Vnitro po kritice couvlo. ‚Nechtěné‘ zabezpečení proběhne u části IT systémů, náklady budou třetinové
V červnu chtěl resort vnitra shodit pod stůl novelu vyhlášky o kyberbezpečnosti, jak informoval server iROZHLAS.cz. Ta nařizovala lépe zabezpečit všechny informační systémy vlády a ministerstev před hackery. Vnitro ale tvrdilo, že by to stálo víc než případný útok. Nakonec resort ustoupil a s kyberúřadem, který proti zrušení vyhlášky protestoval, se dohodl na kompromisu – zabezpečovat se budou jen vybrané systémy a vše přijde na třetinu.
„Národní úřad pro kybernetickou a informační bezpečnost nemohl souhlasit se snížením standardu ochrany informačních systémů na ministerstvech a Úřadu vlády v podobě, v jaké by k němu došlo prostřednictvím zrušení výše zmíněné povinnosti zabezpečit všechny systémy alespoň na úroveň významných informačních systémů. Došlo tedy k jednání zástupců našeho úřadu a ministerstva vnitra. Na něm vznikla oboustranně akceptovatelná dohoda,“ uvedl pro iROZHLAS.cz mluvčí kyberúřadu Radek Holý.
‚Nejsou peníze.‘ Novela měla zlepšit kyberbezpečnost ministerstev a vlády, ale vnitro ji zametá pod stůl
Číst článek
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) na pokyn vlády připravil na začátku loňského roku novelu vyhlášky o kybernetické bezpečnosti, která měla za úkol bezpečnost na ministerstvech zvýšit.
Konkrétně vyžadovala, aby veškeré informační a komunikační systémy na jednotlivých resortech byly zabezpečené na stejné úrovni jako takzvané významné informační systémy – tedy takové systémy, jejichž nečinnost by mohla ohrozit fungování státu a jeho orgánů.
Jenže materiál chtělo po více než roce ministerstvo vnitra smést ze stolu. Respektive z něj chtělo povinnost pro nejvyšší úřady vyškrtnout. A argumentovalo mimo jiné tím, že dodržování vyhlášky by vyžadovalo více lidí a více peněz. Kolem nákladů na zabezpečení panovala řada nejasností a resort vnitra si v komunikaci o nich sám protiřečil, jak redakce iROZHLAS.cz informovala zde.
Kompromisní řešení
Už v srpnu, poté, co redakce informovala o tom, že se vnitro proti lepšímu zabezpečení postavilo, sám ministr Jan Hamáček (ČSSD) připustil, že některé systémy v režii resortu budou potřebovat lepší zabezpečení. Nyní už je jasné, jak bude kompromisní návrh vypadat.
Lépe zabezpečit IT systémy vnitra se nevyplatí, napsal ministrům Hamáček. Čísla ale naznačují opak
Číst článek
„Novela vyhlášky o významných informačních systémech má za cíl vytipovat ty opravdu důležité systémy a zabezpečit je. Postupovat se bude selektivně, na základě stanovených kritérií, nikoli plošně,“ popsal pro iROZHLAS.cz mluvčí ministerstva vnitra Adam Rözler.
Nebudou se tak více zabezpečovat veškeré informační systémy, ale jen ty, které jsou pro chod státní správy skutečně stěžejní. Lépe by tak měla být chráněna třeba spisová služba nebo systém zadávání veřejných zakázek.
„Některé méně důležité systémy, které slouží pouze k vnitřnímu řízení dané organizace a jejichž případná nefunkčnost občany nijak vážně nezasáhne, budou zabezpečeny na úrovni nižší,“ dodal Holý z kyberúřadu.
Takové řešení už dříve navrhoval odborník na IT Michal Bláha z projektu Hlídač státu. „Nejvhodnějším postupem by bylo – a zde NÚKIB argumentuje v připomínkách velmi rozumně a pragmaticky – sjednotit, který informační systém je významný. Aby se tato kvalifikace neobcházela, jak k tomu dochází nyní,“ uvedl tehdy na dotaz redakce.
Třetinové náklady
Debata o lepším zabezpečení úřadů proti možným útokům hackerů se dlouhodobě točí především kolem peněz. Když na přelomu let 2016 a 2017 muselo ministerstvo zahraniční čelit kyberútokům na e-mailové účty svých zaměstnanců, tehdejší šéf resortu zahraničí Lubomír Zaorálek (ČSSD) řekl, že je třeba kvůli tomu veřejné instituce posílit personálně i finančně.
Proruští aktivisté šířící dezinformace jsou jednou z nejzávažnějších hrozeb, píše BIS ve výroční zprávě
Číst článek
Argument vysokých nákladů použil Hamáček, když chtěl v polovině letošního roku povinnost přísnějšího zabezpečení zrušit. „Zabezpečení… představuje významnou finanční zátěž, která nemusí odpovídat možným následkům, k jejichž vzniku by mohlo v důsledku kybernetického útoku na tyto systémy dojít,“ napsal tehdy do předkládací zprávy.
V ní také tvrdil, že by nové povinnosti stály řádově stovky milionů korun, respektive jednotky miliard pro všechny ústřední orgány České republiky. Po dotazech redakce mluvčí resortu vnitra Ondřej Krátoška upřesnil, že jen zabezpečení informačních systémů vnitra by stálo zhruba 1,6 miliardy korun.
Aktuální postup by měl být podle Holého z kyberúřadu výrazně levnější. „Dle průzkumů NÚKIB by měly náklady na zajištění kybernetické bezpečnosti ministerstev a Úřadu vlády v případě výše popsaného postupu klesnout na cca třetinu původního odhadu,“ uvedl.
Novela vyhlášky, která nově určí, co zabezpečovat více a co ne, by měla začít platit v první třetině příštího roku. Vyhláška navíc podle Holého rozkládá finanční zatížení do tří let.