Kybernetická bezpečnost. Máme se cítit ohroženi?

14. září 2011   Autor :  Jaroslav Salivar

Proč je kybernetická bezpečnost tak důležitá? Jak se bránit kybernetickým útokům? A jak je na kybernetické hrozby připravena Česká republika?

Kyberprostor se dnes nachází již prakticky všude kolem nás a dennodenně ovlivňuje naše životy. I ti, kteří informační a komunikační technologie nevyužívají (nebo jen minimálně), jsou na nich závislí. S růstem elektronizace naší společnosti, usnadňováním si životů prostřednictvím informačních a komunikačních technologií však roste i riziko útoku na tento „kybersvět“ a stále větších škod, včetně ztrát na životech, v případě zdařilého útoku.

Vzhledem k těmto hrozbám vkládají státy, mezinárodní organizace, ale i soukromé subjekty a odborná sdružení nemalé úsilí a prostředky do zajištění kybernetické bezpečnosti. Základem kybernetické bezpečnosti je vzájemně provázaný soubor opatření v následujících oblastech:
— účinná obrana – pravidla bezpečnosti, pracoviště schopná reagovat na bezpečnostní incidenty (tzv. CERT – Computer Emergency Response Team), ochrana informací a dat;
— odpovědnost a spolupráce mezi státní a nestátní sférou, tak i na poli mezinárodním;
— odpovídající právní prostředí;
— osvěta – maximálně dostupné informace jak rizikům předcházet, jak reagovat v případě útoku, na koho se obrátit s podezřením na možný útok či při řešení problémů atd.;
— přiměřenost – přijímaná opatření musí v maximální míře šetřit práva a svobody.

Školy suplovaly (a znovu suplují) nefunkční vládu

Tato rizika si velmi dobře uvědomují už i mnohé státy, které již řadu let činí konkrétní kroky k eliminaci těchto hrozeb. V ČR můžeme vnímat první vážnější snahy o řešení problematiky kybernetické bezpečnosti od roku 2000. Průběžně vznikaly nejrůznější koncepce a strategie, které se však primárně věnovaly informační kriminalitě a informační bezpečnosti.

Teprve Akční plán plnění opatření Národní strategie informační bezpečnosti ČR z roku 2007 stanovil komplex provázaných konkrétních opatření k naplňování kybernetické bezpečnosti včetně vybudování pracoviště typu CERT s národní gescí.

Týmy odborníků na řešení bezpečnostních hrozeb v počítačových sítích proto dlouho vznikaly především mimo státní sektor (tzv. týmy CSIRT), zejména na akademické půdě. Od září 2008 operuje bezpečnostní tým CZ.NIC-CSIRT, který je zodpovědný mj. za řešení incidentů dotýkajících se nameserverů pro doménu.cz.

Na vládní úrovni začalo tedy vrcholové pracoviště vznikat až v rámci Bezpečnostního výzkumu Ministerstva vnitra pro roky 2007–2010. Úkolem bylo pověřeno sdružení CESNET. Pád vlády v roce 2009 a následné střídání ministrů vnitra, kteří dostatečně tuto problematiku nepodporovali, však bohužel vedly ke zbrzdění nadějně nastartovaného procesu. Zatímco na akademické půdě se rozvíjela a vznikala nová pracoviště a na Ministerstvu obrany byl vybudován vlastní bezpečnostní tým CIRC MO, na Ministerstvu vnitra se práce na vybudování vrcholového vládního pracoviště typu CERT zastavily. Česko je tak dnes vedle Kypru jedinou zemí EU, která takovým pracovištěm nedisponuje.

Nová Strategie: pozdě, ale přece?

Nejnovějším počinem vlády ČR v oblasti kybernetické bezpečnosti je Strategie pro oblast kybernetické bezpečnosti České republiky na období 2011–2015, předložená ministrem vnitra a schválená vládou v červenci 2011. Strategie je doprovázena Akčním plánem, který obsahuje 35 konkrétních úkolů rozdělených do 7 oblastí. Jedním z předních úkolů Strategie je pak i vybudování vládního pracoviště CERT (govCERT.cz) s kompetencemi koordinovat činnost při stanovení prevence, detekce a reakce na kybernetické útoky v ČR, a to od ledna 2012.

I když tato Strategie obsahuje důležité úkoly a je ve svých cílech poměrně ambiciózní, jejím problémem je, že přišla pozdě Navíc úkoly, které si ukládá, jsou vzhledem k odbornému, personálnímu a finančnímu zajištění této problematiky v ČR nereálné a někdy i nelogické. V posledních týdnech se v zákulisí mluví o tom, že problematika kybernetické bezpečnosti by měla přejít z Ministerstva vnitra na jiný úřad, nejčastěji se mluví o Národním bezpečnostním úřadu. Věřme, že vláda začala konečně brát tuto problematiku vážně.

Širší verzi tohoto článku a více podrobností k jednotlivým bodům naleznete v analýzách na www.cicar.cz.