Čínské soláry můžeme odříznout od sítě, ale není to v našem zájmu, říká šéf kybernetického úřadu
Ve sněmovně je k projednání klíčový zákon o kybernetické bezpečnosti (NIS2), který se mimo jiné zabývá i spletitými dodavatelskými řetězci. Nejčastěji se v skloňují právě firmy z Číny. Nebezpečné produkty a komponenty by mohly být v krajním případě odříznuty od kritické infrastruktury. Už od počátku příprava zákona a jeho garant Národní úřad pro kybernetickou bezpečnost čelí kritice operátorů. Ti si mimo jiné stěžují na to, že s nimi ředitel úřadu Lukáš Kintr příliš nekomunikuje. „Ten kontakt teď není moc intenzivní. Bavili jsme se o tom stále dokola a ty debaty se od určitého momentu už nikam neposouvaly a nedávalo nám tak smysl je dále prodlužovat,“ říká o situaci a zákonu Kintr.
Zákon o kybernetické bezpečnosti je ve Sněmovně. Myslíte, že projde?
Tím prvním čtením by měl projít velmi rychle. Pak nám to dá prostor, abychom zákon obhajovali ve výborech a před odpůrci, kteří zajisté přijdou s nějakými pozměňovacími návrhy. Je důležité říct, že si nemůžeme dovolit, aby ten zákon neprošel. Není spíš otázka jestli, ale v jaké finální podobě.
Směrnici musíme přijmout kvůli nařízení Evropské komise ideálně do října 2024. To se, předpokládám, nestihne…
Nestihne. V EU zatím zákon přijalo pět zemí. Zhruba pět států je na tom jako my – tedy že je zákon v parlamentech – a zbytek je výrazně pozadu. Nějaké zpoždění si dovolit můžeme. Pokud ale zákon neprojde do konce tohoto volebního období, už se dostaneme do velkého skluzu v řádu jednotek let.
Kdy by tedy nový zákon o kybernetické bezpečnosti mohl reálně projít?
Optimistický scénář by byl do konce roku s účinností od prvního ledna příštího roku. Ten pesimističtější je, že bude účinný od pololetí 2025.
Není smutné, že řada evropských států ještě nezačala problematiku bezpečnosti dodavatelských řetězců řešit? Stačí se podívat na geopolitickou situaci mezi Čínou a Tchaj-wanem či na Rusko. Není selháním Evropy?
Evropu tvoří mnoho členských států. Je potřeba říct, že brousíme na hraně mezi harmonizací trhu a bezpečnostními zájmy, které jsou výlučně v rukou národních států. Najít kompromis proto není vůbec snadné. To je zkrátka daň za snahu zůstat jednotní, protože nedává smysl, aby i středně velký stát, jako je Česká republika, měl v té obecné rovině nějaké zásadně odlišné požadavky než zbytek Evropy.
Na druhou stranu jsou tyto zákony potřeba víc než kdy jindy, protože evropský trh možná bude zaplaven čínskými chytrými auty, která sbírají data všude možně po ulicích. Na střechách má řada lidí čínské soláry, které doporučují k ovládání čínské aplikace. Není už trochu pozdě, když se na trh dostávají tak zásadní produkty, které mohou teoreticky ohrozit bezpečnost státu?
Můžeme vždy zvolit více postupů. Třeba se snažit předvídat, kam se trh a technologie budou posouvat, a všechno regulovat dopředu. Na druhou stranu v tu chvíli můžete způsobit škody, protože zastavíte rozvoj výzkumu. Pro soukromé společnosti by nemuselo být zajímavé v těch svázaných podmínkách cokoliv vyvíjet. Vždy proto musíme dbát na to, abychom neregulovali příliš a příliš brzy. Z Evropy by to mohlo vytvořit přeregulovaný technologický skanzen. Pokud na druhou stranu budeme otálet příliš, tak můžete být v té pozici až příliš reaktivní, protože už tu ty technologie budou. Teď musíme hrát s tím, co máme v rukách. V porovnání se světem naše kybernetická bezpečnost není nastavená vůbec špatně.
