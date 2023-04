Válka na Ukrajině jako budíček, že šetřit na bezpečnosti se nevyplácí. Česko proto přitvrzuje. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) pracuje na zákonu o kyberbezpečnosti, díky kterému „dosáhne“ na šest tisíc subjektů oproti současným čtyřem stovkám. Kromě toho bude moct říct, které firmy pustí do kritické infrastruktury. „Z každé krize bychom se měli poučit,“ říká v rozhovoru pro iROZHLAS.cz náměstek Tomáš Krejčí. Rozhovor Praha 6:00 1. dubna 2023 Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít Tomáš Krejčí pracuje na NÚKIB od vzniku úřadu. „Chceme, aby se bezpečnost řešila přiměřeně, aby to nebylo tak, že půjdeme s kanonem na vrabce,“ říká v rozhovoru pro iROZHLAS.cz | Foto: René Volfík | Zdroj: iROZHLAS.cz

Začneme nedávným varováním Národního úřadu pro kybernetickou a informační bezpečnost před aplikací TikTok. Proč až teď? O tom, že aplikace sbírá velké množství dat, a to, že pochází z Číny, se ví už dlouho.

NÚKIB hrozby v kyberprostoru monitoruje kontinuálně, pokud se bavíme o sociálních sítích, můžu vás ubezpečit, že se věnujeme všem. K varování vůči TikToku jsme přistoupili ze tří důvodů.

První je, že aplikace shromažďuje velké množství dat o uživatelích, která nepotřebuje pro své fungování. Zadruhé společnost, která TikTok provozuje, sídlí ve specifickém politickém a právním prostředí Čínské lidové republiky.

Zatřetí pak to, že roste počet uživatelů aplikace. TikTok v Česku v současné době používají dva miliony uživatelů.

Předpokládáte, že si běžní uživatelé vezmou vaše varování k srdci a aplikaci si odinstalují?

Varování NÚKIB je adresováno subjektům spadajícím pod zákon o kybernetické bezpečnosti. O vážnosti této hrozby nicméně vypovídá také to, že jsme v rámci varování doporučili i široké veřejnosti zvážit užívání aplikace. Všechno, co tam budete sdílet, v podstatě spadá pod právní prostředí Číny.

Chápu varování směrem k subjektům kritické infrastruktury, jaké je ale riziko pro běžného uživatele?

Je to o vašem soukromí, musíte se sama rozhodnout, jestli chcete aplikaci používat a jestli data, která aplikace sbírá, jste ochotna sdílet. Nedá se říct, že TikTok sbírá velké množství dat a že jiné sítě to nedělají. Varování před TikTokem jsme ale vydali na základě všech tří aspektů dohromady, jak jsem zmiňoval na začátku.

Navíc aplikace TikTok sbírá informace nejen o zařízení, na kterém je nainstalovaná, ale i o okolních zařízeních. Takže potenciálně i o kritické infrastruktuře. Díky tomu mohou potenciální útočníci získat informace o tom, jaké systémy se v kritické infrastruktuře používají, a přizpůsobit tomu útok.

Nárůst ve zdravotnictví

NÚKIB nyní připravuje nový zákon o kybernetické bezpečnosti. Proč je potřeba?

Dá se říct, že Česko je v současnosti na křižovatce kybernetické bezpečnosti a nová legislativa reaguje na to, abychom zvolili tu správnou cestu. Nový zákon stojí na třech základních pilířích. Reaguje na dynamický vývoj v kybersvětě a současnou bezpečnostní situaci.

Co je to směrnice NIS2? Směrnice Evropského parlamentu a Rady přináší změny do zajišťování kybernetické bezpečnosti a týká se nejen organizací, které jsou již nyní podle aktuálního zákona o kybernetické bezpečnosti povinny své systémy zabezpečovat, ale i velkého množství organizací, které budou do regulace spadat nově a do dnešního dne žádné povinnosti plnit nemusely. Ze 400 subjektů se povinnost rozšíří na celkem šest tisíc subjektů. NÚKIB spustil speciální web věnovaný této změně.

