Národní strategie kybernetické bezpečnosti České republiky na období let 2015-2020 je jedním z velmi důležitých bezpečnostních dokumentů, jehož důležitost ještě dále poroste. Strategie doplňuje dokumenty v podstatě v konvenční oblasti bezpečnosti až od roku 2012. V Bezpečnostní strategii ČR se hrozba kybernetických útoků objevila až v roce 2011, kdy byla aktualizována Bezpečnostní strategie z roku 2003 (Ministerstvo zahraničních věcí České republiky: 2011; Ministerstvo zahraničních věcí České republiky: 2015; Národní centrum kybernetické bezpečnosti: 2012).
Strategie obsahuje vize, kterých chce Česká republika dosáhnout při dodržování principů, které si stanovila pro vykonávání kybernetické bezpečnosti[1]. Výzvy jsou ve strategii stanoveny jak pro Českou republiku, tak i pro mezinárodní prostředí, protože kybernetická bezpečnost není dělitelná. Česká republika chce přitom dosáhnout hlavních cílů uvedených ve strategii do pěti let. Komplementárním dokumentem ke strategii je také Akční plán, který stanovuje časové rozmezí plnění konkrétních úkolů (Národní centrum kybernetické bezpečnosti: 2015a).
Klíčové body a cíle
Jedním z hlavních cílů Národní strategie je vytvořit efektivní model spolupráce na národní úrovni mezi jednotlivými subjekty kybernetické bezpečnosti (CERT[2], CSIRT[3]), subjekty kritické informační infrastruktury (KII), čehož mělo být podle Akčního plánu (Národní centrum kybernetické bezpečnosti: 2015b) dosaženo již v roce 2015. Myslím si, že mezirezortní komunikace a komunikace mezi soukromým bezpečnostním sektorem a státním odvětvím bezpečnosti by se do budoucna měla začít zlepšovat a vyvíjet průběžně, neměla by být brána jen jako dosažený bod v určitém čase. Komunikace a sdílení informací všeobecně je důležitou složkou kybernetické obrany jak už vnitrostátně, tak i mezinárodně. Včasná informace o hrozbě, dopadu útoku nebo odraženém útoku je v ohledu na KII nebo významné informační systémy (VIS) kritickou informací, kterou je třeba sdílet rychle.
Další formou komunikace je také účast a organizace mezinárodních cvičení v oblasti kybernetické bezpečnosti. Jedná se o jeden z prostředků budování důvěry a spolupráce s ostatními státy v této oblasti. Česká republika byla celkem úspěšná ve většině mezinárodních cvičení. Na základě Národní strategie se v roce 2015 konalo české cvičení kybernetické bezpečnosti a v roce 2016 proběhlo další. Tímto strategie plní také vytyčenou potřebu dalšího vzdělávání odborníků a pracovníků bezpečnostních složek zabývajících se kyberprostorem.
Informovanost veřejnosti je taktéž jedním z bodů uvedených v hlavních cílech Národní strategie. Myslím si, že se NBÚ daří tento bod naplňovat například formou konferencí CyberCon. Zároveň do CyberConu byli zapojeni studenti, kteří se kybernetickou bezpečností výzkumně zabývají, a tím se daří plnit další bod Národní strategie, a to vzdělávání studentů společně s veřejností a odborníky (Národní centrum kybernetické bezpečnosti: 2015c). NBÚ také pořádá každoroční semináře, kdy informuje veřejnost například o právních úpravách, novinkách z činnosti NCKB (Národní centrum kybernetické bezpečnosti: 2016a) … Na stránkách NCKB se nalézá také seznam vysokoškolských oborů z oblasti kybernetické bezpečnosti, čímž je splněn jeden z úkolů vypsaných v Akčním plánu, a to „modernizace stávajících vzdělávacích programů na základní a středoškolské úrovni“ (Národní centrum kybernetické bezpečnosti: 2016b). Nejsem si jistá, jestli vzdělání na základních a středních školách v informačních technologiích je dostačující pro vytyčené cíle, jelikož obsahuje pouze základy chování na internetu, zabezpečení počítače. Taktéž často vyučující mylně předpokládají, že určitou kybernetickou hygienu znají všichni jako základ, který již více výukou nerozvíjejí. Tento mylný předpoklad přináší odpovídající následky. Pro vyšší zájem studentů o studium kybernetické bezpečnosti by podle mě mělo dojít ke změně učebních plánů pro střední školy , kde by problematika byla probírána do větší hloubky. Pro druhý stupeň základní školy by mělo být povinné učit základy pohybu na internetu a zabezpečení počítače.
