Zabezpečení všech IT technologií bez časového omezení a bez ohledu na jejich důležitost by vedlo k plýtvání s prostředky.
Vláda by mohla v pondělí upravit své usnesení, kde před necelými dvěma roky uložila ministrům míru, jak zabezpečit informační systémy. Aktuálně usnesení požaduje všechny systémy zabezpečit na úroveň, kterou stanovují předpisy pro tzv. významné informační systémy. Podle úřadů je to příliš přísný a finančně náročný požadavek. Ministerstvo vnitra ve svém návrhu úpravy uvádí, že například u systému monitorujícího docházku je nízké nebezpečí zneužití informací, pokud by se k nim hackeři dostali, náklady na požadované zabezpečení systému jsou naopak vysoké.
Vnitro v předkládací zprávě ke změně usnesení píše, že aktuálně vláda ukládá zabezpečit všechny systémy na stejnou úroveň bez ohledu na důležitost. „V tomto kontextu je nutné rozlišovat ‚pouhé zabezpečení‘ a zabezpečení na úroveň významného informačního systému,“ uvádí resort v materiálu, který má ČTK k dispozici.
U každého systému se přitom nastavuje určitá minimální úroveň zabezpečení, dodává ministerstvo. „Příkladem může být docházkový systém, kdy v případě, že dojde ke kybernetickému útoku na tento systém, dopady budou nízké, ale finanční požadavky na jeho zabezpečení na úroveň významného informačního systému vysoké,“ uvádí resort.
Zabezpečovat všechny systémy na stejnou vyšší úroveň není podle vnitra optimální řešení. „Ministerstvo vnitra si plně uvědomuje, že zabezpečení všech IT technologií bez časového omezení a bez ohledu na jejich důležitost by vedlo k zcela nehospodárnému plýtvání s prostředky státního rozpočtu,“ stojí v materiálu. Vnitro proto navrhlo upravit úkol uložený ministrům tak, že bude platit jen do vydání novely příslušné vyhlášky. Úpravu připravuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) tak, aby se aplikovala od 1. března.
Za významné informační systémy budou určeny ty systémy, u kterých by narušení bezpečnosti informací mohlo omezit nebo výrazně ohrozit výkon působnosti úřadu. Současně to bude znamenat, že se do budoucna nebudou na úroveň významných informačních systémů zabezpečovat plošně a bez časového omezení všechny systémy.
Některá ministerstva v připomínkovém řízení upozorňovala, že nyní nemají na zabezpečení podle požadavků usnesení vlády dost kapacit. „Ministerstvo kultury nedisponuje dostatečnými personálními a finančními zdroji, aby bylo schopno naplnit požadavky,“ uvedl resort. Také ministerstvo zemědělství uvádí, že nutné personální a finanční nároky nemusí nyní odpovídat možným dopadům v případě porušení kyberbezpečnosti daného IT systému.