Zákon o kybernetické bezpečnosti platí od začátku letošního roku. Zavedením samostatné legislativní normy pro tuto oblast se Česká republika stala průkopníkem. Ve větší efektivitě však zákonu trochu paradoxně brání jiné právní předpisy. Konkrétně zákon o svobodném přístupu k informacím, známý pod označením 106. Vyplynulo to z konference Lidových novin s názvem Kybernetická bezpečnost, která se konala minulý týden.
Zákon 106 využívají pro získání informací občané i různé zájmové skupiny. Populární je třeba mezi návštěvníky motoristických webů, kteří od Policie ČR pravidelně vyžadují typy a registrační značky neoznačených policejních vozidel, aby na silnici věděli, na koho si dát pozor. Zveřejnění informací o používané verzi operačního systému, databáze či hardwaru však může mít závažnější důsledky než pár nevybraných pokut za rychlou jízdu.
Neutajovaný seznam
„V tuto chvíli proti zákonu 106 není obrany. Zjistili jsme, že to může být velké bezpečnostní riziko. Kdokoliv se totiž může zeptat na cokoliv. A co není utajovaná informace, to se po delší či kratší době k dotyčnému dostane,“ řekl šéf Národního centra kybernetické bezpečnosti Vladimír Rohel. Nejde přitom o příslovečné malování čerta na zeď. Takové případy jsou totiž stále častější.
V loňském roce například došel na téměř všechna ministerstva plošný dotaz, jaký používají resorty antivirus, operační systém a další podrobnosti. Celkem šlo o deset až patnáct poměrně úzce specifikovaných dotazů, na které by státní organizace měly podle „stošestky“ odpovědět. Je to velká nevýhoda. Komerční subjekty tuto povinnost nemají a zvídavému tazateli mohou bez skrupulí říct, že do toho, jaké informační technologie firma používá, mu nic není.
Samotný seznam prvků takzvané kritické informační infrastruktury, kterou zákon o kybernetické bezpečnosti a související vyhlášky stanovují, nutně utajovaný být nemusí |
Samotný seznam prvků takzvané kritické informační infrastruktury, kterou zákon o kybernetické bezpečnosti a související vyhlášky stanovují, nutně utajovaný být nemusí. Dovodit si, kdo je v jednotlivých oblastech významný a že pro správu dat používá nějaký informační systém, dokáže každý. Problémem jsou právě cílené dotazy a to, kam až může instituce zajít, aby nedala útočníkům „klíče od domu“.
„Dotazů přibývá a přibývat bude. Je to nedořešené téma, které podle nás může zásadně ovlivnit bezpečnost informačních systémů. Někdo si může poskládat velice dobrý obrázek o situaci a může se velice dobře připravit. Byli bychom rádi, kdyby se toto diskutovalo, především až se bude diskutovat novela stošestky,“ dodal Rohel.
Spolupráce se sousedy
Jak na konferenci upozornil výkonný ředitel internetového sdružení NIX. CZ Martin Semrád, takové problémy se pak nedotknou jen napadených systémů. V rámci komunikačního prostředí je totiž infrastruktura sdílená a dochází k překrývání rozhraní více systémů. Například DDoS útoky z roku 2013 se kromě bank, zpravodajských serverů Seznam.cz a dalších dočasně vyřazených portálů dotkly i řady jiných subjektů, o kterých už se tolik nemluvilo a o nichž původně ani Národní bezpečnostní úřad netušil, že by tím mohly být ovlivněny.
Podobně jako stavitelé musejí vhodně umisťovat únikové východy, aby nevedly do slepé uličky za domem, musejí i projektanti informačních systémů brát v úvahu své sousedy, se kterými musejí být v kontaktu a spolupracovat |
Počítačoví experti se přitom shodují, že zmíněný útok přitom nebyl z nejsilnějších. Ukázal však nebezpečné šetření a sdílení bezpečnostních a dalších prvků. Podobně jako stavitelé musejí vhodně umisťovat únikové východy, aby nevedly do slepé uličky za domem, musejí i projektanti informačních systémů brát v úvahu své sousedy, se kterými musejí být v kontaktu a spolupracovat.
„Kvůli tomu, že zde nebyly útoky, nebyla zde ani motivace k investicím do hranice vlastní sítě, a ta se tak stala do jisté míry zanedbanou. Útoky z roku 2013 řadu firem probudily a donutily hlídat si vlastní hranici. Operátoři by měli myslet na to, aby do ochrany vstupů do sítě dostatečně investovali. Aby se nestalo jako v roce 2013, že útok na konkrétní cíl poškodil i někoho jiného,“ uvedl Semrád.