Právní rámec
Zásadní význam pro rozvoj problematiky kybernetické bezpečnosti má také průběžná právní úprava a aktualizace zákonů pro kybernetickou bezpečnost. Například v roce 2015 vláda schválila 45 prvků KII (Národní centrum kybernetické bezpečnosti: 2015d). V červenci 2016 NBÚ vypracoval návrh zákona o kybernetické bezpečnosti, který má do českého právního řádu transponovat směrnici Evropského parlamentu a Rady EU 2016/1148 (Národní centrum kybernetické bezpečnosti: 2016c). Vedle právní úpravy jsou pro Českou republiku důležité i smlouvy, které má podepsané například s NATO nebo EU. Česká republika v roce 2015 podepsala nové Memorandum o porozumění s NATO, v němž je zmiňována právě spolupráce v oblasti kybernetické obrany mezi NATO a Českou republikou (Národní centrum kybernetické bezpečnosti: 2015e). Právě na summitu ve Varšavě v červenci 2016 NATO uznalo kyberprostor jako další doménu pro operace, ve které se NATO musí umět efektivně bránit stejně jako s kinetickými prostředky (NATO: 2016). Ve společném prohlášení EU a NATO ze summitu ve Varšavě z července tohoto roku je zakomponováno zvýšení schopnosti čelit hybridním hrozbám, spolupráce na analýze, prevence, sdílení informací. Klíčovým bodem je rozšíření spolupráce v kybernetické bezpečnosti a obraně pokrývající mise, operace, spolupráci, cvičení a také vzdělávání (EU-NATO: 2016). Současně se spolupráce vyvíjí i v soukromém sektoru, jako příklad bych uvedla smlouvu se společností Microsoft o sdílení a výměně informací (Národní centrum kybernetické bezpečnosti: 2015f). NBÚ také uzavřel dohodu o spolupráci i se společností CISCO v oblasti kybernetické bezpečnosti. Spolupráci má NCKB navázanou i s jinými firmami ze soukromého sektoru (Národní centrum kybernetické bezpečnosti: 2016d).
Co chybí a jak dál?
Jako mezeru v zabezpečení informací v soukromé sféře bych započítala nedostatečné zabezpečení e-mailů vládních činitelů, přičemž narážím na kauzu napadení soukromé e-mailové schránky premiéra Bohuslava Sobotky hackery. Myslím si, že by nejen vládní e-maily, ale také i soukromé e-maily důležitých vládních a bezpečnostních činitelů měly být dostatečně chráněny. Popřípadě by se mělo vydat určité bezpečnostní nařízení ohledně vlastnictví soukromé e-mailové schránky (White-Media: 2015).
Myslím si, že současnou strategii není možné naplnit na 100 %, a to z důvodu chybějících odborníků na kybernetickou bezpečnost. Kvůli tomu bude složité například personálně posílit policejní pracoviště informační kriminality. Nedostatek odborníků na tuto oblast bezpečnosti je podle mého názoru způsoben pozdější implementací kybernetické bezpečnosti do strategických dokumentů ČR. S tímto také souvisí nutnost revize stávajících studijních programů ve školství. V právní oblasti, v oblasti spolupráce a v technické rovině se podle mě strategii naplnit podaří. Ochrana národní KII a VIS je každodenním problémem a zájmem České republiky, takže bych o naplnění tohoto cíle nemluvila, spíše bych po skončení pětiletého období zhodnotila, jestli se podařilo ochránit KII a VIS.
Poznámky
[1] Jedná se o informatickou bezpečnost – zabezpečení informací, informačních toků v kyberprostoru. Na uživatelské úrovni to znamená využívat antivirus, firewall a mnohé jiné zabezpečující prostředky, společně s bezpečným chováním na internetu. Na státní úrovni se vyvíjí neustálá aktivita při vyvíjení/opravování zabezpečovacích protokolů a také se testují schopnosti odezvy, popřípadě aktivní obrany.
[2] Computer Emergency Response Team
[3] Computer Security Incident Response Team
Zdroje
EU-NATO (2016): JOINT DECLARATION BY THE PRESIDENT OF THE EUROPEAN COUNCIL, THE PRESIDENT OF THE EUROPEAN COMMISSION, AND THE SECRETARY GENERAL OF THE NORTH ATLANTIC TREATY ORGANIZATION. Warsaw.
Ministerstvo zahraničních věcí České republiky (2011): Bezpečnostní strategie České republiky 2011. Praha.
Ministerstvo zahraničních věcí České republiky (2015): Bezpečnostní strategie České republiky 2015. Praha.