Je nezbytně nutné transponovat evropskou směrnici NIS2 do českého právního systému. A v neposlední řadě reflektujeme i zkušenosti, které jsme získali aplikací současného zákona o kybernetické bezpečnosti.

S novým kyberzákonem a zapracováním evropské směrnice NIS2 se násobně rozšíří počet subjektů, které budou spadat pod vaši regulaci. O jakých číslech mluvíme?

S postupem digitalizace společnosti se týká kybernetická bezpečnost každého z nás. Proto v této souvislosti dochází k navýšení většího počtu firem a subjektů. Nárůst bude přibližně ze 400 subjektů na více než šest tisíc. Nově to bude 60 služeb v 18 odvětvích, například potravinářství či odpadní hospodářství.

Markantní nárůst bude třeba v odvětví zdravotnictví, kdy ze 44 subjektů bude nově pod zákon o kybernetické bezpečnosti spadat 1000 až 1200 zařízení.

Kromě toho nový zákon také přinese mechanismy, jak kontrolovat bezpečnost dodavatelských řetězců. Dalo by se nějak lidsky popsat, co to je?

Můžu to přiblížit na období před vypuknutím války na Ukrajině a závislosti na ropě a plynu z Ruska. Jaká bude reakce společnosti, když se budeme bavit o omezení dodávek plynu a ropy z Ruska v této době?

Přestože bezpečnostní komunita na rizika s tím spojená dlouhodobě upozorňovala, zvítězil ekonomický aspekt. Důsledky tohoto rozhodnutí jsme všichni pocítili v předchozím roce.

Tomáš Krejčí Náměstek pro sekci Národní centrum kybernetické bezpečnosti (NCKB). Tomáš Krejčí pracuje na NÚKIB od vzniku úřadu. Od července 2022 je 1. náměstkem ředitele pro řízení sekce, která má na starosti také vznik nového zákona o kybernetické bezpečnosti.

Bezesporu se mnou budete souhlasit, že bychom se z každé krize měli poučit. To je jeden z důvodu a možná ten nejdůležitější, proč se musíme vyhnout strategickým závislostem na rizikových dodavatelích u informačních a komunikačních technologií.

Koho se bude prověřování, jakou firmu si do svého dodavatelského řetězce pustí, týkat?

Je potřeba oddělit to, které subjekty budou nově spadat pod zákon o kybernetické bezpečnost, a to, kterých subjektů se bude týkat prověřování bezpečnosti dodavatelských řetězců.

Chceme, aby se bezpečnost řešila přiměřeně, aby to nebylo tak, že půjdeme s kanonem na vrabce. Prověřování dodavatelských řetězců se proto bude týkat strategicky významné infrastruktury. Tedy toho nejkritičtějšího, co v případě, že daný systém nebude fungovat, může ochromit chod státu a má dopad na každého občana ČR, například energetika nebo telekomunikace. Bavíme se zhruba o 150 nejvýznamnějších subjektech v Česku.

Nový zákon o kybernetické bezpečnosti NÚKIB připravuje nový zákon o kybernetické bezpečnosti, nyní míří jeho návrh do meziresortního připomínkového řízení. Pokud vše půjde dobře, začně platit na podzim 2024. Zákon je potřeba přepsat kvůli „přenosu“ evropské směrnice NIS2. Ta rozšíří počet subjektů, na které bude NÚKIB dohlížet – ze současných čtyř stovek na šest tisíc. Kromě toho díky novému zákonu si Česko bude moci pohlídat bezpečenost dodavatelských řetězců, tedy to, jaké firmy pustí do své nejkritičtější infrastruktury. Pod tuto nejpřísnější regulaci bude spadat přibližně 150 subjektů, například telekomunikace či elektrárny.