Dilema kybernetické bezpečnosti

S kybernetickou bezpečností je to složité. Všelijací kybernetičtí padouchové a zlosynové již dávno útočí na naše počítače, zatímco my si naivně namlouváme, že se nás se to až tak moc netýká. Že právě nám se přeci nic stát nemůže. Je to podobné jako se zálohováním vlastních dat - takovéto představy vydrží do první skutečné ztráty dat. Pak už bývá pozdě bycha honiti, neb ztracená data bývají spolehlivě v nenávratnu.

Podobně se bohužel choval i stát, který před kybernetickou bezpečností (ještě v gesci ministerstva vnitra) dlouhou dobu strkal hlavu do písku a dělal, že není co řešit. Pak se ale přeci jen probudil, naštěstí bez nějakého velkého průšvihu coby motivátoru, sebral gesci pasivnímu vnitru a přidělil ji přeci jen aktivnějšímu Národnímu bezpečnostnímu úřadu. A ten začal připravovat tolik potřebný zákon o kybernetické bezpečnosti.

Jenže tím další problémy teprve začaly. Nejpalčivější je asi nalezení vhodné míry přímé angažovanosti státu. Tedy toho, jak moc má stát strkat nos a ruce do infrastruktury a služeb, které jsou v čistě soukromých rukou, a jejich vlastníkům něco přikazovat, nařizovat, k něčemu je nutit atd. Kybernetická bezpečnost se totiž nutně musí týkat všeho, co je důležité pro chod státu a pro fungování celé společnosti - a to není zdaleka jen v rukou státu. Co třeba banky, telekomunikační sítě, doprava, zdravotnictví, média atd.?

Nebo jiný aspekt: potřeba "něco dělat" na poli kybernetické bezpečnosti pochopitelně nevznikla až v okamžiku, kdy se začal rodit nový zákon, ale existuje už dlouho a nejrůznější subjekty - zatím převážně z privátního sektoru - v mezidobí už mnohé udělaly. Získaly nemálo zkušeností, důležité kontakty a vazby, vytvořily si vhodné postupy, získaly účinné nástroje atd. Má za této situace stát začínat "na zelené louce" a hrát si jen "na vlastním písečku", nebo dokáže (a chce) nějak navázat na to, co již existuje, a dále to rozvíjet ve spolupráci s privátním sektorem?

Po dlouhém hledání a složitých diskusích se stát (resp. NBÚ) nakonec přiklonil k variantě "se dvěma pilíři", v podobě vládního a národního CERTu (Computer Emergency Response Team) a rozdílnou mírou nařízených povinností: většina systémů a řešení v privátních rukou bude "spadat" pod národní CERT a bude mít jen minimum povinností (hlavně půjde o oznamování kontaktů a incidentů). Pouze nejvýznamnější privátní systémy, kritické pro fungování státu a celé společnosti, bude spadat pod vládní CERT a bude mít nařízeno více povinností.

Samozřejmě to není jediné možné řešení, ve světě existují i jiná. Ale ani to námi zvolené není zdaleka unikátní a jedinečné - lze se s ním setkat v řadě jiných zemí.

Při nedávném schvalování zákona o kybernetické bezpečnosti (ve třetím čtení v Poslanecké sněmovně) nicméně i takto zvolený model přeci jen narazil. Národní CERT, který by zastřešoval péči o kybernetickou bezpečnost privátních systémů, by totiž nejspíše byl sám provozován privátním subjektem, a měl by určitou exkluzivní roli, danou přímo zákonem. No a toho se někteří poslanci zalekli. Argumentovali příkladem některých zpackaných státních zakázek z oblasti IT, jejichž dopady by rozhodně nechtěli opakovat. A tak navrhli alternativu, ve které se chtěli "pojistit" proti svým obavám hned dvojnásobně: požadovali, aby i privátní systémy a řešení "spadaly" pod stát, resp. pod vládní CERT, a nikoli pod ten národní. Tím fakticky odmítli celý model se dvěma pilíři, celý dlouho a složitě hledaný kompromis i snahu využít již existující zázemí a know-how, a nahradili jej řešením "s jediným pilířem". Z národního CERTu by přitom udělali jen jakýsi poradní orgán bez významnějších povinností a kompetencí. Současně se chtěli pojistit ještě požadavkem, aby tento poradní orgán fungoval zdarma (poskytoval své služby bezplatně).

No, nakonec to ve třetím čtení dopadlo tak, že model "se dvěma pilíři" zůstal zachován, včetně původních představ o roli a významu národního CERTu. Přesto byly popisované obavy některých poslanců zohledněny: národní CERT by měl své služby poskytovat nejen nestranně, ale také zdarma.

Takže teď jen najít někoho, kdo bude ochoten to zdarma skutečně dělat. Navíc se zkušenostmi, se znalostí věci a v dostatečné kvalitě.