Národní centrum kybernetické bezpečnosti (2012): Strategie/Akční plán. In: Národní centrum kybernetické bezpečnosti [online]. [cit. 11. 10. 2016]. Dostupné z: https://www.govcert.cz/cs/informacni-servis/strategie-a-akcni-plan/
Národní centrum kybernetické bezpečnosti (2015a): Národní strategie kybernetické bezpečnosti.
Národní centrum kybernetické bezpečnosti (2015b): Akční plán k národní strategii.
Národní centrum kybernetické bezpečnosti (2015c): CYBERCON BRNO 2015. In: Národní centrum kybernetické bezpečnosti [online]. 1. 6. 2015 [cit. 11. 10. 2016]. Dostupné z: https://www.govcert.cz/cs/informacni-servis/akce-a-udalosti/cybercon-brno-2015/
Národní centrum kybernetické bezpečnosti (2015d): VLÁDA 25. KVĚTNA 2015 SCHVÁLILA PRVNÍCH 45 PRVKŮ KRITICKÉ INFORMAČNÍ INFRASTRUKTURY. In: Národní centrum kybernetické bezpečnosti [online]. 5. 6. 2015 [cit. 11. 10. 2016]. Dostupné z: https://www.govcert.cz/cs/informacni-servis/akce-a-udalosti/vlada-25-kvetna-2015-schvalila-prvnich-45-prvku-kriticke-informacni-infrastruktury/
Národní centrum kybernetické bezpečnosti (2015e): ČESKÁ REPUBLIKA JAKO PRVNÍ PODEPSALA NOVÉ MEMORANDUM O POROZUMĚNÍ S NATO. In: Národní centrum kybernetické bezpečnosti [online]. 12. 10. 2015 [cit. 11. 10. 2016]. Dosutpné z: https://www.govcert.cz/cs/informacni-servis/akce-a-udalosti/ceska-republika-jako-prvni-podepsala-nove-memorandum-o-porozumeni-s-nato/
Národní centrum kybernetické bezpečnosti (2015f): NBÚ A MICROSOFT PODEPSALY VÝZNAMNOU SMLOUVU O SDÍLENÍ A VÝMĚNĚ INFORMACÍ. In: Národní centrum kybernetické bezpečnosti [online]. 8. 4. 2015 [cit. 11. 10. 2016]. Dostupné z: https://www.govcert.cz/cs/informacni-servis/akce-a-udalosti/nbu-a-microsoft-podepsaly-vyznamnou-smlouvu-o-sdileni-a-vymene-informaci/
Národní centrum kybernetické bezpečnosti (2016a): SEMINÁŘ K ZÁKONU O KYBERNETICKÉ BEZPEČNOSTI 2016. In: Národní centrum kybernetické bezpečnosti [online]. 23. 9. 2016 [cit. 11. 10. 2016]. Dostupné z: https://www.govcert.cz/cs/informacni-servis/akce-a-udalosti/seminar-k-zakonu-o-kyberneticke-bezpecnosti-2016/
Národní centrum kybernetické bezpečnosti (2016b): VŠ OBORY V OBLASTI KYBER BEZPEČNOSTI. In: Národní centrum kybernetické bezpečnosti [online]. 3. 6. 2016 [cit. 11. 10. 2016]. Dostupné z: https://www.govcert.cz/cs/vzdelavani/prehled-vs-oboru-vyucujicich-kb/
Národní centrum kybernetické bezpečnosti (2016c): NÁVRH NA ZMĚNU ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI – TRANSPOZICE SMĚRNICE NIS. In: Národní centrum kybernetické bezpečnosti [online]. 21. 7. 2016 [cit. 11. 10. 2016]. Dostupné z: https://www.govcert.cz/cs/informacni-servis/akce-a-udalosti/navrh-na-zmenu-zakona-o-kyberneticke-bezpecnosti—transpozice-smernice-nis/
Národní centrum kybernetické bezpečnosti (2016d): NBÚ A CISCO UZAVŘELY DOHODU
O SPOLUPRÁCI V OBLASTI KYBERNETICKÉ BEZPEČNOSTI. In: Národní centrum kybernetické bezpečnosti [online]. 2. 2. 2016 [cit. 11. 10. 2016]. Dostupné z: https://www.govcert.cz/cs/informacni-servis/akce-a-udalosti/nbu-a-cisco-uzavrely-dohodu-o-spolupraci-vnoblasti-kyberneticke-bezpecnosti/
NATO (2016): Cyber Defence. In: NATO [online]. 27 Jul. 2016 [cit. 6. 11. 2016]. Dostupné z: http://www.nato.int/cps/en/natohq/topics_78170.htm
White-Media (2015): Sobotka – 3. balík Emailů. In: Nacionální hackeři [online]. [cit. 11. 10. 2016]. Dostupné z: http://www.white-media.info/hax.html