Adam Kučínský FOTO: Adam Kučínský / se souhlasem
FOTO: Adam Kučínský / se souhlasem
ROZHOVOR / Za kybernetickými útoky mohou stát cizí státy nebo organizovaný zločin, který funguje jako velká firma. Mají k dispozici ohromné prostředky a vyzkoušené postupy, říká pro FORUM 24 Adam Kučínský, ředitel odboru regulace na Národním úřadu pro kybernetickou bezpečnost (NÚKIB). Proto také NÚKIB připravuje nový zákon o kybernetické bezpečnosti, který už projednává sněmovna. V sázce je hodně, a sice jak ovlivnění země cizí propagandou, tak možnost narušit chod energetiky, dopravy i nemocnic.
Připravuje se nový zákon o kybernetické bezpečnosti, který už je zřejmě v docela pokročilé fázi. Proč je takový zákon potřeba, proč by nestačila například novela, a jak daleko už se tedy jeho příprava dostala?
Návrh zákona je nyní v poslanecké sněmovně, konkrétně v prvním čtení. Projednává se na výborech, a to na hospodářském výboru, výboru pro obranu a bezpečnostním výboru. V tuto chvíli se připravují pozměňovací návrhy, což odpovídá současné fázi legislativního procesu. Proč vlastně vzniká nový zákon a proč jsme nešli cestou novely? Rád bych nejdříve zmínil, že zákon o kybernetické bezpečnosti je v České republice účinný už od roku 2015. Od té doby prošel několika novelizacemi. Nyní přistupujeme k jeho přepracování zejména kvůli nové evropské směrnici NIS 2 (Network and Information Security 2). Tato směrnice požaduje, aby členské státy, včetně České republiky, promítly evropské požadavky na kybernetickou bezpečnost do své národní legislativy.
Vyhodnotili jsme, že bude praktičtější vytvořit nový zákon než se pokoušet o další novelizaci. Kdybychom zvolili cestu novely, mohly by vzniknout různé komplikace, například prázdné nebo zrušené paragrafy, což by znesnadňovalo orientaci jak čtenářům, tak adresátům zákona. Z legislativního a i uživatelského hlediska je tedy nový zákon přehlednější a efektivnější.
Kromě evropské směrnice NIS 2 je dalším důvodem pro nový zákon to, že původní zákon už funguje téměř deset let. Za tu dobu jsme nasbírali cenné zkušenosti s jeho aplikací, víme, co v praxi funguje dobře, co méně a co by se dalo vylepšit. Do nového zákona proto zapracováváme i zpětnou vazbu od adresátů a upravujeme některé problematické či nepřehledné části, aby legislativa lépe odpovídala současným potřebám.
Třetím důvodem, proč nový zákon o kybernetické bezpečnosti vzniká, je požadavek na zavedení takzvaného mechanismu bezpečnosti dodavatelského řetězce. Jedná se o národní institut, který není transpozicí evropské směrnice, ale byl NÚKIBu uložen k vypracování Bezpečnostní radou státu a vládou. Tento úkol pochází už z období minulé vlády a nyní se implementuje v rámci nového zákona. Samozřejmě je stále otázka, v jaké podobě tento mechanismus projde legislativním procesem.
Dá se tam čekat nějaký politický odpor, nebo to nemůžete komentovat?
Nevím, jestli politický odpor. Diskuze se však vedou v několika oblastech, zejména kolem implementace směrnice NIS 2 a jejích požadavků. Je dobré si shrnout, co směrnice NIS 2 přináší a jaké jsou její klíčové principy.
Logika zákona ani směrnice se výrazně nemění oproti stávajícímu zákonu z roku 2015. Zákon stojí na čtyřech základních pilířích. Hlášení kontaktních údajů: subjekty musí poskytovat kontaktní informace, aby s nimi NÚKIB mohl efektivně komunikovat v případě kybernetického útoku nebo jiného ohrožení, například pro zaslání varování. Pokud regulovaný subjekt čelí kybernetickému incidentu (narušení důvěrnosti, dostupnosti nebo integrity služeb), má povinnost incident ohlásit NÚKIBu. Bezpečnostní opatření zahrnují technická a organizační opatření, jako jsou interní směrnice, antiviry, segmentace sítí apod., která zajišťují bezpečnost informačních systémů. Pokud NÚKIB obdrží informace o plánované kampani či útoku (například na určitý sektor), může subjekty varovat a nařídit jim opatření, která mají přijmout. Například během pandemie covidu-19 jsme varovali nemocnice před plánovanými ransomwarovými útoky a nařídili jim konkrétní bezpečnostní kroky, které měly riziko minimalizovat.
