Vnitro vytvořilo novelu azylového zákona. Uchazeči, kteří spáchají zločin, na něj nebudou mít nárok Zdroj: @platforma_kybez / Twitter
Podle Ministerstva vnitra nemusí dodatečné náklady na přísnější zabezpečení resortu proti kybernetickým útokům odpovídat následkům, které by kybernetický útok mohl způsobit. I z důvodu, že požadavek z usnesení vlády z roku 2018 nebyl doprovázen adekvátní finanční injekcí na tuto implementaci, Ministerstvo vnitra v čele s Janem Hamáčkem v červencové předkládací zprávě přísnější zabezpečení odmítlo. O situaci informoval veřejnoprávní server iRozhlas.
V usnesení vlády ČR ze dne 18. dubna 2018 se mimo jiné členům vlády a vedoucímu Úřadu vlády ukládá, aby informační a komunikační technologie využívané jimi řízenými ústředními správními úřady zabezpečili podle vyhlášky o kybernetické bezpečnosti alespoň na stejnou úroveň, která je touto vyhláškou stanovena pro významné informační systémy.
V předkládací zprávě Ministerstva vnitra zveřejněné serverem iRozhlas však Ministerstvo vnitra navrhuje zrušení celé ukládací části předmětného usnesení vlády. Mimo jiné proto, že „zabezpečení informačních a komunikačních technologií na stejnou úroveň, která je stanovena pro významné informační systémy, představuje významnou finanční zátěž, která nemusí odpovídat možným následkům, k jejichž vzniku by mohlo v důsledku kybernetického útoku na tyto systémy dojít.“
Ve výsledku pak podle zprávy mohou požadovaná opatření naopak i snížit celkovou bezpečnost a zahltit pracovníky odpovědné za kybernetickou bezpečnost „významným nárůstem byrokracie a nemožnosti věnovat se skutečně důležitým systémům, které reálně pracují s informacemi, které má smysl chránit“.
Dodatečné náklady na prevenci versus náklady na eliminaci škod
Na základě předchozích zkušeností lze podle vnitra dodatečné náklady na naplnění usnesení odhadnout řádově na stovky milionů korun, resp. jednotky miliard korun. Subjekty ale nejsou schopny za stávajícího stavu stanoveným povinnostem dostát, protože „požadavek na zvyšování kybernetické bezpečnosti nebyl doprovázen odpovídajícím finančním rozhodnutím o navýšení finančních prostředků na implementaci technických opatření v rámci jednotlivých resortů“.
Ondřej Krátoška z tiskového oboru ministerstva pak pro iRozhlas uvedl, že: „Celková částka, na kterou byly odhadnuty náklady eliminace případných kybernetických útoků na všechny informační systémy ministerstva vnitra, se pohybuje v rozmezí 850 milionů až dvou miliard Kč.“
Na žádost redaktora veřejnoprávního rozhlasu, který chtěl znát metodu kalkulace dodatečných nákladů na prevenci proti kybernetickým rizikům a nákladů na eliminaci škod v co nejpodrobnějším vyčíslení ministerstva reagoval úřad negativně s tím, že „poskytnutí požadovaných informací by mohlo ohrozit zajišťování kybernetické bezpečnosti. Je tomu tak především proto, že z požadovaných vyčíslení by bylo možné si tyto následky ve vztahu k jednotlivým informačním systémům porovnat, a učinit si úsudek o významu, kritičnosti a důležitosti jednotlivých informačních a komunikačních systémů v gesci Ministerstva vnitra. Uvedené informace by bylo možné použít k lepšímu zacílení kybernetického útoku a způsobení závažnějších následků takového útoku a jejich poskytnutím by tedy vzniklo riziko, resp. by se zvýšilo riziko takových útoků.“
Obavy z ohrožení kybernetické bezpečnosti nejsou namístě
Možné obavy z ohrožení kybernetické a informační bezpečnosti nicméně podle ministerstva nejsou namístě, „neboť u důležitých systémů bude zajištěna jejich ochrana z toho titulu, že se buď jedná o systém kritické informační infrastruktury, nebo jde o významné informační systémy, případně o tzv. základní službu, jejichž ochrana je již dnes zabezpečována v souladu s požadavky zákona o kybernetické bezpečnosti a na něj navazujícími prováděcími právními předpisy“.
Mluvčí Národního úřadu pro kybernetickou bezpečnost (NÚKIB) pro iRozhlas uvedl, že je těžké říci, jaké škody by mohl potenciální kybernetický útok způsobit. Je to podle něj potřeba vztahovat ke konkrétním událostem a situacím. Zaleží třeba na tom, jestli by hackeři vyřadili systém z provozu, kradli z něj data, nebo se informace snažili nepozorovaně změnit. A vliv by měla i délka útoku.
Na názor jsme se zeptali odborníka
Svůj názor naší redakci poskytl ICT analytik Centra kyberbezpečnosti Luděk Sefzig:
„Kalkulovat budoucí náklady na bezpečnost informačních a komunikačních systémů Ministerstva vnitra je samozřejmě namístě. Tým pana vicepremiéra Hamáčka ale dělá zásadní chybu v tom, že srovnává budoucí teoretické náklady s náklady na sanace případných škod způsobených průniky do systémů na základě současných nákladů a odhadů.
V Centru kyberbezpečnosti dlouhodobě sledujeme, že způsoby útoků jsou stále sofistikovanější. V případě poklesu investic do rozvoje zabezpečení proto začne výše škod v budoucnosti významně narůstat.
Nejprve půjde o masivní úniky chráněných dat, později například vyřazení klíčových systémů z provozu, nedohledatelné změny v registrech, plošný nárůst kyberkriminality apod.
Ministerstva vnitra a obrany by měla být naopak příkladnými institucemi a vzory pro zbytek veřejného sektoru. Pokud tomu tak nebude, je možné, že naše osobní údaje budou stále více unikat z veřejných institucí a lidé k nim ztratí důvěru.
Druhá část je samotné stanovení výše nákladů na rozvoj ICT bezpečnosti. V této oblasti platí, že vždy existují alternativy a i bezpečnost je škálovatelná. Jistě existují levnější i dražší možnosti, záleží na stanovení efektivního rozložení. Například můžete budovat velké datové centrum za stamiliony korun, které vám časem zastará. Nebo se rozhodnete jít cestou nějakého důvěryhodného poskytovatele služby. To platí i ve státní správě. Ceny budou ovlivňovat samotná výběrová řízení a kvalita zadávacích dokumentací. Odhad pana Hamáčka proto může být jen výkřikem pro obhajobu potřebného snížení výdajů ministerstva.“
