Od ledna 2015 začne v České republice zřejmě platit nový zákon o kybernetické bezpečnosti, díky kterému by měl být stát odolnější vůči případným elektronickým útokům na důležité počítačové systémy v zemi. Normu, kterou vytvořil Národní bezpečnostní úřad, schválili poslanci i senátoři a 13. srpna ji podepsal i prezident Miloš Zeman. Novým zákonem se budou muset řídit úřady i některé soukromé firmy. Koho přesně se zákon dotkne, jaké konkrétní kroky bude třeba podniknout a kolik bude zavedení nových pravidel stát?
Zákon o kybernetické bezpečnosti, který má vstoupit v platnost k 1. 1. 2015, se v Česku připravuje již poměrně dlouhou dobu. Málokdo dnes například tuší, že začal vznikat ještě dávno před tzv. „Talinským manuálem“ kybernetické obrany, který vymezuje rámec pro kybernetické válčení a prevenci před útoky pro země NATO. Pracuje se na něm de facto již od října roku 2011, kdy usnesením vlády č. 781/2011 přešla gesce v oblasti kybernetické bezpečnosti z pasivního resortu vnitra na samostatně fungující jednotku jménem Národní bezpečnostní úřad.
Tíha zákona se dotkne především ISP providerů, TELCO operátorů, majitelů telehousů a dalších provozovatelů významných IT infrastruktur, kteří nově budou muset monitorovat a hlásit bezpečnostní incidenty. Zároveň se značně posílily pravomoce národního centra kybernetické bezpečnosti (CERT), které bude informace analyzovat a vyhodnocovat.
Proč byl zákon potřeba?
S rychlým rozvojem informačních technologií a další integrací nových počítačových systémů se výrazně zvyšuje i riziko elektronického útoku. Na složitých počítačových sítích jsou dnes závislé prakticky všechny obory důležité pro bezchybný a hlavně bezpečný chod státu. Na IT systémech závisí ekonomika jako celek; doprava, energetika a další strategická odvětví. Evropská unie proto vydala směrnici, podle níž by měly všechny členské státy zvýšit svoji schopnost odolávat případným útokům na kybernetické úrovni.
Svou sílu demonstrovali hackeři a jejich programy určené proti celé řadě cílů po celém světě. Podobných útoků přitom každoročně přibývá a škody se pohybují v řádech stovek milionů dolarů. Není výjimkou, že profesionálně navržený počítačový vir dokáže vyřadit z provozu nejen počítačové sítě. Česko zažilo jeden z největších elektronických útoků na jaře 2013, kdy hackeři vyřadili pomocí takzvaného „přehlcení“ počítačových systémů několik tuzemských zpravodajských serverů a internetových systémů českých poboček bankovních domů a mobilních operátorů.
Principy Zákona o kybernetické bezpečnosti v kostce
Primárním úkolem první podobné legislativní úpravy v historii Česka je sjednocení elektronické komunikace. Sjednotit by se tak měla výměna informací nejen ve státní, ale částečně i soukromé sféře; zákon přímo stanovuje i jejich vzájemné dorozumívání. Kontrolní i exekutivní pravomoci má mít centrální orgán (Národní centrum kybernetické bezpečnosti CERT se sídlem v Brně). Aktivovat a hlavně sjednotit by se tak měla dnes pasivní počítačová ochrana státu a Česko by tak mělo být schopno nejen snadněji rozpoznat, ale přímo aktivně bojovat s útoky na elektronické úrovni. Lepší ochrany by se tak mohla dočkat i osobní data občanů registrovaných například na úřadech nebo bankách. Pomoci by měl nový zákon – podle jeho navrhovatelů – i samotné české ekonomice – měl by totiž zatraktivnit tuzemské prostředí pro zahraniční investice (nejen IT), na druhé straně by měl podporovat světově uznávané české dodavatele ICT technologií.
Kontroverzní body
Přesto, že zákon teprve čeká na podpis prezidenta a platit by měl začít až od ledna příštího roku, už teď se na něj obrací kritika řady odborníků. Podle nich není – mimo jiné – v zákoně zcela jasně stanoveno, kdo a jakým konkrétním způsobem se jím bude muset řídit. Zákon je postaven na třech pilířích: bezpečnostní opatření, hlášení kybernetických bezpečnostních incidentů a protiopatření (reakce na incidenty). Odpůrci zákona se nejčastěji bojí třetího pilíře, že zákon dává státu velkou moc regulovat informační sektor a že by mohl odposlouchávat či přímo odpojovat nepohodlné osoby či organizace.
Zásadnější změny v koncepci zákona, směřující zejména k oslabení role národního CERTu, sice jistí poslanci navrhli, ale ani jeden z návrhů neprošel. Zástupci komerčního segmentu jsou navíc nervouní také ze zcela jiných důvodů: „Jsou zde i jiná rizika, já osobně se mnohem více bojím toho, že zákon by měl nabýt účinnosti již 1. 1. 2015, přičemž dotčené subjekty budou mít pouze půl roku na to, uvést svůj systém bezpečnosti informací plně v soulad se zákonem,“ komentuje například Jakub Kejval, ředitel české pobočky certifikační společnosti Bureau Veritas.