Svět se v posledních letech hodně změnil a s ním se exponenciálně mění i kybernetický prostor internetu, IT systémů i aplikací. Bohužel jsme svědky čím dál větší konfrontace. Existuje ale vztah mezi kvalitou demokracie a úrovní kybernetické bezpečnosti?
Pozn.: Tento text se nezabývá příbuzným a nebezpečným tématem korodující úrovně sociálních sítí a šířením dezinformací.
V posledních dvaceti letech jsme bohužel svědky nového rozdělování světa na demokracie západního typu a tzv. východní nedemokratické režimy. Je škoda, že po nadějném nadechnutí v devadesátých letech zažíváme toto déja vu.
Začalo to podivným příchodem Putina do role zastupujícího prezidenta těsně před Silvestrem roku 1999. Čína se ještě v rámci své snahy o vstup do Světové obchodní organizace držela v nultých letech zpátky.
Americké úřady zaznamenaly během války v Iráku (2003) první kybernetické útoky na vojenskou infrastrukturu primárně v místě bojů. Ruský útok na Gruzii v roce 2008 byl pak první moderní válečnou operací, jíž předcházel několik měsíců trvající kybernetický útok na gruzínskou infrastrukturu.
Z pohledu kybernetické bezpečnosti je podstatné, že informatické infrastruktury armád, podniků a celých států se postupně staly nejprve místem trvalých střetů a v posledních letech i kybernetických válek na mezistátní úrovni. Od starých časů, kdy kybernetická kriminalita byla denním chlebem zločinců, jsme se posunuli k dobám novým, kde značná část kybernetické kriminality je provozována státními strukturami zejména nedemokratických režimů.
Tak jako automobily
Vývoj výpočetní techniky, stejně jako automobilismu, je od počátku tažen západním kapitalistickým civilizačním okruhem. Čest výjimkám, výzkumníkům v ČSSR, SSSR, Rumunsku a jiných zemích, kteří přispěli k rozvoji počítačů. Anebo absolventům socialistických univerzit, kteří poté pomáhali jako emigranti rovnou na Západě.
Západní civilizační okruh je také veskrze demokratický v pravém slova smyslu: organizováním svobodných voleb, důrazem na práva jednotlivce a existencí oddělených silných institucí.
Téma kybernetické bezpečnosti musí z definice jít ruku v ruce s vývojem výpočetní techniky jako takové. Čím více institucí a jednotlivých uživatelů se účastní internetového a dalšího kybernetického provozu, tím větší důraz uživatelé požadují směrem k důvěrnosti, zabezpečení a omezení možných kriminálních útoků.
Kybernetická bezpečnost se tak postupně stává součástí ekonomického a společenského života a jelikož politika je správa věcí veřejných, musela jednoho dne reagovat na poptávku společnosti a začít kybernetickou bezpečnost v širším slova smyslu řešit. Uchopení kybernetického tématu ze strany politických reprezentací a následně státních institucí může být, a jistě i bylo, pozitivní (chránit své občany) i negativní (útočit na občany jiných zemí případně i na občany své).
Při vší úctě k matematikům, technikům a programátorům ČSSR, Rumunska či SSSR za časů starého režimu, komunistický SSSR nedokázal vyrobit rozumný a konkurenceschopný automobil (nepočítaje licence západních automobilek), Rumunsko, Polsko nebo Jugoslávie vyráběly také pouze časově zpožděné licenční kopie západních vozů. Jedině ČSSR a NDR vyráběly vozy vlastní provenience, které však byly od úrovně západní techniky na hony vzdálené například právě v úrovni bezpečnostních pásů, airbagů nebo palubní elektroniky.
Ve střednědobém a dlouhodobém horizontu tak zákonitě musí i nástroje kybernetické bezpečnosti (software i hardware) demokratických zemí porazit technologie vzniklé v diktaturách.
Cesty jsou a budou klikaté, příkladem budiž ruská firma Kaspersky, která vznikla v letech závanu kapitalismu a svobody v Jelcinově Rusku. Ani s čínskými technologiemi to není a nebude jednoduché, jelikož v těchto desetiletích zatím diktátorští soudruzi dovedně zvládají nabízet mladým lidem mix svobody, omezení lidských práv a relativního bohatství střední třídy.
Dlouhodobě však svobodné a kapitalistické podnikání musí i v soutěži zvané „kybernetická válka, kdy obránci jsou všichni zaměstnanci firem kybernetické bezpečnosti ve svobodném světě“ zvítězit. (Citát: Alejandro Mayorkas, US Secretary of Homeland Security na RSA konferenci 2024).
Počet útoků na demokratické země stále roste
Ačkoliv je stále mnoho útoků prováděno anonymně nebo pomocí prostředníků, což komplikuje atribuci (nalezení identity útočníka), je nepochybné, že počty útoků na instituce, firmy a infrastruktury demokratických zemí v posledních několika letech rychle stoupají. Drtivá většina útoků posledních let přichází bohužel z Ruska a Číny.
