E15: Jak se vám četlo znění nového kybernetického zákona?
Jsme firma, pro kterou je téma bezpečnosti něčím, co se vine jako červená nit naší historií. Když jsem normu četl, rozhodně to ve mně nevyvolalo obavu z nároků, které to do světa informačních a komunikačních technologií (ICT) obecně přináší. Měl jsem přitom pocit, že něco takového tu mělo být už dřív.
E15: Co nového zákon zavádí?
Zákon se primárně zabývá bezpečností kritické infrastruktury a významných informačních systémů. Dostáváme se do fáze, kdy si předem stanovujeme určitá minimální pravidla pro bezpečnost tak, aby se případné problémy neřešily až na základě reálných incidentů ex post, ale abychom průběžně vytvářeli „ochranné“ podmínky. V tomto ohledu si trochu vypomohu analogií s dopravou. V současnosti má O2 významný datový provoz, ale jezdíme v něm tak trochu jako podle standardů z první republiky – bez bezpečnostních pravidel, ABS, airbagů, pásů. Všichni přitom dobře víme, že automobilový provoz se stal velice důležitým, a proto získal také určitá bezpečnostní pravidla. Obdobná pravidla v ICT provozu byla dosud dobrovolná, jen na bázi „doporučení“. Díky novému zákonu bude mít docela rozumná bezpečnostní pravidla. Bude těžké si na ně v určitých oblastech zvyknout, ale je to nutné a určitě správné.
E15: Vidíte v zákoně nějaké chyby?
Kvůli technickým drobnostem, které by opravdu mohly být jinak, bych nerad zpochybňoval zákon jako celek. Je zřejmé, že přínosy normy dalece převáží potenciální drobné nedostatky. Život následně ukáže, zda tyto chybky bude vůbec potřeba opravovat.
E15: Lze se na problémy dostatečně připravit?
Nelze se na ně připravit absolutně. Zákon je v tomto naštěstí realistický, počítá nejen s průběžným zlepšováním ochrany a analýzami kybernetických útoků. Proti těmto hrozbám se v praxi nejvíc bojuje tím, že se o nich shromažďují informace, které se vyhodnocují, a následně se výstupy používají na vylepšení zavedených obran. Důležitou součástí zákona proto je systém hlášení a shromažďování informací o jednotlivých incidentech. Zákon nevyřeší to, že bychom od prvního dne jeho platnosti měli bezpečnější internet, ale vytváří systémové podmínky pro to, abychom nastavili určitou úroveň bezpečí pro všechny důležité systémy a způsoby, jak tuto laťku postupně zvyšovat.
E15: Jaké změny to znamenalo pro společnost O2?
Pro nás to nebylo zas tak velké překvapení. Některé detaily ještě dle litery zákona implementujeme. Dosud jsme některé věci dělali dobrovolně, třeba spolupráci s národním centrem při CZ. NIC. Nyní to budeme dělat i ve prospěch národního CERT. Přibyla nám povinnost poskytnout napadeným subjektům informace o daném útoku. Naštěstí ale nejde o koncepční změny nebo dokonce nákladné investice, spíše jen uzpůsobení stávajících systémů. Zákon nás ovlivní v bezpečnosti našich vnitřních systémů a v bezpečnosti, kterou od nás tím pádem získávají naši zákazníci. Jsme ale také významným dodavatelem služeb pro veřejnou správu a právě zejména pro ni nový zákon nastavuje minimální bezpečnostní požadavky. Veřejná správa například bude muset podle tohoto zákona zpřísnit podmínky výběrových řízení. Do těch jsme se hlásili s velmi podobnými službami už dříve, ale někdy to vedlo k tomu, že vyhrávala lowcostová řešení, která byla sice levnější, ale neměla patřičnou úroveň bezpečnosti.
E15: Má nyní některý státní orgán požadované zabezpečení?
Jsou to naši potenciální zákazníci, nedopustím se nějakého silného výroku. Obecně je ale v Česku otázka kybernetické bezpečnosti podceňována. Řešení, která se provozují, a tím nemyslím jen státní správu, zdaleka ne vždy dosahují standardů, které nový zákon vyžaduje.
E15: To ale napřed budou muset proběhnout výběrová řízení.
Je to tak, že tendry, které nyní úřady chtějí vypisovat, musí počítat s pravidly, která tento zákon předpokládá. A to není jednoduchý úkol, vyhláška se teprve nyní dokončuje.
E15: Dá se kvantifikovat objem potenciálních zakázek?
Společnost O2 se měsíčně účastní desítek soutěží, některé z nich jsou malé a nová bezpečnostní pravidla se jich dotknou spíše omezeně – jako třeba připojení knihoven a podobně. Podáváme ale samozřejmě nabídky na výběrová řízení, která vypisují centrální orgány, tedy komplexní řešení, kde byla bezpečnost vždy řešena o něco více. Otevřeně ovšem říkám, že ne vždy na té úrovni, jak to bude vyžadovat nynější znění zákona.
E15: Podíváme-li se na stávající dění na internetu – kromě Ddos útoků, co může státní aparát ještě ohrozit?
Z hlediska státu, případně klíčových firem – rozvody elektřiny, plynu, vody, dosažitelnost krizových linek – tam jsou útoky typu Ddos nebezpečné z hlediska dočasného vyřazení dané služby či nefunkčnost při řešení nějakého problému. Tyto situace známe například z lokálních živelních pohrom; pružnost krizového systému byla již několikrát otestována a docela dobře funguje. Pro případ větších výpadků ICT struktur však systém stále není dostatečně pružný, stát se teprve učí na tyto věci systémově reagovat. V bezpečnosti ICT navíc neexistuje univerzální řešení pro všechny problémy. Logika zvyšování bezpečnosti spočívá v tom, že se více opatřeními snižuje riziko.
