OHLÉDNUTÍ ZA STUDIEM EGOVERNMENT S TÉMATEM KYBERBEZPEČNOST
V květnovém Studiu Egovernment jsme vlastně již tradičně přivítali ředitele Národního úřadu pro kybernetickou a informační bezpečnost Lukáše Kintra a spolu s ním technického ředitele CISCO Jiřího Rotta.
REGISTRACE SUBJEKTŮ
Debata se vedla samozřejmě o kyberbezpečnosti a to především v souvislosti s novým zákonem o kyberbezpečnosti, který významně rozšiřuje počet subjektů, které pod něj spadají a musí se jím řídit. Tyto subjekty se musí registrovat prostřednictvím portálu NÚKIB a, jak uvedl Lukáš Kintr, nyní již je takto přihlášeno 5700 subjektů. Pro ty zbývající připomněl, že se jedná o určitý proces sebeurčení, kterému napomáhají nástroje, které jsou k dispozici přímo na portálu NÚKIB. Pokud na konci tohoto sebeurčovacího procesu je výsledkem informace, že subjekt má být regulovaný, musí se na zmiňovaném portále zaregistrovat.
POČET INCIDENTŮ
Podle slov Lukáše Kintra incidentů jednoznačně přibývá, ale souvisí to samozřejmě i se skutečností, že se zvyšuje počet těch, které jsou povinny takové incidenty hlásit. Vzhledem k tomu, že se posouváme od 400 regulovaných subjektů pod starým zákonem k 6000 které spadají pod nový zákon, lze očekávat, že i počet hlášených incidentů se v určité chvíli zvýší skokově. Co je určitý nový trend, že se zvyšuje počet incidentů mířících na malé obce. Souvisí to především se skutečností, že útočníci hledají cestu nejmenšího odporu, nejslabšího zabezpečení. Řada centrálních institucí už realizovala analýzu svého zabezpečení a vyvodila z ní konkrétní závěry a opatření. To samozřejmě neznamená, že by klesal zájem útočníků o tyto subjekty, ale zdá se, že u menších obcí se jim nabízí výrazně snazší cesta. V této souvislosti diskutující připustili, že veřejná správa jako celek je v otázce přístupu ke kyberbezpečnosti v podstatě velice poctivá. Daleko horší situace je u výrobních závodů a jejich produkčních sítí.
ZÁKON
Otázky diváků se v drtivé většině týkaly Zákona o kyberbezpečnosti. V souvislosti s dodavatelským řetězcem padla otázka za jak dlouho může subjekt, který zašle NÚKIBu informace o dodavateli významné dodávky, získat zpět příslušné vyjádření?
Lukáš Kintr upozornil, že ta povinnost je zatím vymezena pouze u části regulovaných subjektů. Princip je takový, že NÚKIB se bude takovou informací zabývat a bude-li bezpečnostně relevantní bude ve spolupráci s řadou dalších institucí posuzovat možná rizika dodávky od takového dodavatele. V případě shledání rizik na neakceptovatelné úrovni, budou vydána doporučení a zároveň výstup směrem k vládě, která rozhodne o tom, zda budou přijata konkrétní opatření. Ty samotné lhůty se pak budou lišit podle toho o jak složitý případ se může jednat.
STRATEGICKY VÝZNAMNÉ SLUŽBY
Kdy bude vydáno vládní nařízení, které stanoví služby jež splňují podmínky strategicky významné služby ?
Ve skutečnosti se jedná o dvě nařízení vlády, která se týkají množiny subjektů, na které tato povinnost dopadá a také specifikace infrastruktury těchto subjektů. Debata kolem těchto nařízení je docela složitá. Minulá vláda nedospěla ke konkrétnímu závěru a stávající musela nejprve řešit jiné priority. Toto téma se dostává na pořad teprve nyní, proto je velice těžké odhadovat časový rozměr.
ORP A DODAVATELÉ
Otázka se týkala ORP v nižším režimu, konkrétně zda ve lhůtě jednoho roku od registrace mají upravit všechny aktivní smlouvy, nebo pouze u nových?
Tato povinnost platí automaticky u všech nových smluv, případně nově aktualizovaných. U těch ostatních by se o to subjekt měl pokusit. Pokud to není možné, mě by se pokusit tuto konkrétní službu zabezpečit nějakým jiným opatřením a pamatovat na toto při příští soutěži (aktualizaci).
ORP A DOKUMENTY PRO KONTROLU NÚKIB
Existuje nějaký seznam dokumentů, které musí mít subjekty nachystány pro kontrolu z NUKIBu?
Lukáš Kintr upozornil, že tyto dokumenty by si subjekty měly vytvořit především kvůli sobě, nikoli kvůli NÚKIBu. Jejich povinností je udělat vše pro to, aby obec s rozšířenou působností svým občanům doručovala služby bezpečně. Ty samotné dokumenty budou postupně zveřejňovány v rámci portálu NÚKIB, ale dá se říci, že se jedná o základní dokumenty, které pomohu organizaci zajistit bezpečnost jejich prostředí, a to bez ohledu například na personální obsazení úřadu. Tedy dokumenty, které popisují, co zajišťuji a jakým způsobem tak aby to dával jasnou představu o úrovni zajištění
OTÁZKA DŮVĚRY
Podle Lukáše Kintra je podstatná důvěra ve státní digitální služby. Samotná kyberbezpečnost je z jeho pohledu jakousi hrou s pravděpodobností. Cílem je udělat vše pro to, aby pravděpodobnost negativních událostí byla minimalizována. Subjekty spadající pod zákon o kyberbezpečnost by tedy měly dělat maximum pro tuto minimalizaci, zároveň by však měly být připraveni na to, že se incidenty mohou stát. V takovém případě musí přesně vědět jak v daný moment komunikovat a jak postupovat. Jedině tak se dá budovat zmiňovaná důvěra.
AI
Nevyhnuli jsme se ani debatě kolem umělé inteligence. Mediální informace většinou hovoří o jejích někdy až překvapivých možnostech, bylo by však na místě připomenout i rizika spojená s jejím využíváním. Jedná se především o uvědomění si skutečnosti, jaká data AI poskytuji a kam mohou být odeslána. Jde tedy opět o to, zda poskytovatel této služby je důvěryhodný, jaké standardy zpracování dat je schopen garantovat. V případě že hovoříme o implementaci AI do rozhodovacích procesů narážíme rovněž na otázky etického užívání. Z pohledu kybernetické bezpečnosti je AI dalším nástrojem v ekosystému. Proto stejně, jako se instituce musí zabývat tím jaká data dávají do jakého Cloudu, stejně musí přistupovat k AI
V závěru debaty jsme se věnovali rovněž problematice a přínosům kvantových počítačů a především tomu, jak bude vypadat v době jejich využívání kyberbezpečnost. Celý záznam debaty naleznete ZDE