Zákon o kybernetické bezpečnosti patří mezi základní pilíře ochrany firem a subjektů kritické infrastruktury před možnými útoky a velkými škodami. Nový zákon v obecné rovině stanovuje povinnosti, které začnou platit jeho přijetím, a na koho přechází odpovědnost. Návrh nového zákona vychází ze znění dosavadního zákona o kybernetické bezpečnosti a zároveň v minimální míře plní požadavky dané evropskou bezpečnostní směrnicí NIS2, které tímto zavádí do českého právního řádu. Navíc reflektuje zkušenosti a poznatky, které Národní ústav pro kybernetickou a informační bezpečnost (NÚKIB) za dobu své existence shromáždil. Hlavním účelem této regulace je nastavení alespoň základní úrovně zabezpečení v organizacích, které působí v ekonomicky, společensky či bezpečnostně významných odvětvích a splňují další kritéria významnosti. Rozsah regulovaných odvětví a konkrétních služeb byl směrnicí rozšířen, takže nový zákon bude zahrnovat mnohem širší spektrum organizací. Nejen o schvalovacím procesu této normy v Parlamentu ČR jsme hovořili dalším pokračování pořadu CZ DIALOGY s ředitelem NÚKIB Lukášem Kintrem.

Video:  Rozhovor s ředitelem NÚKIB Lukášem Kintrem / CZ DEFENCE

Na listopadové schůzi sněmovního výboru pro obranu ředitel Kintr poslancům vysvětloval, že proces schvalování tohoto zákona provázejí mnohé nepřesnosti pramenící z neznalosti nebo nepochopení. Největší obavy panují ohledně množství nových povinností, které budou kladeny na přibližně 6 000 subjektů, přičemž 5 000 z nich bude podléhat režimu tzv. nižších povinností. Povinnosti budou v těchto případech minimální a velmi základní. Zbylých 1 000 subjektů bude v režimu tzv. vyšších povinností. „Z toho je už dnes 450 těchto subjektů regulováno stávající úpravou zákona a jenom 550 z nich bude nových. Z těch 450 má potom být zhruba 150 v režimu tzv. poskytovatelů strategicky významných služeb. Jinými slovy na ně budou dopadat povinnosti plynoucí z mechanismu bezpečnosti dodavatelského řetězce. Těchto 150 subjektů je pak pouze zhruba z poloviny tvořeno ryze soukromoprávními subjekty,“ uvedl tehdy na výboru ředitel Kintr. Domněnka, že tento zákon dopadne stejně intenzivně na všech 6 000 subjektů, tak není správná.

Směrnice NIS2 (Network and Information Security Directive 2) je evropská směrnice, která stanovuje pravidla a požadavky v oblasti kybernetické bezpečnosti a ICT systémů a sítí. Její přijetí v rámci Evropské unie však neprobíhá zcela plynule – pouze tři státy zatím implementaci dokončily. „Jsem i docela zvědavý na to, jak to bude komise hodnotit, protože některé z těch případů jsou takové, že vzali překlad do svého jazyka a prohnali to jejich legislativním procesem. A mně tam chybí přesah, protože pořád se bavíme na úrovni Evropské unie o harmonizaci trhu a o sjednocování pravidel. Ale ono to má přesah, a ne malý – do bezpečnostních otázek, do oblasti krizového řízení a tak dál. Bez toho, aniž byste vy ten předpis a transpozici neprovázal s bezpečnostními mechanismy na národní úrovni, to za mě nemůže úplně fungovat,“ říká v úvodu našeho rozhovoru ředitel NÚKIB.

A právě o to předkladatelům nového kybernetického zákona jde. Chtějí nejen zohlednit směrnici NIS2, ale také harmonizovat propojení s ostatními bezpečnostními předpisy. I proto to podle Kintra České republice trvá trochu déle, stejně jako to trvá déle většině členských států Evropské unie. „Tři státy mají splněno. Pak je množina asi třetiny států, která je na tom podobně, a zbytek je v procesu ještě o mnoho pozadu za námi,“ říká Lukáš Kintr a připomíná, že nejen Česká republika nedodržela transpoziční termín 18. října letošního roku. Podle něj je hlavním cílem správné nastavení a schválení normy. Pokud se podíváme na otázku kybernetické bezpečnosti v ČR je podle ředitele NÚKIB potřeba vzít v úvahu i nedávnou historii. „Já bych se na to podíval optikou toho, že Česká republika v roce 2014 byla jednou z prvních zemí na světě, kde byl přijat nějaký rámec upravující kybernetickou bezpečnost, a současně od té doby máme řekněme prst na tepu doby, a jsme schopni i díky tomu prosazovat velmi efektivně zájmy České republiky. Jsme schopni ty mezinárodní standardy ovlivňovat. Je nám nasloucháno výrazněji než v jiných oblastech. A není žádným tajemstvím, že NÚKIB je velmi známou institucí za hranicemi naší země,“ konstatuje Kintr.