E15: Od prvního ledna začne zákon platit. Kdy se na něj reálně adaptují jednotlivé subjekty?
Bude to bolestivý proces. Zákon předpokládá určité přechodné období. Prakticky se dokáže většina důležitých systémů adaptovat během roku 2015, tedy relativně rychle. Pak nám tu ale zůstane menší část systému, která není schopná dané požadavky splnit. A to budou ty okamžiky, v nichž dodavatel nebude schopen dostát těmto podmínkám, bude se řešit přesoutěžení zakázek. V zásadě si ale myslím, že do roku 2016 budeme vstupovat s lepší bezpečností českého ICT provozu.
E15: Kolik si investice v Česku vyžádají?
Za státní a veřejnou správu bych řekl, že to budou jednotky miliard. V případě komerčních firem to bude velmi různorodé, a to si netroufnu odhadnout.
Nový zákon nevyřeší to, co se děje za hranicemi. Dál budeme muset vynakládat značné finance na to, abychom zabránili útokům zvenčí
E15: Onu různorodost byste definoval jak?
Objektivně je pravda, že se na českém ICT trhu realizují i řešení, která jsou skutečně lowcostová a která v podstatě stěží fungují.
E15: Máte nějaký konkrétní příklad?
Nechtěl bych jmenovat. Ale každého asi napadnou některé dlouhodoběji nefunkční agendy jako registr vozidel a podobně.
E15: Z čeho máte v oblasti informačních technologií obavy?
Věc, kterou nový zákon nevyřeší a ani nemůže vyřešit, je otázka toho, co se děje za hranicemi naší jurisdikce. My se do jisté míry „nesmyslně“ budeme setkávat s tím, že budeme muset vynaložit značné množství financí na to, abychom zabránili útokům, které přicházejí „zvenčí“. Provozování bezpečného internetu celosvětově by samozřejmě vyžadovalo, aby tato nebezpečná území neexistovala. Byl by to druh prevence, který by celkově pomohl. V tomto jsem nicméně naprostým pesimistou, k brzkému progresu podle mne nedojde.
E15: Nastane někdy?
To bychom se jakožto „internetová komunita“ museli rozhodnout dobrovolně opustit anonymitu přítomnosti na internetu…
E15: To už zní jako Big Brother…
To má více rovin. Samozřejmě je třeba uznat, že „free internet“ je dobrý princip, ale je třeba se zeptat, zda to znamená absolutní anonymitu nebo nějakou rozumnou míru identifikace. Dnes samozřejmě jiná než dobrovolná identifikace nefunguje. Pokud by v tomto panoval nějaký standard, bezpečnostní situace by se rozhodně zlepšila. Na to si ale ještě, jak jsem říkal, dlouho počkáme. A musím zdůraznit, že se tato jakási „minimální“ úroveň identifikace rozhodně nerovná Big Brotherovi.
E15: Určitá sdružení nicméně kritizovala kybernetický zákon právě v tom ohledu, že „svazuje“ kyberprostor…
Jsem realista. Z ICT provozu se stalo něco, na čem je více, než si připouštíme, závislé fungování byznysu a státu. A za to se musí zaplatit v podobě nějakých pravidel.
E15: Osobně byste tato pravidla spíše zpřísnil, nebo zlehčil?
Spíše zpřísnil.
E15: Jak například?
Těžká otázka, možná na ni odpovím trochu vyhýbavě. I správa internetu a ICT je demokratickým procesem. Míra regulace, pravidel, která na sebe uvalujeme, je přímo úměrná tomu, jak danou potřebu cítí společnost jako celek. Kdybychom tedy zaváděli jiné regulace než ty, které společnost cítí jako potřebné, bylo by to samozřejmě špatně. Je potřeba nicméně určité osvěty a diskuze o potřebě těchto věcí. A právě ta povede k tomu, že se požadavky společnosti jednoduše začnou objevovat, vzrůstat. A proto se nám v budoucnosti některá opatření, která nám nyní připadají nepřiměřená, nebudou jevit tak přehnaná. Kloním se k tomu, že když se o těchto věcech povede debata, uživatelé časem pochopí jejich nutnost. Z mého pohledu tak v delším časovém rámci může jít třeba o nějakou tu rozumnou míru identifikace na internetu. To by už byl jiný internet, než jej známe dnes.
E15: Jiný jak?
Bezpečnější, více pracovní nástroj a méně prostor pro nebezpečnou zábavu.
E15: Je Česko dostatečně připraveno na budoucnost?
Neděláme všechno dobře, často se uchylujeme k úsporám za každou cenu. Jako země na tom ale rozhodně dramaticky hůř než ostatní země nejsme.
Michal Frankl (51)
Vystudoval Bankovní institut Vysoké školy Praha a Právnickou fakultu Janka Jesenského. Po roce 1989 podnikal v oblasti tvorby softwaru pro ekonomiku. V roce 1996 byl zvolen poslancem. Poté byl náměstkem ministra financí zodpovědným za sekci daní, cel a informatiky. Působil také jako náměstek ministra informatiky. Je jedním z hlavních autorů zákona o elektronických komunikacích. Od roku 2005 do 2009 byl členem Rady ČTÚ. Do zvolení členem představenstva O2 CR podnikal jako ekonomický a daňový poradce.