Dotkne se nakonec nový zákon výrazně většího počtu subjektů než ten stávající?
Hlavní změnou, kterou směrnice přináší, je rozšíření rozsahu regulovaných subjektů. Zatímco současný zákon se týká zhruba 500 organizací (státních i soukromých), směrnice rozšiřuje tuto povinnost na přibližně šest tisíc subjektů. Jedná se například o elektrárny, nemocnice, provozovatele klíčových dopravních systémů a důležitých systémů veřejné správy. Tento nárůst ale nevyplývá z přání NÚKIBu, nýbrž z evropských požadavků na kybernetickou bezpečnost. Jde tedy o harmonizaci požadavků v EU.
Novinkou, která vyvolává větší diskuze, je právě mechanismus řízení bezpečnosti dodavatelského řetězce. Ten umožní státu u předem definovaných nejkritičtějších subjektů posuzovat a omezovat rizikové dodavatele. Netýká se všech šesti tisíc regulovaných subjektů, ale přibližně 150 těch nejdůležitějších, například z energetiky (elektrárny, provozovatelé distribučních sítí), z dopravy (kritické dopravní systémy), z telekomunikací a státní správy (například základní registry).
Mechanismus poskytuje státu pravomoc omezit dodavatele za předem definovaných podmínek. Nejzávažnějším opatřením může být zákaz spolupráce s rizikovým dodavatelem, ale existují i mírnější opatření, například omezení rozsahu dodávek. Cílem je snížit závislost České republiky na dodavatelích, kteří představují bezpečnostní riziko.
V médiích se psalo, že některé subjekty mají k návrhu výhrady, například mobilní operátoři. Čeho konkrétně se týkají jejich obavy?
Mobilním operátorům vadí především mechanismus bezpečnosti dodavatelského řetězce, nástroj, který by umožnil státu omezit nebo vyloučit dodavatele, pokud se u něj zjistí významná bezpečnostní rizika. Není to ale tak, že by stát mohl plošně zakazovat dodavatele bez důvodu. Každý zásah musí být odůvodněný a provedený tak, aby byl splnitelný a neohrozil provoz sítí či kritických služeb. Jinak by takový zásah mohl ohrozit samotné fungování infrastruktury, což by bylo v rozporu s cíli zákona.
Obavy operátorů mohou být částečně ekonomické, protože změna dodavatelů představuje náklady. Nicméně obava, že by stát mohl „ze dne na den“ zakázat nějakého dodavatele, není namístě. Ten proces je záměrně nastaven tak, aby byl pečlivě posouzen a koordinován, a to jak z technologického, tak i politického hlediska.
Bezpečnostní situace ve světě se zhoršuje. Hrozby, jako geopolitické napětí s Ruskem či riziko konfliktu v Jihočínském moři, rostou. Tyto situace ovlivňují i kybernetickou bezpečnost a ukazují, že je potřeba těmto rizikům čelit s předstihem. Zákon proto nepočítá s okamžitým uplatněním opatření – vyžaduje dlouhodobou přípravu a důslednou analýzu.
V návrhu mechanismu jsou zároveň implementovány kontrolní mechanismy a brzdy, které neumožňují ten mechanismus nějak zneužít, což se odpůrci mechanismu snaží tvrdit.
V počátcích příprav zákona se diskutovalo o tom, zda je mechanismus vůbec potřeba. Tento spor se již snad podařilo vyřešit a nyní se debata soustředí na otázku, kdo bude mít konečné rozhodovací pravomoci.
