‚Nejsou peníze.‘ Novela měla zlepšit kyberbezpečnost ministerstev a vlády, ale vnitro ji zametá pod stůl

  • Ministerstvo vnitra chce shodit ze stolu vyhlášku, která má za úkol zvýšit bezpečnost všech informačních a komunikačních systémů na českých ministerstvech a Úřadu vlády.
  • Český kyberúřad ji připravil na pokyn vlády v reakci na únik e-mailů nejvyšších úředníků na resortu zahraničí. To hackeři napadli před dvěma lety.
  • Vnitro nyní tvrdí, že splnění požadavků by stálo miliardy a chce zabezpečení zmírnit. Kyberúřad se změnou nesouhlasí, vyhláška je podle něj úřady často obcházena.
  • Současná vláda si přitom zvyšování kyberbezpečnosti vytkla jako jednu ze svých priorit v programovém prohlášení.

Původní zpráva Praha Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Zaměstnanci ministerstva vnitra museli loni absolvovat test kybernetické bezpečnosti (ilustrační foto). | Zdroj: Fotobanka Profimedia

Na přelomu let 2016 a 2017 čelilo české ministerstvo zahraničí útoku hackerů na e-mailové účty svých zaměstnanců. Obětí kyberútoku byl i tehdejší šéf úřadu Lubomír Zaorálek (ČSSD) a jeho náměstci. Údaje měly z jejich systému unikat několik měsíců. Zaorálek tehdy vyjádřil domněnku, že byl útok proveden cizím státem, a uvedl, že podle něj bude třeba posílit personální i finanční prostředky pro kybernetickou ochranu veřejných institucí.

Jediné heslo i speciální sešítek. Jak se zákonodárci na internetu chrání proti útokům hackerů?

Číst článek

I kvůli tomu Národní úřad pro kybernetickou bezpečnost (NÚKIB) na pokyn vlády připravil na začátku loňského roku novelu vyhlášky o kybernetické bezpečnosti, která měla za úkol bezpečnost na ministerstvech zvýšit. Konkrétně vyžadovala, aby veškeré informační a komunikační systémy na jednotlivých resortech byly zabezpečené na stejné úrovni jako tzv. významné informační systémy – tedy takové systémy, jejichž nečinnost by mohla ohrozit fungování státu a jeho orgánů.

Jenže materiál chce teď po více než roce ministerstvo vnitra smést ze stolu. Respektive z ní chce povinnost pro nejvyšší úřady vyškrtnout. A argumentuje mimo jiné tím, co považoval Zaorálek za nutnost – dodržování vyhlášky by vyžadovalo více lidí a více peněz.

Jednotky miliard

„Z důvodu nedostatečného finančního a personálního zabezpečení bude zrušena povinnost členů vlády a vedoucího Úřadu vlády České republiky zabezpečit veškeré jejich úřady používané informační a komunikační systémy na stejné úrovni, jako je tomu u významných informačních systémů,“ stojí v dokumentu, který je nyní v meziresortním řízení a který má iROZHLAS.cz k dispozici.

Vládní priorita

Současná vláda premiéra Andreje Babiše (ANO) si kybernetickou bezpečnost dala jako jednu z priorit. V programovém prohlášení se o ni zmiňuje několikrát – v souvislosti s digitální transformací české společnosti, s hybridními hrozbami nebo obranou proti útokům.

„S novými technologiemi sílí rizika hybridních a kybernetických útoků. Vytvoříme funkční struktury pro předcházení a boj s hybridními a kybernetickými hrozbami. Cílem je odvracení napadení v ekonomické, finanční, politické či mediální oblasti včetně hackerských útoků a zabránění napadení infrastruktury a zneužívání takto získaných dat,“ stojí mimo jiné v programovém prohlášení.

Ministerstvo vnitra v předkládací zprávě tvrdí, že nové povinnosti by stály řádově stovky milionů korun, respektive jednotky miliard. „Doba zabezpečení je různá a odhad se vztahuje na všechny ústřední orgány České republiky,“ upřesnila pro iROZHLAS.cz mluvčí ministerstva vnitra Hana Malá.

Zatímco nyní je právě na resortu vnitra za významný považovaný například registr státních občanství nebo Portál veřejné správy, nově by na stejné úrovni museli úředníci zabezpečit třeba i docházkový systém, spisovou službu nebo mailové systémy.

Obcházení vyhlášky

NÚKIB jako autor původní novely vyhlášky s návrhem na změnu nesouhlasí. „A to kvůli tomu, že uvedené usnesení realizuje potřebu zajistit nezbytnou úroveň kybernetické bezpečnosti na ministerstvech a Úřadu vlády. Zrušením by pak došlo ke snížení požadavků na kybernetickou bezpečnost těchto klíčových institucí,“ uvedl pro iROZHLAS.cz mluvčí úřadu Radek Holý s té, že jednání s ministerstvem vnitra stále probíhá.

Poslanci Farský a Zaorálek, soudce Šámal. E-maily a hesla stovek politiků a úředníků lze koupit za 60 korun

Číst článek

Podle NÚKIB totiž nestačí, že jsou řádně zabezpečeny tzv. významné informační systémy, ale že je třeba stejným způsobem chránit kompletně všechny informační a komunikační technologie. Zdůvodňuje to v připomínkách, které k návrhu ministerstva vnitra vložil do vládního systému eKLEP.

Jako příklad kyberúřad uvádí systémy elektronické pošty a spisové služby. Ty většina krajských úřadů považuje za významné informační systémy a podle toho je i zabezpečuje. Většina ministerstev je za významné naopak nekvalifikuje a zabezpečovat je na tak vysoké úrovni nemusí. Zda je systém významný, si totiž určuje každý úřad sám.

Pokud by vyhláška tak, jak si ji přeje NÚKIB, platila, ministerstva by právě například elektronickou poštu musela zabezpečovat na stejné úrovni, jako to nyní dělají kraje, bez ohledu na to, zda ji za významné považuje, nebo nikoliv. Pokud se zmírní, jak to požaduje ministerstvo vnitra, povinnost chránit je stejně jako kraje mít ministerstva nebudou.

„Z tohoto porovnání se nabízí prostý závěr, a tedy, že dochází k obcházení vyhlášky, a proto je třeba ji novelizovat a prostor pro její obcházení zúžit,“ stojí v připomínkovém materiálu kyberúřadu. Úřad pro kyberbezpečnost připouští, že náklady můžou být vysoké. „Nemělo by to být ale důvodem pro jeho zrušení,“ dodává v dokumentu.

Z extrému do extrému

Michal Bláha z projektu Hlídač státu upozorňuje, že stát jde při navrhování změny vyhlášky o kyberbezpečnosti z jednoho extrému do druhého. „Původní usnesení vlády bylo ultimátní. Rozhodla o tom, že všechny informační systémy, bez rozlišení jejich důležitosti, dopadu a rozsahu, musí splňovat požadavky vyhlášky. Toto rozhodnutí samozřejmě může vygenerovat významné náklady. Návrh usnesení, které tento bod naopak ruší, je ultimátní opačným směrem. Opět bez rozlišení důležitosti, dopadu a rozsahu tuto povinnost ruší. Je to poletování z extrému do extrému,“ vysvětlil pro iROZHLAS.cz.

‚Pochopit to museli i technicky méně zdatní.‘ Vnitro změkčilo kybertesty pro zaměstnance

Číst článek

Podle něj by bylo vhodné, aby si stát nejdříve striktně stanovil, který systém je skutečně významný, a který nikoliv. „Nejvhodnějším postupem by bylo – a zde NÚKIB argumentuje v připomínkách velmi rozumně a pragmaticky – sjednotit, který informační systém je významný. Aby se tato kvalifikace neobcházela, jak k tomu dochází nyní,“ uvedl s tím, že pak by se měla otevřít diskuse nad finančními náklady, které by dle něj měl mít český kyberúřad právo zkoumat.

„Tyto náklady jsou velmi často silně nadhodnocené a skrývá se pod ně i jiná funkčnost či systémy či obnova starých systémů,“ dodal.

Server iROZHLAS.cz letos v lednu upozornil na to, že na internetu hackeři obchodují s e-maily a hesly téměř tisícovky českých ministerských úředníků, politiků či pracovníků justice. Volně dostupné byly přihlašovací údaje například u šéfa Nejvyššího soudu Pavla Šámala či poslance Jana Farského (STAN) nebo třeba ministra vnitra Jana Hamáčka (ČSSD).

Tereza Čemusová Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Nejčtenější

Nejnovější články

Aktuální témata

Doporučujeme