Autor fotografie: foto: Pixabay
Prověřování dodavatelů technologických prvků do části kritické infrastruktury a implementace evropské směrnice NIS2 přinese mnoho povinností i mnoha dalším společnostem, na které se doposud zákon o kyberbezpečnosti nevztahoval.
V červnu 2022 uložila Bezpečnostní rada státu Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) připravit návrh zákona, který by zavedl mechanismus prověřování dodavatelů technologických prvků do části strategické infrastruktury České republiky. Cílem zákona je eliminovat rizikové dodavateledo nejvýznamnější části kritické infrastruktury a významných informačních systémů, regulovaných zákonem o kybernetické bezpečnosti.
Návrh zákona předpokládá, že základem pro vyhodnocování rizik budou informace, poskytnuté o dodavatelích jednotlivými správci systémů. Ty se spojí s dalšími informacemi, které bude mít NÚKIB ze spolupráce s ministerstvy, zpravodajskými službami, dalšími státními orgány a zahraničními partnery. Z nich pak vyvodí případnou existenci a závažnost hrozby pro národní bezpečnost nebo veřejný pořádek,zejména s ohledem na možnou špionáž, narušení dostupnosti služeb apod.
Návrh zákona nepředpokládá aktivní činnost prověřování všech dodavatelů, ale pouze těch, u kterých bude předpoklad výskytu bezpečnostního rizika v souvislosti s aktuální bezpečnostní situací. NÚKIB tvrdí, že připravovaná implementace evropské směrnice NIS2, která výrazně rozšiřuje počet společností spadajících pod zákon o kybernetické bezpečnosti, nijak nezmění rozsah prověřovaných dodavatelů.
Ambice zákona jsou velké a zajištění kyberbezpečnosti je důležitým úkolem nejen pro bezpečnostní složky státu. Existuje několik rizik, které však mohou úspěšnost tohoto významného a potřebného projektu ohrozit.
Implementace evropské směrnice NIS2 se bude týkat více jak 6000 dalších společností, které mají doposud jen velmi malou zkušenost s požadavky zákona o kybernetické bezpečnosti. Některých společností se to bude dotýkat proto, že jsou subdodavatelé společností, které patří do důležitější kategorie „Essential“ (podle směrnice NIS2 té významnější). A to i v odvětvích, kde se doposud striktní pravidla zákonem nevymáhala, například v odpadním průmyslu, vodárenství, potravinářství nebo chemickém průmyslu.
Na tyto společnosti dopadnou požadavky na zajištění bezpečnosti dodavatelských řetězců, zálohování, zotavení po případném incidentu, bezpečnosti v rámci pořízení, vývoje a údržby systémů apod. Všechny tyto zákonem stanovené úkoly se budou odvíjet od bezpečného dodavatele.
S tím souvisí další riziko. Teoreticky můžeme stanovit, který dodavatel je potencionálně rizikový, například vzhledem k zemi, odkud pochází. Jenže to vlastně zase až tak moc neznamená. Nedostatek čipů, způsobený kovidovou epidemií a incidentem v Suezském průplavu,způsobil velké problémy v ekonomikách na celém světě. A nejsou žádné poznatky o tom, že by se snad jednalo o úmyslně vyvolané problémy nebo test, co světové ekonomiky vydrží. Dodavatel může být v pořádku, subdodavatelé taky, a přesto jedna součástka, nebo dokonce jen materiál k její výrobě může být tím zásadním bezpečnostním rizikem. A například drahé kovy či další suroviny, nezbytné pro výrobu základních komponentů pro výpočetní techniku, pochází v mnoha případech z destinací, které jsou bezpečnostně nevyhovující.
Softwarové firmy jsou typickým příkladem home-officových, rozsáhlých společností se zaměstnanci rozprostřenými po celém světě. V případě kvalifikovaných protivníků, hlavně zpravodajských služeb cizí moci, se dá předpokládat, že již v tuto dobu provádí infiltraci těchto společností pro případné budoucí využití. Koneckonců případ Snowden, dnes ruský státní příslušník, je znám po celém světě.
Zajištění kyberbezpečnosti je skutečnou výzvou. V kyberbezpečnosti se prostřednictvím chystaného zákona zaměřujeme jen na určitou část tohoto prostoru. To je do budoucnosti neudržitelné. S rozvojem internetu věcí, chytrých měst, umělé inteligence, autonomních systémů apod. se totiž možnosti, jak ohrozit národní bezpečnost nebo vnitřní pořádek výrazně zvyšují. A proto bude nutné bezpečnost zajistit ve všech oblastech lidského života. S rozvojem informačních a komunikačních technologií se totiž kriminalita a obecně ohrožení přesunuje z reálného světa do kyberprostoru. To s sebou ponese další požadavky na kvalitu bezpečnostních složek.
NÚKIB se stává nedílnou součástí bezpečnostní komunity. Bude muset vytvořit silné analytické pracoviště a přimět zejména zpravodajské služby, aby mu pro jeho analýzy poskytly potřebné „surové“ informace. A to je bezpochyby další velká výzva. Možná jeden z prvních zásadních úkolů pro nově připravovaného poradce pro národní bezpečnost.
Autor: Martin Svoboda