V úvodu předchozích čísel časopisu DSM byla ve spojitosti s kyberbezpečností často zmiňována důležitost osvěty napříč společností. S technologickým vývojem je dostatečné bezpečnostní povědomí opravdu důležité a dotýká se každého z nás. Ostatně na NÚKIB se osvětě intenzivně věnujeme. Výsledky naší práce můžete vidět na webu osveta.nukib.cz či skrze bohatou přednáškovou činnost. Jsou zde ale i další, rovněž důležité aspekty, které mají na zvyšování odolnosti a bezpečnosti českého kyberprostoru a společnosti obrovský vliv. Na dva z nich se v následujících řádcích krátce zaměřím.
Rok 2024 se z mého pohledu zapíše pro kyberbezpečnost České republiky jako ten přelomový. Plánujeme s partnery mnoho projektů a ke konci roku by měl být přijat nový zákon o kybernetické bezpečnosti. Zákon, který zásadně změní dosavadní praxi. Některé zákony se nemusejí měnit po desetiletí, ale v kybernetické bezpečnosti je třeba jít s dobou. Musíme zohledňovat nejnovější trendy, implementovat aktuální mezinárodně uznávané bezpečnostní standardy a v neposlední řadě reflektovat nastalou složitou bezpečnostní situaci ve světě. ČR a její garant v oblasti kybernetické bezpečnosti – NÚKIB – musí kontinuálně vyhodnocovat vhodnost aktuální právní úpravy a průběžně zakotvovat dobrý standard v této oblasti. Pouze tehdy lze na straně státu využívat vhodné nástroje a procesy, které nám napomohou dosahovat „kyberbezpečnostně“ uvědomělé společnosti.
Návrh zákona vychází z mnohaleté praxe s dosavadní legislativou, ze stovek jednání s partnery napříč sektory jak v ČR, tak i v zahraničí. Oproti běžné praxi navíc prošel veřejnými konzultacemi, do kterých se mohla zapojit široká veřejnost. Samozřejmě ne vždy bude zákonná úprava vyhovovat na 100 % všem. Nicméně věřím, že současná podoba zákona reflektuje aktuální potřeby ČR včetně nutnosti provést transpozici evropské směrnice NIS2.
Nejdiskutovanější oblastí je v novém zákoně bezesporu mechanismus prověřování bezpečnosti dodavatelů. Ten by měl dát státu konečně možnost patřičně hlídat a chránit strategicky nejvýznamnější ICT systémy. Pokud se zabýváte kybernetickou bezpečností, jistě víte, že útoky na dodavatelské řetězce jsou v posledních letech na vzestupu a geopolitická situace není jednoduchá. V dnešní době je nutné, aby stát, ale i soukromý průmysl věnoval pozornost geopolitickým nejistotám při rozhodování o svém dodavatelském řetězci. Jako ředitel NÚKIB i jako IT manažer chápu lákadlo nižších nákladů, navíc umocněné současnou ekonomickou situací. Na druhou stranu, pokud chceme vybudovat „kyberbezpečnostně“ odolnou společnost, tak musíme stejně jako současný návrh zákona i my jít s dobou. Jsem přesvědčen, že udržování geopolitického povědomí již není výhradní doménou politiků, bezpečnostních expertů a akademiků. Naopak se stává nepostradatelnou znalostí všech moderních IT manažerů. Nehledě na to, zda se na vás a vaši firmu bude nový zákon vztahovat či nikoli, je rozhodnutí, jak budete k zabezpečení vlastní organizace přistupovat, v konečném důsledku vždy na vás. Věřím, že se rozhodnete správně.
Tím druhým aspektem, o kterém se chci zmínit, je (ne)dostatek expertů potřebných pro udržování chodu a zlepšování zabezpečení systémů, na kterých stojí náš stát. Odborníků v oblasti kyberbezpečnosti je nedostatek celosvětově, s tím ČR momentálně nic nezmůže a musíme se s tím vyrovnat. Můžeme ale změnit jednu věc, a to nevýhodné postavení státu na pracovním trhu v oblasti IT a kyberbezpečnosti oproti soukromému sektoru. Zcela srovnat tyto podmínky lze jen těžko a v případě státu by to ani nemělo být cílem. Nicméně se nesmíme dostat do stavu, kdy jsou státní instituce a bezpečnostní složky zcela nekonkurenceschopné a nedisponují alespoň kritickým množstvím odborníků nutných pro jejich IT potřeby.
Tradičním řešením nedostatku odborníků ve státě je možnost institucí tzv. outsourcovat IT služby. Některé tyto služby je samozřejmě výhodnější a jednodušší nakupovat u soukromých společností. Nelze však outsourcovat vše. Bez elementárního množství odborníků na IT a kyberbezpečnost se pomalu stává situace nezvladatelnou. Kamenem úrazu je schopnost státu takové lidi najmout, zaplatit a dlouhodobě udržet. Dle řady studií je dalším paradoxem masivního outsourcingu IT služeb fakt, že chybějící kapacity stát doplňuje nákupem ze soukromého sektoru často za násobně vyšší cenu, než aby je vyplnil svými IT zaměstnanci. Naše kontrolní praxe pak identifikuje další problém – stát mnohdy nedrží znalosti o vlastních systémech ve svých rukou. Jen stěží může v takové situaci své systémy zabezpečovat, udržovat a rozvíjet. Některé instituce mají problémy vůbec správně definovat, co potřebují, a následně i kontrolovat, zda opravdu dostaly od dodavatele to, co si objednaly. Tato situace pak nemá vítěze, neboť stát nedostane služby, které potřebuje, peníze tzv. vyletí oknem, a to v mnoha případech i přes snahu soukromých dodavatelů, kteří by státu rádi dodali, co je potřeba. Na straně státu jim ale chybí partner k diskusi a spolupráci.
Pokud se tedy chceme posunout, musíme něco změnit. Z mého pohledu alespoň částečně přivřít ty čím dál rozevřenější nůžky u platového ohodnocení odborníků v oblasti IT a kyberbezpečnosti. Chceme-li digitalizovaný, bezpečný a moderní stát, musí tomu alespoň rámcově odpovídat podmínky pro ty, kteří jej budují. Jsem přesvědčen, že z dlouhodobého hlediska se případná přiměřená investice nejen do lidí, ale i do výše zmíněných technologií určitě státu vyplatí.
Naším posláním je posilovat bezpečnost a odolnost České republiky v kyberprostoru. Pojďme do toho společně!
Ing. Lukáš Kintr
ředitel NÚKIB