstvo vnitra chce shodit ze stolu vyhlášku, která má za úkol zvýšit bezpečnost všech informačních a komunikačních systémů na českých ministerstvech a Úřadu vlády.“

Toto jsou titulky a podtitulky v médiích, které popisují reakci na návrh novely vyhlášky 317/2014 Sb.

Jen velmi stručně – novela vyhlášky v podstatě posunuje z úrovně vládního usnesení (241/2018 Sb.) do úrovně novely vyhlášky 317/2014 Sb. povinnost pro instituce státní správy, zabezpečit své informační a komunikační systémy tak, jako by se jednalo o významné informační systémy podle vyhlášky původně 316/2014 Sb. nyní 82/2018 Sb. Je to krok naprosto logický, kdy praxe ukazuje, že řešit zabezpečení izolovaných informačních systémů úzce propojených s jinými v rámci informační a komunikační infrastruktury instituce je cesta do pekla. Chovat se z pohledu bezpečnosti k těmto systémů rozdílně je stejné, jako natáhnout nad plaveckým bazénem provaz a zavěsit na něj ceduli s nápisem „Vlevo od provazu močit do vody zakázáno, vpravo od provazu povoleno“. Systémy jsou mezi sebou úzce propojeny často v rámci jedné infrastruktury a sdílejí mezi sebou technické i systémové prostředky a tím i základní úroveň zabezpečení. Pravdou je, že některým službám a informacím (tak zvaná primární aktiva v řeči zákona o kybernetické bezpečnosti) je z pohledu jejich zabezpečení nutno věnovat větší péči ale zároveň je nutno si uvědomit, že na první pohled nevýznamný informační systém, propojený s tím významným nebo kritickým, může být právě tou dírou do celku. Tak jako se před lety podařilo útočníkům proniknout do velmi dobře střeženého informačního systému opravdu velké firmy napadením na první pohled bezvýznamného serveru. Ten měl na starost ovládání klimatizace a do infrastruktury velké firmy jej „usadil“ dodavatel té klimatizace a vzdáleně tak monitoroval její chod. A protože dispečink velké firmy chtěl mít přehled o tom jak klimatizace chladí nebo topí, tak milý server připojil do své informační infrastruktury. A díry do systému byla na světě. Malý dodavatel klimatizace se cítil nezajímavým pro útočníky, jejich server se pro velkou firmu zdál bezvýznamným. Útočníci se dostali do malé firmy a přes jejich server do velké firmy a tam napáchali škody velmi velkého rozsahu. Už víte proč jsem použil příměr s bazénem? Nelze říct, že nějaký systém nebudu chránit odpovídajícími prostředky, protože nespadá pod zákon o kybernetické bezpečnosti. Musím se také zamyslet nad tím, jak a s jakými systémy je propojen. A vůbec nejlepší je mít kompletně a solidně zabezpečenou informační a komunikační infrastrukturu a do ní potom vsunout své informační systémy. Neboť (a teď si dovolím citovat sám sebe) Kybernetická a informační bezpečnost není otázkou zákonů, je otázkou pudu sebezáchovy.

Aleš Špidla, prezident ČIMIB