Náprava škod po kybernetickém útoku je mnohonásobně dražší než zavedení bezpečnostních opatření
Význam kyberprostoru v životě celé společnosti se prohlubuje. „Na informačních a komunikačních systémech jsme závislí, takže narůstá i závažnost a potenciální dopad hrozeb, které právě do kyberprostoru směřují,“ říká v rozhovoru pro Moravské hospodářství Tomáš Krejčí, náměstek ředitele Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB)
Vláda České republiky 17. července 2024 projednala a schválila se změnou návrh nového zákona o kybernetické bezpečnosti. Co je jeho cílem a proč je potřeba? Nestačí pouze osvěta?
Jednoduše řečeno je cílem nového zákona je posílení kyberbezpečnosti České republiky. Význam kyberprostoru v životě celé společnosti se prohlubuje, jsme na informačních a komunikačních systémech závislí, takže narůstá i závažnost a potenciální dopad hrozeb, které právě do kyberprostoru směřují. Návrh nového zákona o kybernetické bezpečnosti povinně zavádí novou směrnici přicházející z Evropské unie – NIS2. Mění se tam velká věc: množství regulovaných subjektů. I proto byly součástí psaní zákona kromě jiných také konzultace se zástupci soukromého sektoru. Součástí zákona je tzv. mechanismus bezpečnosti dodavatelského řetězce, to samotná evropská směrnice nemá. Mj. zkušenosti z ruské invaze na Ukrajinu nás naučily, že není udržitelné nechat v klíčové infrastruktuře dodavatele ze zemí našich strategických rivalů a potenciálně se tak nechat třeba odstřihnout od elektřiny. Vzpomeňte si už jenom na výpadek související s Crowdstrikem teď v červenci – a to byla nezáměrná chyba, selhání. A takové věci by se mohly dít cíleně se záměrem nás poškodit. No a k osvětě: NÚKIB na ni samozřejmě klade velký důraz, protože víme, že kyberbezpečnost je komplexní věc. Ale její význam v některých oblastech prostě přesahuje možnosti, které má – byť odpovědný – jednotlivec. A tady prostě musí převzít zodpovědnost stát.
Jaké bude mít zákon dopady do státního rozpočtu?
Tohle se bohužel velice těžce předvídá a počítá – protože subjekty spadající pod zákon jsou různě velké, různou měrou závislé na ICT, v různém rozsahu už kyberbezpečnostní opatření implementovaly. Dopady na státní rozpočet budou nicméně dány dvěma faktory: nutností zaplatit plnění zákonných povinností, ale taky nutností zajistit kapacity ke smysluplné práci regulátora, tedy NÚKIB – a tou prací rozumíme jak kontrolu, tak analýzy incidentů, tak podporu při nich, ale i mnoho dalšího. Navýšení nákladů bude nižší o to, že velká část subjektů státní správy spadá už pod současný zákon. Spolehlivé vyčíslení je však nemožné. Každopádně, dovolil bych si odpovědět z trochu jiné perspektivy: už jsme viděli, že náklady na nápravu škod vzniklých v důsledku úspěšného kybernetického útoku mohou být násobně vyšší než náklady na zavedení základních bezpečnostních opatření. A tyto finanční náklady rámcově vyčísleny jsou – jde o desítky až stovky milionů za jeden útok. A to nemluvíme o dalších újmách, jako jsou škody na reputaci a důvěře v instituce státní správy nebo ztráta citlivých dat občanů či dopad na jejich zdraví.
Jaké povinnosti a komu nový zákon přinese?
Vytknul bych před závorku, že zákon je psán tak, aby umožnil skutečně i minimalistickou, základní implementaci kyberbezpečnosti tam, kde je skutečně nejvíce potřeba. A rámcově se „starý“ a nový zákon o kybernetické bezpečnosti opírá o dvojí: o účinná preventivní opatření a hlášení incidentů našemu úřadu. Pro stávající regulované subjekty v podstatě nedojde k výrazným změnám. Pro ty, kterých se bude zákon týkat nově, tedy subjekty z odvětví, jako je odpadní hospodářství, potravinářství nebo výzkumné organizace: mezi vaše povinnosti například bude patřit: registrovat se NÚKIB, zavádět bezpečnostní opatření podle vyhlášky, hlásit kybernetické bezpečnostní incidenty a řídit se protiopatřeními, která NÚKIB vydá.