Západní demokratické země si uvědomují klíčovou roli kybernetické bezpečnosti a kybernetické obrany při ochraně svých kritických infrastruktur, ekonomik a demokratických institucí. V důsledku toho přijímají legislativní opatření a vyvíjejí národní strategie k posílení své kybernetické obrany a zajištění ochrany před kybernetickými útoky.
Ze strategií jde například o americkou National Cyber Strategy (2023) či evropskou EU Cybersecurity Strategy (2020), které jsou pak promítány do legislativních norem typu CISA (v USA) nebo NIS2 (Network and Information Security Directive 2, 2023), což je druhá celoevropská legislativa zaměřená na kybernetickou bezpečnost. Ukládá členským státům EU povinnost zřídit národní orgány kybernetické bezpečnosti a zavést strategie pro ochranu klíčových služeb.
Česká republika má robustní legislativní rámec zaměřený na kybernetickou bezpečnost, který zahrnuje zákon o kybernetické bezpečnosti, vznik NÚKIB a implementaci evropské směrnice NIS (aktuálně NIS2). Předpokládaný termín platnosti nového zákona o kybernetické bezpečnosti z NIS2 vycházející je červenec 2025. Tyto právní nástroje jsou zaměřeny na ochranu kritické infrastruktury a základních služeb před kybernetickými hrozbami.
Analýza možné korelace mezi kybernetickou bezpečností a kvalitou demokracie
Tím nejzajímavějším je však analýza faktů a jejich grafické znázornění. Musíme tedy primárně v každé zemi zkoumat dvě veličiny:
Kvalitu demokracie.
Úroveň či kvalitu kybernetické bezpečnosti.
U obou veličin existuje celá řada mezinárodních žebříčků podle různých metodik.
Pro osu X byl zvolen tzv. Demokratický index (Democracy Index), který každoročně aktualizuje EIU (Economist Intelligence Unit časopisu The Economist). Index hodnotí země podle pěti kategorií (volební process a pluralismus, fungování vlády, politická účast, politická kultura, občanské svobody) vždy na škále 0 až 10.
Pro svislou osu Y je pak ke každé zemi uvedena hodnota tzv. NCSI (National Cyber Security Index). Ten je rovněž každoročně zpracováván projektovým týmem z tallinnské akademie e-Governance a je v komunitě kybernetické bezpečnosti uznáván. Index pracuje se 46 indikátory, které jsou organizovány do několika skupin zahrnujících digitální identitu, ochranu důležitých informačních infrastruktur, incident management a další.
Vedoucí pozice Norska je dána zejména dlouhodobým vysokým umístěním v indexech demokracie. V oblasti kybernetické bezpečnosti je Norsko cca ve druhé desítce. Avšak spojením těchto parametrů se dostává při zvolené metodice do čela.
Severské země a Benelux (bez Belgie) jsou již tradičně v první desítce.
Německo je dvanácté, Spojené království třinácté. Tato umístění potvrzují dlouhodobý trend – silné demokracie, které každoročně také posilují své pozice v oblasti kybernetické bezpečnosti.
USA „až“ na dvacáté místo zařazují klasicky nižší umístění v indexu demokracie (zejména v posledních letech) a fakt, že obrovské množství úspěšných obranných kybernetických akcí soukromého a státního sektoru zůstává skryto.
Dvacáté osmé místo ČR v sousedství pobaltských zemí a Taiwanu a Izraele je dle názoru autora výbornou vizitkou. ČR se občas v NCSI propracuje až na páté místo na světě, v indexech demokracie pak osciluje zhruba v první padesátce.
Je to zásadní pro stát i byznys
Na základě dostupných dat a studií se zdá, že existuje potenciální pozitivní korelace mezi úrovní demokracie a kybernetickou bezpečností, a to zejména v zemích, kde jsou dobře zavedené demokratické instituce, transparentní správa a efektivní bezpečnostní strategie.
Svým způsobem může být korelace mezi úrovní demokracie a úrovní kybernetické bezpečnosti až absolutní. V dnešních dnech je to tak, že bez vysoké úrovně kybernetické obrany by již končily demokracie. Buď přežijí, nebo dobrá kybernetická obrana jejich zánik alespoň zpomalí.
Tomáš Orlík je mezinárodní podnikatel v IT a poradenských službách. Vystudoval VUT v Brně, působil v ČR, USA a na Blízkém východě. V posledních letech se věnuje zejména kybernetické bezpečnosti. Od roku 2014 žije v SRN.
Text je výtahem jeho závěrečné práce v programu MBA Management a kybernetická bezpečnost na CEVRO Univerzitě.
Comments