Lukáš Kintr (35) |
Je český informatik a manažer. Od 1. července 2022 působí jako ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Vystudoval manažerskou informatiku a informační management na VUT v Brně. Svou kariéru v oblasti kybernetické bezpečnosti zahájil v roce 2015 v Národním centru kybernetické bezpečnosti. Postupně zastával pozice auditora, vedoucího oddělení kontroly a náměstka ředitele NÚKIB. Do funkce ředitele NÚKIB byl jmenován Fialovou vládou 29. června 2022 s účinností od 1. července téhož roku po rezignaci svého předchůdce Karla Řehky. |
Například u Huawei NÚKIB ukázal, jak skrze varování některé věci vyřešit…
V celé řadě aktivit souvisejících s kyberbezpečností jsme jako Česká republika vnímáni jako lídři. Není zas tolik oblastí, kde by se nám tak dobře dařilo ve světovém srovnání. Měli bychom si toho vážit a měli bychom si vážit lidí, kteří jsou v této oblasti schopni a ochotni pracovat.
Nekazí vám to trochu platy ve státní správě? Odborníci na kybernetickou bezpečnost patří mezi nejdražší zaměstnance na pracovním trhu. Jak se s tím vyrovnáváte, když ministerstvo financí šetří a nechce, aby úřady nabíraly nové lidi.
Jako NÚKIB máme schválenou koncepci rozvoje personálních kapacit a té se ministerstvo financí drží, takže tam si stěžovat rozhodně nemůžu. Kritičtější už budu k tomu, že mi chybí politická vůle přihlásit se k tomu, že bereme kyberprostor vážně a seriózně i v oblasti odměňování. Potřebujeme, aby stát vnímal realitu trhu a byl schopen ohodnocovat technické odborníky mnohem lépe, aby ty platové rozdíly nebyly oproti soukromému sektoru tak velké. Jsme na dlouhodobě neudržitelném modelu, a pokud se něco nezmění, je iluzí, že pozici mezinárodního lídra budeme obhajovat i nadále.
Bere současná vláda kyberbezpečnost vážně? Třeba za té předchozí se po varování před Huawei odehrávaly obří zmatky, kdy premiér Andrej Babiš (ANO) lavíroval na jednu či druhou stranu a hodně řešil, jak akce úřadu poškodí trh. Přitom potenciální napadení kritické infrastruktury by stát mohlo vyjít dráže než arbitráž, kterou Huawei chvíli hrozila…
Tato vláda vnímá bezpečnost velmi vážně, na to si nemohu stěžovat. Chápu, že se s požadavky na zvýšení platů ozývají i jiné skupiny a vláda toto rozhodování nemá lehké. Pokud jde ale o platy technických specialistů, tak musí zaznít jasné stanovisko, že tuto skupinu podpoří.
Máte data, o kolik jsou platy technických specialistů ve státní správě menší než v soukromém sektoru?
Průměrný plat státních ICT specialistů je podle statistického úřadu o 30 procent nižší než v soukromém sektoru. U kyberbezpečnostních specialistů je ten rozdíl ještě zásadnější.
Můžete říct kolik?
Soukromý sektor často nabízí násobně vyšší plat.
Když projde zákon o kybernetické bezpečnosti, tak na vás padne další agenda. Posílí NÚKIB personálně? Ministerstvo financí se na navýšení tabulkových míst tváří odmítavě.
Ano, obecně platí, co jste říkal. S ministerstvem financí jsme domluveni na racionálním přístupu. Maximálně využijeme rezervy, které máme aktuálně. Tam, kde už nebudou stačit, budeme uplatňovat požadavky vůči ministerstvu financí a to nám, předpokládám, vyjde vstříc.
To znamená, že využijete jen ty lidi, které máte teď?
Ze začátku určitě ano.
Ředitel Národního úřadu pro kybernetickou bezpečnost Lukáš Kintr na jednání v jihokorejském Soulu |
Bude to stačit?
Navýšení v čase tam určitě bude. Bavíme se v řádu desítek zaměstnanců, kteří by nás měli posílit, ale musíme počkat, v jaké finální podobě ten zákon projde.
Není těch několik desítek zaměstnanců málo, spadne na vás nová a poměrně rozsáhlá agenda…
Bylo by naivní si myslet, že když nám dvacetkrát naroste počet regulovaných subjektů, tak se dvacetkrát zvedne počet lidí, které na tuto problematiku NÚKIB zaměstnává. To nedává smysl ani mně. Musíme hledat způsoby, jak se s tím efektivně vypořádat. Například skrze automatizaci. Jedině tak se nám může podařit udržet ty nároky na lidské zdroje v racionálních mezích.
Tento článek je součástí balíčku PREMIUM.
Odemkněte si exkluzivní obsah a videa!