Lépe zabezpečit IT systémy vnitra se nevyplatí, napsal ministrům Hamáček. Čísla ale naznačují opak
Ministerstvo vnitra se postavilo proti plánu na zpřísnění bezpečnostních požadavků na resortní počítačové systémy. Podle vicepremiéra a šéfa resortu Jana Hamáčka z ČSSD by to vyšlo dráž než případné odstranění následků hackerského útoku. Přitom samo ministerstvo nyní tvrdí opak.
„Zabezpečení informačních a komunikačních technologií na stejnou úroveň, která je stanovena pro významné informační systémy, představuje významnou finanční zátěž, která nemusí odpovídat možným následkům, k jejichž vzniku by mohlo v důsledku kybernetického útoku na tyto systémy dojít,“ napsal Hamáček do předkládací zprávy (najdete ji konci textu), kde jeho resort navrhuje vládě, aby zrušila plánované zpřísnění bezpečnostních požadavků na resortní počítačové systémy.
Kyberúřadu chybí IT specialisté a technici. Plánoval jich přijmout 48, ale povolení dostal jen na osm
Číst článek
Zjednodušeně řečeno: spisové služby nebo e-mailové schránky pracovníků ministerstev by po novele vyhlášky měly posílit své zabezpečení, a to například zasíláním ověřovacího kódu při přihlášení, jak to známe třeba z internetového bankovnictví nebo sociálních sítí.
Nasazení nových funkcí ovšem často vyžaduje aktualizaci stávajících systémů, což může být nákladné.
Zamítnutá žádost
Redakce iROZHLAS.cz a Radiožurnálu se pokusily – s pomocí zákona o svobodném přístupu k informacím – získat analýzy, podle nichž se vyšší míra zabezpečené nevyplatí. Neúspěšně.
„Uvedené informace by bylo možné použít k lepšímu zacílení kybernetického útoku a způsobení závažnějších následků takového útoku a jejich poskytnutím by tedy vzniklo riziko, resp. by se zvýšilo riziko, takových útoků,“ napsali ministerští právníci do rozhodnutí, jímž zveřejnění analýzy odmítli.
Podle nich by byl problém, pokud by veřejnost mohla „dovodit úroveň zabezpečení informačních systémů ministerstva vnitra“.
(Text pokračuje pod dokumentem.)
Až dvě miliardy
K tématu se odmítl vyjádřit i ministr vnitra.
„Celková částka, na kterou byly odhadnuty náklady eliminace případných kybernetických útoků na všechny informační systémy ministerstva vnitra, se pohybuje v rozmezí 850 milionů až dvou miliard Kč,“ řekl serveru iROZHLAS.cz po dalších dotazech Ondřej Krátoška z tiskového odboru ministerstva vnitra.
„Celková částka, na kterou byly odhadnuty náklady na zabezpečení všech informačních systémů ministerstva vnitra (více než 250) na úroveň zabezpečení VIS (významné informační systémy, pozn. red.), je 1,6 miliardy Kč,“ doplnil.
Tvrzení ministra Hamáčka, že levnější by bylo sanovat následky útoku než systémy lépe zabezpečit, tak bylo nepřesné. V případě pesimistického scénáře by útok vyšel dráž.
Těžko vyčíslit
Podle mluvčího Národního úřadu pro kybernetickou bezpečnost (NÚKIB) Radka Holého je těžké říci, jaké škody by mohl potenciální kybernetický útok způsobit. „Je třeba to vztahovat ke konkrétním událostem a situacím,“ vysvětlil.
Vliv má podle něj například to, zda by hackeři vyřadili systém z provozu, kradli z něj data anebo se informace snažili nepozorovaně změnit. A svou roli by hrála i délka útoku.
Poslanci Farský a Zaorálek, soudce Šámal. E-maily a hesla stovek politiků a úředníků lze koupit za 60 korun
Číst článek
První dva útoky už české instituce prokazatelně zažily. V roce 2014 napadli e-mailové schránky ministerstva zahraničí čínští hackeři, o dva roky později ruští.
S přímočarým vyděračským útokem se potýkala nemocnice v Janově na Rokycansku, která ztratila přístup k účetnictví či dokumentace pacientů.
Hackerské útoky mají zákonnou výjimku z práva na informace. Zda a jak k nim došlo, se tak veřejnost nemusí dozvědět.
Jak ale naznačila kauza se zveřejněním seznamu problematických systémů, na vině bude nejčastěji zastaralé vybavení úřadů. To se týká nejen počítačů, ale i programů, které na nich běží.
Pro zastaralé produkty už jejich výrobci nevydávají bezpečnostní aktualizace, tudíž jsou takové systémy zranitelné. S postupujícím časem se navíc informace o případných „bezpečnostních dírách“ dostanou k širšímu okruhu útočníků: jako první mají obvykle nástroje k využití nějaké zranitelnosti hackeři pracující pro státní rozvědky, později i sofistikované zločinecké skupiny.
Zranitelnost se ale posléze naučí využívat i řadoví kyberkriminálníci. A jako poslední nastupují začínající hackeři, kteří zkouší, kam všude se dokážou vlámat.
Bulharsko i USA
Právě zastaralá infrastruktura se ostatně vymstila americkém městům Baltimore a Atlanta. Loni v březnu vedení Atlanty přiznalo, že radnice byla cílem vyděračského útoku, kdy hackeři zašifrovali městská data a za jejich odemčení požadovali 51 tisíc dolarů (asi 1,2 milionu korun). Byť se podařilo dvojici útočníků vypátrat, obnovení všech dat přijde město odhadem na 9,5 milionu dolarů.
Obdobný scénář se nyní odehrává v Baltimoru, zde se škody odhadují na 18 milionů dolarů, tedy v přepočtu asi 413 milionů korun.
Že nemusí nutně jít o sofistikované útočníky s podporou velmoci, ukázal i případ dvacetiletého Kristiana Bojkova. Toho bulharské úřady viní, že se letos v červenci vlámal do daňové evidence a následně zveřejnil finanční záznamy všech zletilých pracujících občanů země.
Optimalizace vyhlášky
Poslední kroky ministerstva vnitra ale napovídají, že si resort začíná rizika připouštět. Po původním návrhu ze začátku července, aby vláda zrušila loňské usnesení, jež lepší zabezpečení předpokládá, jsou zástupci vnitra ochotni vyjednávat o tom, které systémy by se přece jenom lépe zabezpečit měly.
„Nyní pracujeme na, řekněme, optimalizaci vyhlášky o VIS, která upraví rozsah zařazených systémů, na ty opravdu důležité, nikoli na všechny plošně. Následně by bylo usnesení vlády zrušeno a nahrazeno novelou příslušné vyhlášky,“ dodal mluvčí kybernetického úřadu Holý s tím, že lepší zabezpečení dostanou alespoň některé další systémy.
Předkládací zpráva ministerstva vnitra: