Národní bezpečnostní úřad dodělat návrh zákona o kybernetické bezpečnosti. Státní instituce ho nyní mohou připomínkovat a pak půjde na vládu. Se šmírováním se nepočítá.
Český zákon o kybernetické bezpečnosti (ZKB) by mohl začít platit už od prvního ledna 2015. Národní bezpečnostní úřad (NBÚ) tento týden odeslal návrh zákona do mezirezortního připomínkového řízení a pokud se jednotliví státní zástupci ne jeho konečné podobě shodnou, bude předložen vládě ještě v červnu tohoto roku. Vybrané státní instituce mohou posílat připomínky do 10. května.
NBÚ začal na bezpečnostním kybernetickém zákoně pracovat na základě usnesení vlády z května loňského roku a zohlednil do něj i nedávné zkušenosti a poznatky z DDoS útoků na weby médií, bank a operátorů. V té době byl stát zároveň nejvíce kritizován za to, že žádnou bezpečnostní kybernetickou strategii v podstatě nemá.
K aktuální verzi návrhu zákona vzneslo připomínky kolem 50 různých subjektů. Kromě samotné odborné komise NBÚ složené ze zástupců ministerstva vnitra, obrany a Českého telekomunikačního úřadu se vyjádřil například správce národní domény CZ.NIC nebo ICT Unie sdružující desítky technologických společností.
Žádné šmírování
NBÚ tvrdí, že je ZKB postaven na dvou zásadách. Jednou z nich je minimalizace zásahů do práv soukromých subjektů, což by mělo vyvrátit dřívější obavy skeptiků o tom, že stát bude chtít pomocí kybernetického zákonu „šmírovat“ firmy a jednotlivce. Těmto subjektům nicméně druhá zásada ukládá individuální zodpovědnost za bezpečnost jejich informačních systémů. Firmy jinými slovy budou zodpovědné za dění v jejich sítích a budou moci být trestány.
Digitální Česko 2.0: vláda chce rychlý a svobodný internet
Česká republika musí kybernetický bezpečnostní zákon přijmout a vytvořit nejenom kvůli ochraně sebe sama, ale také z důvodů závazků vůči mezinárodním společenstvím, kterých je členem, zejména tedy NATO a EU. „V rámci mezinárodní regulace tohoto fenoménu (kyberútoků) je vyvíjen na Českou republiku tlak, aby problematiku ochrany kybernetického prostoru řešila formou závazné právní regulace,“ zmiňuje NBÚ v doprovodné zprávě k návrhu zákona. „Vláda už tyto záležitosti musí brát vážně, protože to vyžaduje EU a NATO,“ souhlasí Jakub Jiříček ze společnosti Symantec.
NATO už ochranu kybernetického prostoru řeší delší dobu a EU se k podobným krokům začíná připojovat s návrhem směrnice, na základě které budou muset jednotlivé státy vytvořit centrální autoritu (v českém případě NBÚ a Národní centrum kybernetické bezpečnosti), monitorovat rizika, sjednocovat hlášení od soukromých subjektů a proti rizikům reagovat. Nutné bude i zajištění kvalitního technického vybavení pro tyto účely.
Kybernetická ochrana zemí EU a Česka by tak jinými slovy mohla dostat řád a standardy, které v současné době neexistují. „V oblasti veřejné správy neexistuje jednotný způsob stanovení bezpečnostních standardů, které by minimalizovaly potenciální škody vzniklé z kybernetických útoků,“ přiznává zpráva NBÚ.
Stav kybernetického ohrožení země
Zákon se má týkat zejména subjektů, které provozují významnou komunikační a IT infrastrukturu, jenž může být důležitá pro chod států. Tyto subjekty budou muset zavést bezpečnostní opatření a vše podrobně monitorovat a hlásit. Zákon pracuje s pojmy „bezpečnostní událost“ a „bezpečnostní incident“. Událostí se rozumí činnost, která může narušit bezpečnost informací a incident znamená přímé narušení.
NBÚ zřídil speciální komisi pro kybernetickou bezpečnost
Dohledovými centrálami má být národní tým CERT (CSIRT) pro soukromou akademickou sféru a vládní CERT pro státní instituce a kritickou infrastrukturu. Pokud tyto 2 týmy nebudou na případné kybernetické útoky stačit, může vláda vyhlásit stav kybernetického ohrožení. To bude v pravomoci premiéra, který tak může učinit na základě doporučení šéfa NBÚ.
NBÚ už letos v březnu zřídil speciální komisi, která může být narychlo svolána v případě, že jsou ohroženy nejenom státní instituce, ale také soukromé firmy.
Pokud návrh zákona o kybernetické ochraně projde, zřejmě bude nutné navýšit i rozpočet Národního centra kybernetické bezpečnosti. To v současné době ročně operuje se zhruba 60 miliony korun, což je podle odborníků na bezpečnost málo a nelze s tím zaplatit kvalitní lidi. „Je dobře, že zákon sjednocuje pohled na kybernetickou bezpečnost,“ říká pro Connect.cz Jakub Jiříček, „ale současný rozpočet NCKB je malý. Za ten se nekoupí nic.“ Podle jeho odhadů by byly potřeba alespoň „nižší stovky milionů korun“.
Zapojení soukromých firem nicméně může státu hodně pomoci, společnosti totiž útoky řeší sami a mají zkušenosti. „Firmy už mají zkušenosti a vypracované procesy, se kterými se mohou podělit,“ popisuje pro Connect.cz Mike Smart, který v Symantecu zastupuje několik evropských zemí a s kybernetickou legislativou má zkušenosti z Velké Británie. „Rozhodně by ale směrem k firmám nemělo jít o nátlakovou hru,“ varuje. „Když se někdo do něčeho nutí, udělá pouze nutné minimum a regulace mohou být i kontraproduktivní.“
EU tento týden zároveň prodloužila mandát agentuře ENISA, která v Evropě zajišťuje například kyberbezpečnostní cvičení, vypracovává analýzy a pomáhá s nastavením vládních CERT týmů.