Lidi, aspoň některé, by zřejmě zajímalo, kdo bude mít poslední slovo…
Návrh zákona, který schválila vláda, jasně stanoví, že NÚKIB nebude rozhodovat o těchto věcech sám. Celý proces je navržen tak, aby obsahoval kontrolní mechanismy a zapojoval širší bezpečnostní komunitu i politickou reprezentaci. Ten proces vypadá takto: nejdřív se zmapují dodavatelé. Jde o získání přehledu, kdo dodává technologie a služby do kritických systémů. Dnes stát takový přehled nemá, protože neexistuje povinnost dodavatele registrovat. To se musí změnit. Pak následuje analýza rizik. NÚKIB ve spolupráci s dalšími institucemi, jako jsou zpravodajské služby, Policie ČR, Finanční správa či Úřad pro ochranu hospodářské soutěže, analyzuje rizika spojená s konkrétními dodavateli. Pak přijde na řadu konzultace s Bezpečnostní radou státu, což je orgán složený z klíčových ministrů, například obrany, vnitra, průmyslu nebo třeba financí. Tento krok zajišťuje, že do rozhodování jsou zapojeni zástupci politické reprezentace.
Před vydáním jakéhokoliv opatření musí také proběhnout konzultace s odvětvovými regulátory, například Energetickým regulačním úřadem nebo Českým telekomunikačním úřadem, a s ministerstvem financí. Tím je zajištěno, že jsou zohledněny dopady na dané sektory i ekonomické důsledky. Až na základě těchto kroků může být vydáno opatření o omezení konkrétního dodavatele. Zároveň pokud by omezení dodavatele mělo být realizováno před ukončením životního cyklu daných nařízení, musí navíc ještě dojít ke schválení vládou.
Takže vláda do toho nakonec nebude zasahovat?
Vláda je do toho zapojena vždy, ať již přímo, nebo nepřímo. Míra zapojení se ještě na úrovni sněmovny řeší, protože to je moc zákonodárná, která o těch zákonech rozhoduje. Tyto diskuze se tady vedou už opravdu roky a teď to vypadá, že se blíží do nějakého finále.
Jaké kontroverzní otázky se kolem tohoto zákona objevují? Je spojen s nějakou administrativní nebo byrokratickou zátěží?
Ano, to se taky řeší. Pokud chcete zlepšit bezpečnost, není to jen záležitost technických opatření, jako jsou antiviry nebo firewally, ale i organizačních opatření. Tam patří třeba plány, jak postupovat při výpadku systému, jaké jsou bezpečnostní směrnice pro zaměstnance, aby věděli, co mohou a nemohou dělat s firemními ICT systémy, a jasně definované smluvní vztahy s dodavateli ICT služeb. To samozřejmě určitou administrativu vyžaduje, ale to je pro zajištění funkční kybernetické bezpečnosti nezbytné. A stále platí, že největší hrozbou v kybernetické bezpečnosti je nakonec uživatel.
Existují dva režimy regulace. Vyšší týkající se zhruba tisícovky organizací z celkových šesti tisíc, které spadají pod tuto regulaci. Ty budou muset zavést systém řízení bezpečnosti informací, který vychází z mezinárodních norem. Často už firmy tyto normy znají nebo aplikují, takže změny pro ně nebudou kritické. Pak je tu nižší režim, kam spadá většina subjektů (zhruba pět tisíc). Tam se požaduje minimum nutných opatření pro bezpečný provoz ICT. Firmy si samy vyhodnotí, která opatření jsou relevantní a která na základě nízkého rizika nebo jiných faktorů zavádět nemusí.
Administrativa bude znamenat i to, že firmy budou muset dokumentovat, která opatření zavedly a která ne, a uvést důvody. To je logické, protože to umožňuje kontrolu a zajišťuje „institucionální paměť“ firmy. To je zásadní, protože zaměstnanci přicházejí a odcházejí. Pak noví pracovníci často nevědí, proč se nějaká opatření zavedla, nebo naopak vynechala.
Kontroverzní otázkou může být, kdo má rozhodovat v různých situacích, jestli úředníci, nebo politici. V některých případech, například při rozhodování, zda je nemocnice důležitá z hlediska kybernetické bezpečnosti, by mělo jít o odborné, nikoli politické rozhodnutí. Například větší nemocnice zasažená kybernetickým útokem má větší dopad na dostupnost zdravotní péče pro občany. Proto by se některá rozhodnutí měla držet odborné roviny a nepodléhat politickým tlakům.