Pro jednodušší orientaci jsme vyvinuli a nedávno zprovoznili Portál NÚKIB: portal.nukib.gov.cz. Jednotnou platformu, která kromě jiného obsahuje přehledně všechny aktuální a potřebné informace o návrhu nového zákona o kybernetické bezpečnosti.
Kolika kyberútokům aktuálně české firmy a čeští občané denně čelí?
Přesné denní počty kybernetických incidentů je složité získat, typicky totiž v průběhu roku kolísají. Také pamatujte, že do statistik našeho úřadu se dostanou primárně ty incidenty, které nám jsou nahlášeny od subjektů spadajících pod zákon o kyberbezpečnosti. Kdyby se započítaly útoky jinde, byla by čísla značně vyšší. Pro představu je ale určitě možné se podívat do naší výroční zprávy za uplynulý rok: tehdy NÚKIB evidoval a řešil 262 kybernetických incidentů, což v přepočtu vychází na necelý incident denně. Pro občany může být dále zajímavé číslo o kyberkriminalitě, která je v gesci Policie ČR. Dle dat PČR došlo během roku 2023 k 19 592 trestným činům v oblasti kyberkriminality a kriminality páchané na internetu. Přepočet na den pak vychází jinak: asi 50 případů denně. A i tak: ne každý trestný čin je hlášen. A poslední číslo, které bych rád zmínil, je číslo 3. Kdyby byla kyberkriminalita stát, tak se podle odhadů během pár let stane třetí nejsilnější ekonomikou světa – hned po USA a Číně. Z těchto dat jasně vyplývá, že chránit náš kyberprostor je nutné.
Evidujete v poslední době hackerské útoky, kde je vážné podezření, že byly napojené na cizí státy nebo jejich tajné služby?
Šetření takových incidentů je neveřejné, proto na tuhle otázku bohužel nemůžeme odpovědět konkrétně. Obecně ale můžeme říct, že činnost státem sponzorovaných aktérů zejména vůči strategickým institucím státu probíhá neustále. Například před nedávnem provedla Česká republika spolu s partnery tzv. atribuci, což je veřejné přisouzení škodlivých aktivit konkrétnímu státu. V tomto případě se jednalo o činnost aktéra označeného jako APT28 (Advanced persistent threat), který je součástí ruské vojenské rozvědky GRU a dlouhodobě cílí mj. i na české instituce.
Do různých oblastí postupně proniká umělá inteligence. Co přináší nařízení AI Act a na jakých principech je postaveno? A již je v platnosti?
Máte pravdu, s využitím umělé inteligence (AI) se nesetkáváme zdaleka jen v odborných a průmyslových odvětvích, AI se dostává do našeho každodenního života. A může být jak nástrojem útoků, tak nástrojem obrany proti nim. Potřeba vymyslet a uzákonit pravidla pro AI se tedy rychle stala naléhavou. Akt o AI vstoupil v platnost 1. srpna 2024, dopadat na své adresáty bude ale až po nabytí účinnosti, a to je po dvou letech. Jeho cílem je, aby systémy AI používané v EU byly bezpečné a důvěryhodné, obsahuje i ustanovení na podporu inovací. Kyberbezpečnost zmiňuje minimálně, v ní hlavně odkazuje na Akt o kybernetické bezpečnosti a Akt o kybernetické odolnosti. Poslední jmenovaný stanoví základní kyberbezpečnostní pravidla pro skupinu výrobků nově pojmenovanou „produkty s digitálními prvky“. Systémy AI, které budou spadat do působnosti CRA, budou muset být vyrobeny tak, aby byly odpovídajícím způsobem bezpečné – a to znamená s ohledem na jejich možná rizika. Minutky do kuchyně jistě nemají stejný význam jako chatbot odpovídající při objednávání k lékaři. Výrobky také nesmějí trpět známými zneužitelnými zranitelnostmi.
Autor: Kamila Fuchsová