IT tendry: jen pro prověřené
Stát by měl mít v zájmu kybernetické bezpečnosti možnost odmítnout podezřelé dodavatele, zaznělo na konferenci LN.
PRAHA Migrační krize se týká nejen fyzické, ale i kybernetické bezpečnosti. Evropa se delší dobu potýká s nedostatkem kvalifikovaných IT pracovníků a lidé prchající z postižených oblastí by jej mohli pomoci řešit. Podle některých analýz má každý pětadvacátý běženec počítačové znalosti, které by se ale na některých pracovních pozicích daly využít k prolomení bezpečnostních opatření.
Přední čeští IT odborníci se však na konferenci Lidových novin s názvem Kybernetika – výzvy a rizika roku 2016 shodli, že v České republice infiltrace lidí, kteří by chtěli uvnitř státní správy vykonávat záškodnickou činnost, nehrozí. Důležitou roli přitom hraje systém bezpečnostních prověrek.
„Já i další členové vedení máme nejvyšší bezpečnostní prověrku, která je v tomto státě možná. Všichni podřízení mají o stupeň nižší, byť třeba s utajovanými informacemi nepracují,“uvedl ředitel Národního centra kybernetické bezpečnosti Vladimír Rohel s tím, že problém může vzniknout u dodavatelů z řad soukromých firem, kde je skutečná motivace zaměstnance neznámá.
V dnešní době přitom stačí například kdykoliv během výrobního a dodavatelského řetězce změnit spojení jednotlivých součástek, což nemusí být na první pohled patrné, a zařízení je hned kompromitováno. Řešením by mohl být státní program podobný britskému Cyber Essentials.
„Byl bych rád, kdyby se k tomu Česká republika někdy dopracovala, ale bohužel jsme do této fáze ještě nedospěli. Určitě je to jedna z variant do budoucna, kterou je možné se inspirovat,“uvedl Rohel.
Cyber Essentials je v podstatě seznam necelých tří desítek prověřených dodavatelů IT a bezpečnostních řešení pro státní správu. Od zařízení přes software až po školení. Program je sice otevřený, má ale přesná pravidla pro dodavatele i stát, který by si tak mohl vybírat a nedávat zakázku tomu, kdo si řekne o méně peněz.
Účastníci konference to přirovnali k situaci, kdy si běžný občan domů objedná řemeslníky, a když ti se mu z nějakého důvodu nezda- jí, prostě je k sobě domů nepustí. Což je možnost, kterou státní aparát zatím nemá.
„Určitě bychom uvítali, kdyby pro kritickou informační infrastrukturu a systémy existovala omezená skupina dodavatelů. Je to však spíše politické než technické rozhodnutí,“posteskl si Kamil Tichý z ministerstva obrany.
První kybervojáci
Právě při ministerstvu obrany by v blízké budoucnosti měla vzniknout i první česká ofenzivní kybernetická jednotka Národní centrum kybernetických sil. To by mělo stát aktivně bránit při napa- deních zvenčí a spolupracovat i s podobnými jednotkami vznikajícími v zahraničí.
Před jeho spuštěním je ale třeba vyřešit ještě hodně věcí, mimo jiné novelizovat zákony. Například ten o zpravodajských službách, kde by měla být kyberobrana svěřena vojenskému zpravodajství, či zákon o elektronických komunikacích, který by definoval případnou nápomoc internetových operátorů.
„Achillovou patou je personální oblast. V tom se ale nijak nelišíme, s příchodem zákona o kybernetické bezpečnosti je ve státním sektoru nedostatek lidí všude,“řekl Tichý.
„V platech konkurovat nemůžeme. Co se týká investic do technologií, ty přijdou až poté, co budou lidi, kteří je budou obsluhovat,“dodal k ekonomické stránce věci.