Bezpečnostní dohledové centrum pokládají analytici společnosti Ernst & Young za důležitý prvek ochrany a prevence v boji proti kybernetickým hrozbám. Z jejich loňského celosvětového průzkumu však vyplývá, že téměř dvě třetiny českých organizací podobnou organizační jednotkou či pracovištěm nedisponují. I přesto se polovina tuzemských subjektů domnívá, že dokáže odhalit vyspělé formy kybernetických útoků. Minimálně ve formální rovině by se situace měla výrazně změnit, od počátku letošního roku v České republice platí zákon o kybernetické bezpečnosti č. 181/2014 Sb.
V tento okamžik by již všechny organizace měly mít jasno v tom, zda se jich nová legislativa týká. Na přijetí příslušných opatření mají podle znění zákona lhůtu jeden rok od nabytí jeho účinnosti nebo od svého určení. Podle neoficiálního vyjádření zástupců NBÚ nebudou již tak nízké sankce za neúmyslné neplnění požadavků zákona uplatňovány.
Nová úprava v sobě kombinuje prvky právní, technologické a organizační. V podstatně jednodušší situaci se z hlediska implementace zákonných opatření nacházejí organizace, které splňují parametry normy ISO/IEC 27000. Z nich totiž vycházejí některé procesní požadavky tzv. kybernetického zákona. A právě nastavení či prověření bezpečnosti a související komunikace představovalo a stále ještě představuje alespoň teoreticky impuls pro nárůst poptávky po souvisejících produktech a službách.
Před nekritickým spoléháním na certifikaci ISO 27001 varuje Ivan Svoboda, Business Development Manager for ICT Security společnosti Anect. Podle jeho mínění tato norma nedokáže zajistit reálnou schopnost detekce pokročilých hrozeb. Podobný názor zastává i Petr Zahálka, Security Team Leader ze společnosti Avnet. Normu a certifikace ISO 27001 pokládá za jednu z mnoha součástí procesu ochrany před kybernetickými hrozbami.
Silnější vítr do napjatých plachet
Dodavatelům bezpečnostních řešení a služeb jsme položili otázku, jak se zákon o kybernetické bezpečnosti promítl do jejich byznysu. Viditelně se na jeho přijetí připravovali. Vznikly specializované webové stránky, diskuse a samostatné týmy nebo pracoviště.
Jak však z reakcí oslovených subjektů vyplývá, nejspíše žádnou z povinných osob zákon o kybernetické bezpečnosti nezaskočil zcela nepřipravenou. Jak dodává Luděk Mandok, Security Offer Manager společnosti Autocont CZ: "U velkých organizací je většina požadovaných opatření již dávno implementována, většinou se jen potřebují ubezpečit, že mají implementováno vše a správně."
Bezpečnostní byznys se samozřejmě vyvíjí dlouhodobě a rozhodně jej neovlivňuje pouze aktuálně přijatá legislativa. O digitálních hrozbách a jejich dopadech na život podniků referují svorně oboroví analytici i dodavatelé. Pod dojmem všudypřítomného ohrožení, vnějšího i vnitřního, posilují podniky svou obrannou infrastrukturu, což mimo jiné znamená, že řada z nich překračuje elementární požadavky legislativy.
Petr Zahálka ze společnosti Avnet v této souvislosti uvádí, že není vždy možné identifikovat projekty, které vznikají z popudu implementace opatření kybernetického zákona. Zaznamenává však růst zájmu o vybraná řešení či služby u subjektů, jež do jeho působnosti nesporně spadají.
V některých případech platnost kybernetického zákona urychlila realizaci připravovaných projektů, které by vznikly i bez legislativních požadavků. Ivan Svoboda z firmy Anect dodává, že některé organizace pozastavily budování bezpečnostních řešení z důvodu jejich sladění s požadavky legislativy. Po jejich vyjasnění projekty opět spustily.
Svoboda rovněž odhaduje, že přímá souvislost s plněním požadavků zákona existuje přibližně u čtvrtiny až poloviny realizovaných zakázek. Růst relevantní poptávky očekává i v roce 2016. Podle něj dojde k postupnému přesunu zájmu od přípravných služeb v podobě analýz souladu a identifikace potřeb směrem k nápravným opatřením a dodávkám chybějících nebo nedostačujících prvků.
V obecné rovině se převážná část byznysu, jenž kybernetický zákon nejspíše přináší, odehrává v konzultační a poradenské rovině. Oslovení dodavatelé se shodují na tom, že v souvislosti s jeho působností realizují analýzy prostředí a procesů z pohledu bezpečnosti, identifikují slabá místa a navrhují odpovídající řešení. Vedlejším efektem se stávají blíže nekvantifikované dodávky systémů, jež analytickou činnost a dohled automatizují. Další shoda panuje také v oblasti lidských zdrojů. Na jejich nedostatečné množství a neodpovídající kompetence upozorňují v podstatě všichni oslovení dodavatelé bezpečnostních služeb.