Šlo by vysvětlit, jak vlastně v reálu vypadá takový kybernetický útok, na koho míří, kdo to dělá, jestli se dá nějak lidově popsat?
Zkusím to popsat lidově. Napřed tedy kdo to dělá. Jsou tu jednak státní aktéři a jsou tu typicky nějaké zločinecké skupiny, to jsou nejčastější a nejnebezpečnější skupiny útočníků. Když bych začal u těch státních aktérů, to je samozřejmě poměrně citlivá záležitost, to znamená přiřadit někomu konkrétní útok, pokud se tím sami nechlubí. Poměrně časté jsou v tomto roce útoky ruských skupin nebo ruskojazyčných hacktivistických skupin. Ty provádějí DDoS útoky na dostupnost nějaké webové služby a ta potom spadne a oni se tím sami chlubí, protože se tím snaží dodat si důležitost a získat prestiž. Takové útoky pro ně neznamenají velké náklady a zpravidla nemají vážné dopady.
Jsou tady samozřejmě i útoky závažnější, třeba krádeže dat. Tady už je přiřazení konkrétní skupině složitější, nicméně i to se někdy daří. V České republice se jednalo o případ, kdy se určitý kyberútok přiřadil ruským aktérům označovaným jako APT 28. Tyhle státní skupiny mají zpravidla jiné cíle než kyberkriminální, kde jde o peníze. Cílem je šířit ve společnosti nějaký narativ, ovlivňování nějakého názoru, destabilizace společnosti a podobně. Ve chvíli, kdy se vám daří společnost rozkládat, máte výhodnější pozici, pokud stát chcete nějak narušit.
Pokud jde o „pouhé“ zločinecké skupiny, kterým jde o peníze, jak je z nás dostanou?
Velmi populární je ransomware, škodlivý kód, který vám zašifruje data, to znamená, znedostupní vám je a útočníci potom chtějí výkupné za to, že vám to znovu odemknou. To je vcelku lukrativní byznys a dopady jsou velmi výrazné. Organizace zasažená takovým útokem přestává fungovat, což je samozřejmě cílem útočníků, protože ji chtějí donutit k zaplacení výkupného. Předpokládá se, že kybernetická kriminalita v příštím roce překoná, co se týká objemu peněz, které se v ní točí, třetí největší ekonomiku světa, tedy Japonsko, tedy vygeneruje více než Japonsko jako takové.
Dá se něco takového účinně zastavit?
Nemůžeme předpokládat, že by se situace zlepšovala, spíše se bude zhoršovat, protože kyberkriminální skupiny nakládají s obrovským množstvím peněz, které pak mimo jiné investují zpátky do rozvoje svých útočných schopností. Dnes ty skupiny fungují jako průmyslová firma, to znamená, že mají systém řízení, kde je nějaký ředitel, mají technický týmy, které vyvíjejí ransomware, mají uživatelskou podporu. To znamená, že ve chvíli, kdy vám počítač nebo síť zašifrují, tak je tam uvedený telefon, kam zavoláte, ukážou vám, že to umí odemknout, a provedou vás procesem zaplacení výkupného.
Jaké černé scénáře by mohly nastat?
Cílem útoku mohou být třeba energetické sítě: pokud by byl kyberútok úspěšný, může dojít k plošnému výpadku elektřiny (blackoutu), což má obrovský ekonomický a společenský dopad. Byl tu známý incident společnosti CrowdStrike, který ukázal, že chyba nebo útok na jednoho dodavatele může zasáhnout všechny jeho klienty. V USA tato chyba vedla k zastavení letového provozu, což poukazuje na nutnost zabezpečení nejen vlastního systému, ale i dodavatelů. Proto je nutné zavádět bezpečnostní opatření nejen na úrovni firem, ale i celých dodavatelských řetězců. Vážné dopady mají také útoky na zdravotnický sektor, tedy nemocnice, kde může docházet nejen k finančním škodám, ale i škodám na životech a zdraví. Proto je nezbytné kybernetickou bezpečnost řešit.
