Správa pražského hradu 20. prosince 2023 v Registru smluv zveřejnila smlouvu s názvem „Smlouva o poskytování služeb manažera kybernetické bezpečnosti“. Smlouvu podepsala se společností People&Job. Cena za roční služby pak činní zhruba 1,2 milionu korun bez DPH.
Podle zveřejněné smlouvy má společnost mimo jiné řídit rizika spojená s kybernetickou bezpečností, analyzovat informační rizika, řídit program analýzy a řízení rizik informační bezpečnosti či pravidelně vyhodnocovat vhodnost a účinnost bezpečnostních opatření.
Bez informací, jak čelit hrozbám
Po zveřejnění veřejné zakázky Správa pražského hradu v odpovědích na dotazy iDNES.cz přiznala, že v současné době neexistuje žádné schéma, ani hodnocení rizik kybernetické bezpečnosti.
„Neexistuje ani funkční výbor kybernetické bezpečnosti, stejně tak nejsou k dispozici interní ani externí audity kybernetické bezpečnosti,“ stálo dále v odpovědi s tím, že Hrad nemá nyní ani zpracované žádné politiky neboli dokument, který určuje, jak hodlá čelit rizikům pro bezpečnost svých informací.
Mluvčí prezidentovy kanceláře Vít Kolář pro iDNES.cz řekl, že ucelené interní směrnice týkající se bezpečnosti vznikají nyní pod vedením nové manažerky. „Bohužel žádné ucelené dokumenty týkající se kyberbezpečnosti a odpovídající standardům za minulého vedení KPR nebyly. Musí vše vzniknout nově,“ doplnil Kolář.
Prezidentova kancelář podle něj následuje doporučení Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a vychází z jeho standardů. „Analytické dokumenty hodnotící rizika KPR má, ale jsou neveřejné,“ podotkl s tím, že o tom, jak minulé vedení KPR řešilo kybernetickou bezpečnost, nemá informace.
„Není s čím srovnávat“
„KPR vytváří opatření nově, stejně jako zřídila pozici specialisty kybernetické bezpečnosti. Není možné hodnotit, jak byla zajištěna bezpečnost za předchozího vedení KPR, protože není s čím srovnávat,“ dodal Kolář.
Redakce iDNES.cz oslovila i bývalého hradního kancléře Vratislava Mynáře. Ten však dosud na dotazy nereagoval. Bývalý ředitel Správy pražského hradu Jan Novák v sobotu po vydání článku redakci iDNES.cz však odmítl, že by za dob Zemana nebyla řešena kyberbezpečnost.
Problematiku v uplynulých letech podle jeho slov standardně zajišťoval odbor informačních technologií Správy Pražského hradu, ne soukromá externí firma. „Do zajištění kybernetické bezpečnosti byly na Hradě investovány nemalé prostředky a většina zúčastněných pracovníků zde i nadále působí,“ uvedl Novák.
Správa Hradu podle něj komunikovala s NÚKIB. „Probíhaly penetrační testy, stejně tak školení pracovníků KPR a SPH v oblasti rizik a reakcí na ně,“ dodal Novák.
V loňském roce přicházely podle NÚKIB kyberútoky „ve vlnách“. Útokům čelily firmy, instituce či obyčejní lidé. Především šlo o důmyslné DDoS útoky, ale i podvody, jejichž cílem bylo vylákat z lidí peníze.
Národní úřad pro kybernetickou a informační bezpečnost průběžně o útocích informuje každý měsíc. Od loňského ledna zaznamenal asi 215 incidentů.
V říjnu úřad evidoval 27 kybernetických incidentů, nadprůměrné bylo i září s 21 zaznamenanými případy, v srpnu jich bylo stejně jako v říjnu. V listopadu registrovaných incidentů podle úřadu výrazně ubylo.
Útoky na stránky českých bank
„Ačkoli oproti minulým měsícům nedošlo ke snížení DDoS útoků skupiny NoName057, většina z nich nenaplnila kritéria kybernetického bezpečnostního incidentu,“ uvedl v minulosti NÚKIB. Ruská tzv. hacktivistická skupina NoName057 stála například loni v září za útoky na stránky českých bank.
Pozitivní trend bylo možné podle úřadu sledovat také co do závažnosti incidentů, kdy za celý listopad úřad registroval pouze méně významné.
DDoS útokCíl útočníků je narušit nebo poškodit web tím, že jej přetíží velkým množstvím falešných požadavků, dokud nedojde k poklesu výkonu, omezení nebo výpadku služby. |
