Právě proběhlá konference, zaměřená na bezpečnost ICT, která proběhla v Praze dne 23. 2. 2017 ve srovnání s předešlými ročníky, přinesla mnoho nového. Zejména v oblasti kybernetické bezpečnosti českého státu.
Celkově lze zhodnotit, že se vládě a zákonodárcům ČR podařilo rozhýbat obor, který měl mít svou jistou míru dynamiky vývoje již před několika lety. Optimismem však je, že se tak stalo alespoň v dnešní době a díky tomu se pravděpodobně i podaří do několika let dohnat stav, který již ve vyspělém světě je dávno standardem.
Impuls k nastartování vývoje v ČR přišel překvapivě nikoli v souvislosti s nedávnými kybernetickými útoky na státní instituce, kde stále ještě probíhá vyšetřování, ale od Evropské Unie, která vydala opatření obecné povahy, zajišťující standardy pro ochranu osobních údajů obyvatel od 25. 8. 2018 - GDPR (General Data Protection Regulation). Dopad tohoto opatření směruje ke státní správě a samosprávě – tedy všem veřejným institucím. Tyto subjekty budou muset povinně zřídit minimální bezpečnostní standardy na ochranu svých dat proti zneužití, nebo odcizení a nastavit tak účinnou ochranu nejen kybernetické infrastruktury, ale i datových úložišť a sběrných míst.
Za účelem vytvoření prováděcích technických opatření a implementace zahraničních norem v kybernetické bezpečnosti vláda ČR zřídila odbornou skupinu WP29, která se zabývá detailně dalšími prováděcími předpisy. Ve svém důsledku tedy vláda postupuje logicky a je zde znát, že téma kybernetické bezpečnosti neberou naši politici a zákonodárci na lehkou váhu. Jakmile se podaří všechny legislativní a regulatorní aktivity uvést do praxe, vyskytne se zde prostor pro mnoho komerčních subjektů, které budou schopny reagovat na poptávku po naplnění těchto norem ze strany povinných institucí. V dlouhodobém hledisku bude tento krok směřovat k výchově nových odborníků na kybernetickou bezpečnost na straně komerčních poskytovatelů těchto služeb a ve svém důsledku exponenciální zlepšování připravenosti naší země na kybernetické hrozby.
Opatření má však i další úhly pohledu. Míří na státní subjekty, a tedy analogicky k obecné bezpečnosti by se dala tato snaha zařadit do kategorie ochrany tzv. ,,tvrdých cílů,, tedy cílů státní moci. Stejně jako v obecné bezpečnosti, známe všichni i cíle tzv. ,,měkké,, které se takto dají chápat i v kybernetickém prostoru. Jsou to cíle, které patří do komerční sféry a nastavení bezpečnostních principů a standardů je tak pro tyto subjekty pouze a jen na jejich úvaze, přesto, že přicházejí do styku se stejně citlivými daty, jako státní instituce. S trochou nadsázky by se dalo konstatovat, že opatření je tedy polovičaté a to tím, že řeší pouze rizika na státním sektoru a komerční kybernetický prostor ponechává bez kontroly.
Situace je však taková, že i v soukromých subjektech opatření v prováděcích předpisech určuje, kdo je a kdo již není začleněn do tzv. ,,kritické infrastruktury,,. Například tedy bankovní instituce v ČR je zařazena do tohoto systému a musí tedy plnit tato nová opatření, mimo těch již existujících na zabezpečení finančních toků. Oproti tomu E-shopy, Soukromé kliniky, soukromé vysoké školy, atd. tyto standardy plnit nemusí, přestože přicházejí do styku s podobně citlivými údaji o občanech, jako zmíněné státní instituce nebo banky.
Vývoj tedy směřuje k dělení státního a soukromého sektoru i ve střednědobém časovém horizontu několika dalších let, nicméně mnohem více, než na poli komerční obecné bezpečnosti zde dochází k precedentnímu stavu, kdy stát začíná spolupracovat se soukromými subjekty na spoluutváření bezpečného prostředí v kyberprostoru. Na základě této nově budované spolupráce, na jejímž hodnocení můžeme uvažovat až po několika letech, by bylo dobré udělat i další krok a tím by bylo navázání spolupráce s komerčními subjekty při zabezpečování našeho životního prostoru. Snad i k tomuto kroku, který není nutně navázán na kyberbezpečnost dojde v brzké době.
Autor: David Rožek
Tagy