Vypnutý pud sebezáchovy versus kybernetická bezpečnost
- ALEŠ ŠPIDLA
- před 2 dny
- Minut čtení: 3
Na začátek mého zamyšlení mi dovolte dopustit se něčeho, co se dělat nemá. A sice citovat sám sebe, respektive své motto. „Kybernetická a informační bezpečnost není otázkou zákonů, je otázkou pudu sebezáchovy.“ K tomuto mottu jsem došel v době, kdy jsem slýchal argumenty „Mě/nás se kybernetická a informační bezpečnost netýká, protože nespadám(e) pod zákon o kybernetické bezpečnosti.
V roce 2012 byla schválena první strategie kybernetické bezpečnosti ČR, v lednu roku 2015 vstoupil v účinnost zákon o kybernetické bezpečnosti (první v EU), v roce 2016 na jeho principech vznikla první evropská směrnice o bezpečnosti sítí a informací NIS(1). Pod v současné době platný zákon o kybernetické bezpečnosti 181/2014 Sb. spadá necelých 400 subjektů. A co ostatní? U těch by člověk spoléhal na jejich pud sebezáchovy.
Na přesvědčení vedení organizací, že chtějí vydělávat i zítra, že nechtějí být trestně stíháni za škody způsobené nedbalým řízením apod. Příklady úspěšných kybernetických útoků na nejrůznější organizace však ukazují, že je něco špatně. Že spoléhat se na uvědomělý pud sebezáchovy je cestou do pekla, protože vedení daných organizací si není vědomo své plné zodpovědnosti za stav kybernetické bezpečnosti, kterou řídí.
Velmi zjednodušeně řečeno, tam, kde nefunguje pud sebezáchovy, tam přichází zákon. Očividně musí. Kdyby to fungovalo, tak by nemusel.
A to je jedna z motivací, proč musela vzniknout směrnice NIS2 – směrnice, kterou mnozí přirovnávají k nařízení GDPR, aniž by si byli vědomi zásadních rozdílů (platí přímo, bez transformace do národní legislativy) a směrnicí (musí být transformována do národních legislativ států EU). Nastálé šílenství kolem směrnice NIS2 vygenerovalo hromadu „přesnocexpertů“, kteří tvrdí, že přichází směrnice NIS2 a sugestivně se ptají, jestli jste připraveni a že vám v tom pomůžou, protože jinak zaplatíte pokutu 250 milionů Kč. Jde tedy o to „vyděsit a vyfakturovat“.
Směrnice NIS2 je však platná již od ledna 2023, takže nic nového nepřichází. Jestli něco přichází, tak je to nový Zákon o kybernetické bezpečnosti s prováděcími předpisy. Povinný termín jeho účinnosti byl říjen 2024, avšak to jsme nestihli – nutno podotknout, že z objektivních důvodů. Optimistický termín účinnosti daného zákona 1. 7. 2025 už asi také nestihneme. Co je však klíčové, je fakt, že pod něj spadne mnohem více subjektů – minimálně půjde o 6000, některé odhady dokonce hovoří o deseti až dvanácti tisících.
Kdyby obecně fungoval ten zmíněný pud sebezáchovy tak (s nadsázkou) tento nový zákon ani nepotřebujeme. Je tady ještě jeden moment, který jsem si ve své kariéře uvědomil. Jelikož se kybernetická a informační bezpečnost týká úplně všech – od dětí, rodičů, prarodičů, domácností, firem, státních institucí až po státy, unie atd. – se dá přirovnat k civilní obraně v kyberprostoru.
V současné složité bezpečnostní situaci je třeba si tento fakt uvědomovat stále důrazněji. Existují studie, které říkají, že mezi úrovní zajištění kybernetické a informační bezpečnosti a prevencí před válečnými konflikty je patrná určitá vazba. Není těžké si představit scénář, kdy je proveden kybernetický útok např. na chemičku, kde je tímto útokem způsoben výbuch, nebo na nemocnice, které budou paralyzovány, na státní instituce, které mají koordinovat řešení a uklidňovat obyvatelstvo, nebo na hasičský záchranný sbor a další složky, které by do řešení této situace měly být zapojeny.
Do takto vzniklého chaosu se pak nepřátelským vojskům mnohem lépe vstupuje. Příklad Gruzie je v tomto ohledu alarmující a je na místě položit si otázku, jestli takto neprobíhají testy ve stylu „Teď se podíváme, jak na tom jste, kde máte slabiny…“ atd. Pokud bude úroveň kybernetické bezpečnosti vysoká, útočníci si pravděpodobně vylámou zuby už při daném testu a budou muset hledat jiné cesty. Takže proto ta civilní obrana. Aspektů je však mnohem více – připravenost obyvatel a všech institucí v rovině povědomí, nácviku apod.
Každý významný kybernetický útok by měl tedy být mimo jiné hodnocen také z pohledu možného testu připravenosti, a tak si kladu otázku, kterou by si měly klást i příslušné instituce zabývající se kyberbezpečností: Nebyly nedávné kybernetické útoky na složky integrovaného záchranného systému takovýmto testem?
Aleš Špidla je garantem a pedagogem MBA studijního programu „Management a kybernetická bezpečnost“ a spolugarantem a pedagogem LL.M. programu „Ochrana informací“ a dalších na CEVRO Univerzitě. Na této univerzitě je také statutárním ředitelem výzkumného Centra rozvoje informačních kompetencí. Je zarputilý evangelizátor problematiky kybernetické a informační bezpečnosti ve všech jejích aspektech. Přednáší na konferencích, vystupuje v médiích a publikuje články s touto tematikou.
Comments