Jejich mínění nejspíše potvrzují i nejčastější nedostatky v ochranné infrastruktuře tuzemských organizací. Konkrétně jde o nedostatečnou schopnost detekce bezpečnostních incidentů (zejména pokročilých forem) a o nesoulad mezi relevantními předpisy a nastavením technických prostředků. Mnoho organizací spoléhá na tradiční prvky ochrany, jež však neodpovídají současné úrovni a vyspělosti hrozeb.
Podle slov Jiřího Tesaře ze společnosti Cisco napomáhá kybernetický zákon těmto podnikům odhalovat slabiny, zejména v oblasti vnitřní bezpečnosti. Dodejme, že tento legislativní tlak není neopodstatněný. Zákon o kybernetické bezpečnosti nepředstavuje jedinou legislativní normu, která ovlivní digitální životy tuzemských organizací. Sám ostatně projde, jak upozorňuje Luděk Mandok z firmy Autocont CZ, řadou novelizací a rozšířit se může i jeho působnost.
NBÚ v minulém roce definoval Národní strategii kybernetické bezpečnosti na období let 2015 až 2020. Koncem května vláda schválila Akční plán kybernetické bezpečnosti ČR na stejné období, který klade mimo jiné velký důraz na vzdělávání expertů.
Nedostatek kompetentních
Implementace zákona o kybernetické bezpečnosti se podle zástupců Ness Technologies a LMC projeví i na trhu práce. Podle jejich názoru nejsou zkušení bezpečnostní experti v tuzemsku k dispozici v dostatečném množství. Podle LMC činí nástupní mzda bezpečnostních specialistů 41 200 korun, v případě zkušených profesionálů jde o dvojnásobek. Kvalifikovaní pracovníci se stanou nedostatkovým zbožím především ve veřejném sektoru.
Úkoly bezpečnostních expertů lze rozdělit do tří oblastí. V rámci první musí adekvátně nastavit a udržovat ochrannou infrastrukturu v organizaci. S tímto úkolem samozřejmě mohou pomoci externí dodavatelé a nejspíše se tak běžně děje ve veřejném i soukromém sektoru.
Obsah druhé oblasti souvisí s vyhodnocováním informací získaných z bezpečnostních systémů. Podle slov Ivana Janouška, soudního znalce v oblasti IT, by adekvátní délka praxe expertů na ochranu neměla být kratší pěti let. Sledování a vyhodnocování incidentů lze samozřejmě do značné míry automatizovat, ale organizace nikdy nemůže mít jistotu, že některou hrozbu nepřehlíží nebo nepodceňuje.
Třetí oblast působnosti bezpečnostních expertů lze označit termínem akceschopnost. Konkrétně jde o dostatek pravomocí k vynucení bezpečnostních pravidel nebo k zásahu proti narušiteli. Podle Janouška budou mít v tomto ohledu experti ztíženou situaci zejména ve veřejném sektoru, v němž se nejspíše zařadí nejvýše na úroveň ředitelů odborů. Otázkou je, zda současně získají kompetence pro realizaci zásahů ve vyšších strukturách svých organizací.
Říjen 2011
Národní bezpečnostní úřad byl ustanoven gestorem problematiky kybernetické bezpečnosti a národní autoritou pro tuto oblast; vzniklo Národní centrum kybernetické bezpečnosti a Rada pro kybernetickou bezpečnost.
Květen 2012
Vláda schválila věcný záměr zákona o kybernetické bezpečnosti z dílny NBÚ, resp. NCKB.
Duben 2013
Návrh zákona o kybernetické bezpečnosti byl rozeslán do meziresortního připomínkového řízení.
Leden, červen a červenec 2014
Návrh zákona o kybernetické bezpečnosti schválila Vláda ČR, následně Poslanecká sněmovna a posléze Senát.
Srpen 2014
Zákon o kybernetické bezpečnosti podepsal prezident a pod číslem 181/2014 nabyl platnosti vyhlášením ve Sbírce zákonů ČR.
Prosinec 2014
Prováděcí právní předpisy byly zařazeny do Sbírky zákonů - Vyhláška o kybernetické bezpečnosti, Vyhláška stanovující významné informační systémy a jejich určující kritéria a novelizace nařízení vlády o kritériích pro určení prvků kritické infrastruktury.
Leden 2015
Zákon o kybernetické bezpečnosti nabyl účinnosti.