Pojem hybridní a kybernetické hrozby se stal nedílnou součástí českého slovníku, proto jsme požádali ředitele NÚKIB o vysvětlení, jaký je mezi těmito pojmy rozdíl. „Hybridní hrozby za mě jsou trošku širší pojem než kyberhrozby. Kyberhrozby jsou nějakou součástí nebo mohou být součástí celé té množiny,“ říká Lukáš Kintr a dodává, že jasná definice toho, co jsou hybridní hrozby a co ne, vlastně neexistuje. „Z mého pohledu se ten pojem v poslední době trošku nadužívá, a když bych měl říct něco konkrétnějšího, tak pro NÚKIB jsou hybridní hrozby zajímavé ve chvíli, kdy je k tomu působení zneužit nebo použit kyberprostor. V tu chvíli se z toho stává něco, co nás zajímá. Ale rozhodně nejsme jedinou institucí, která v Česku obecně hybridní působení řeší. Dotýká se to průřezově celé řady dalších institucí,“ upřesňuje Kintr. Asi nejviditelnějšími cíli kyberútoků byly české nemocnice. „Ano, útoky na nemocnice jsou zajímavé z mnoha důvodů. Krásně to ilustruje to, že útočníci, jejichž primární motivací je nějaký finanční přínos pro ně samotné, si vybírají vždycky ten sektor, který je nejvíce pod tlakem. Ty největší útoky v České republice na nemocnice se odehrály na pokraji začínající pandemie. Řekněme si, že při jejich realizaci nemusely být použity příliš sofistikované postupy, protože tam vždycky byla nějaká chyba člověka a potom série dalších pochybení při správě infrastruktury,“ potvrzuje nutnost kybernetické ochrany na konkrétních příkladech ředitel NÚKIB.

Poučení z těchto incidentů je podle Kintra jednoduché a odkazuje na skutečnost, že v roce 2014, kdy se přijímal nový zákon, nebyla vůle regulovat jedinou nemocnici. „O pár let později přišla směrnice NIS1, a díky vyvolanému tlaku se pod regulaci dostalo 16 největších nemocnic. Potom přišly v mezičase incidenty, po kterých tehdejší předseda vlády Andrej Babiš vyvinul poměrně zásadní tlak na to, aby pod regulaci spadalo výrazně více nemocnic, protože třeba v době útoku na benešovskou nemocnici, tato tehdy nespadala pod regulaci tehdejšího zákona o kybernetické bezpečnosti,“ vzpomíná ředitel NÚKIB. Po zkušenostech s těmito útoky podle Kintra už všichni vědí, že je nový zákon potřeba. „V konečném důsledku ten návrh zákona o kybernetické bezpečnosti, který je teď aktuálně projednáván ve sněmovně, s tím vším počítá, a to s postupným náběhem. Plnění těchto povinností bude pozvolné, postupné a bude v respektu se zdroji, které v těch jednotlivých institucí jsou, ať už se bavíme o finančních nebo lidských,“ dodává Lukáš Kintr.

Důležitým pojmem v těchto bezpečnostních normách je sledování tzv. dodavatelského řetězce. „Je to jednoduché. Vy dneska dostanete na stůl počítač, informační systém a nemáte vůbec představu o tom, kdo všechno se na výstavbě toho zařízení podílí a jakým zásadním způsobem. Jestli jeho přínos do konečného produktu má bezpečnostní přesah a význam či nikoli. A není už v rukách nikoho z nás toto kontrolovat. A tak roste v podstatě význam důvěry v dodavatelský řetězec. A ten se ještě násobí ve chvíli, kdy se bavíme o nějakých strategicky významných systémech a službách, na kterých je naše společnost, aniž by si to mimo jiné příliš uvědomovala, kriticky závislá,“ popisuje Kintr s tím, že je například důležité vědět i to, kdy byly vyrobeny čipy daného počítače. „Pokud by se z jakéhokoliv důvodu zastavily dodávky od primárního výrobce, jestli to náhodou nemůže znamenat to, že na nějakou dobu nebudeme mít třeba nové počítače, a co to způsobí. Jaké by byly dopady na běžné občany České republiky, na chod státu jako takového,“ vysvětluje ředitel Kintr. A existuje i několik příkladů, například chyba v aktualizaci softwaru společnosti CrowdStrike (americká společnost zabývající se technologií kybernetické bezpečnosti se sídlem v Austinu v Texasu, pozn. redakce) a další. Z pohledu směrnice NIS2 je proto důležité, aby jedním z regulovaných sektorů, které dodavatelské řetězce využívají, byl i obranný průmysl. „Viděli jsme to i na případech nějakých útoků v poslední době. Je potřeba, aby i tam byl dodržován nějaký standard, protože kybernetický útok nebo špionáž v této oblasti nemusí mít vždycky jenom ekonomický dopad, ale může to mít přímý vliv na schopnost se bránit, a především potom na bezpečnost uživatelů dotčených zařízení,“ upozorňuje Kintr.

Kyberútok se proto dnes stává srovnatelným s klasickým konvenčním bojem, což potvrzují i zkušenosti z ukrajinského bojiště. „Moderní voják je dnes do značné míry závislý na moderních bojových systémech. Pokud však nebudou zabezpečeny, tak nebudou bezpečné nejen pro samotného vojáka, ale nebudou tím pádem ani efektivní v boji,“ vysvětluje Kintr. Důležitým parametrem je pak civilní infrastruktura. Realizace aliančních obranných plánů dnes podle ředitele NÚKIB do značné míry závisí na civilní infrastruktuře. „Ono už jenom vyvolání zmatku u civilní části obyvatelstva při používání nějaké infrastruktury, ať už na letištích nebo třeba v dopravních systémech, může mít zásadní vliv na akceschopnost armády a její schopnost realizovat obranné plány včas,“ varuje Lukáš Kintr.

Dnešním největším problémem v kyberbezpečnosti jsou podle Kintra zjednodušeně řečeno čínské technologie a naivita firem při ochraně svých dat. Jednoduchá odpověď na tyto výzvy však neexistuje. „Někde to může být opravdu dáno jenom nějakou závislostí na technologiích, někde to může být tím zásadním podceněním sebe jako případné oběti útoku nebo přecenění svých schopností bránit se,“ říká v pořadu CZ DIALOGY ředitel NÚKIB Lukáš Kintr.

Zdroj: CZ DEFENCE