Podle ministra zahraničí se od nás mnozí učí, jak na kybernetickou bezpečnost. Sutečnost je jiná. Jsme na tom velmi zle.
Lubomír Zaorálek se nedávno v televizním diskuzním pořadu nechal slyšet, že Česko je v oblasti kybernetické bezpečnosti na výši a že se mu v tomto ohledu dostává uznání od států NATO, a dokonce i od takové země, jako je Izrael. Iniciativa Demagog.cz ve spolupráci s Národním centrem kybernetické bezpečnosti (NCKB) vyhodnotila jeho slova jako pravdivá. Skutečnost je bohužel trochu jiná.
Nejenže nejsme na špičce. Jsme na tom dokonce tak zle, že ani nevíme, že máme problém. V současnosti v celé Evropě chybí 40 procent odborníků z oblasti IT bezpečnosti a žádná z vysokých škol se na tento obor přímo nezaměřuje. Soukromé firmy včetně těch, které přímo spolupracují se státem, nemají žádnou povinnost zabezpečit své systémy.
Státní instituce a kritická infrastruktura, které by měly jít příkladem, běžně využívají potenciálně nebezpečné technologie. O tom se nakonec přesvědčil i sám ministr Zaorálek, který musel pár dní po svém chlubivém vystoupení informovat veřejnost, že jeho úřad několik měsíců napadali hackeři.
Oblast kybernetické bezpečnosti se potýká s obrovským nedostatkem odborníků. Ve státních a bezpečnostních složkách je situace vyloženě kritická – a ještě dlouho bude. Vysoké školy nejsou schopné pracovníky připravit a trvá zpravidla deset let (pět let studia a pět let praxe), než se ze studenta IT stane odborník na kyberbezpečnost. Nehledě na finanční podmínky, které nejsou ve státních službách nikdy tak dobré jako u soukromých firem, jež se o schopné lidi vyloženě přetahují.
Tyto faktory představují do budoucna obrovské riziko. Od příštího roku začne platit nový kybernetický zákon. Jeho součástí bude i takzvané GDPR neboli obecné nařízení o ochraně osobních údajů, takže po odbornících v těchto oborech bude ještě větší rvačka než doposud. Navzdory všeobecnému optimismu to v rozhovoru pro web Lupa.cz přiznávají i Dušan Navrátil a Jaroslav Šmíd z Národního bezpečnostního úřadu.
Mezi odborníky na bezpečnost koluje vtip, že firmy se dělí na dvě skupiny: ty, které byly napadeny a vědí o tom, a ty, které byly napadeny a nevědí o tom. Stát není vybaven technologiemi ani odbornými týmy, aby byl schopen reagovat na pokročilé kybernetické hrozby, a neumí ani čelit profesionálním útokům ze zahraničí. A už vůbec ne případné kybernetické válce. Optimismus a klid, které jsou patrné u vedoucích zaměstnanců státních úřadů, v podstatě plynou z neodbornosti a nedostatku zkušeností s reálným nebezpečím, se kterým potýkají nejen Spojené státy a Velká Británie, ale i nám daleko bližší Estonsko či Litva.
Nehledě na to, že svou vlastní bezpečnost ohrožujeme sami. Způsob, jakým jsou vypisovány veřejné zakázky, vede k tomu, že tendry na technologie pro státní instituce a kritickou infrastrukturu vyhrávají společnosti, které nabídnou nejnižší cenu. To jsou bohužel často firmy, jejichž technologie nejsou v zemích na západ od nás považovány za bezpečné.
Je určitě chvályhodné, že jsme jako první ze zemí EU vytvořili unikátní právní rámec ochrany kritické informační infrastruktury. A že jsme jako první ze zemí NATO podepsali s aliancí memorandum o porozumění v oblasti kyberbezpečnosti. A že odborníci z NBÚ jezdí školit balkánské země. A je rozhodně dobře, že státní úřady spolupracují se soukromými firmami z oboru IT. To ale nijak neřeší personální problém s nedostatkem odborníků na kyberbezpečnost, a zejména chybějící úřad pro certifikaci technologií pro státní instituce a kritickou infrastrukturu. Všeobecný klid a optimismus není na místě. Obzvlášť nyní, kdy významný úřad potvrdil, že k jeho korespondenci má přístup bůhvíkdo.
Martin PůlpánAutor je generálním ředitelem firmy net.pointers
