NKÚ - Kybernetická bezpečnost v ČR

Nejvyšší kontrolní úřad prověřil zajištění kybernetické bezpečnosti v letech 2015 až 2019. Kontrola ukázala, že se podařilo splnit většinu z prověřovaných úkolů Akčního plánu k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020. Spolupráce Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a Ministerstva vnitra (MV) sice funguje a v nedávné době významně pomohla při řešení útoků na zdravotnická zařízení, je ale nastavena jen na neformální úrovni a probíhá ad hoc. Na takto nastavenou spolupráci nelze do budoucna spoléhat. Stát nemá přehled o tom, kolik peněz vynakládají resorty na kybernetickou bezpečnost.

Vládní CERT (Computer Emergency Response Team), který je součástí NÚKIB, zaznamenal od roku 2017 do poloviny roku 2020 celkem 916 hlášení kybernetických incidentů. Jen na první polovinu letošního roku připadalo 31 % z nich. Tato situace ukazuje, že kybernetická bezpečnost v ČR bude vyžadovat odpovídající finance. Stát ale nemá přehled o tom, kolik peněz se na ni skutečně vynakládá. K dispozici jsou totiž pouze odhady od jednotlivých resortů.

Jiný přístup má například Velká Británie. Ta vykazuje výdaje na kybernetickou bezpečnost státu jako zvláštní položku rozpočtu. Díky tomu mohou odpovědné orgány monitorovat a vyhodnocovat vynaložené prostředky za celý stát.

Informace o výdajích na kybernetickou bezpečnost v ČR získává NÚKIB prostřednictvím dotazníků. Aby získal údaje, které potřebuje, musel v letech 2018 a 2019 provést celkem čtyři taková šetření. Z nich vyplynulo, že za roky 2015 až 2019 vydaly resorty na kybernetickou bezpečnost celkem 2,8 miliardy korun. Přesto jim ale chybí další stovky milionů.

MV, jehož výdaje na kybernetickou bezpečnost dosáhly v daných letech přibližně 750 milionů korun, odhadlo, že by k roku 2020 potřebovalo dalších 309 milionů korun. MV přitom spravuje 35 % kritické informační infrastruktury organizačních složek státu. Zároveň ale MV nevyužilo možnost čerpat na kybernetickou bezpečnost peníze z fondů EU. NÚKIB z nich čerpal celkem 112 milionů korun na dva projekty. Největší zájem o prostředky z fondů EU měla zdravotnická zařízení. Ta získala podporu na projekty za zhruba 903 milionů korun.

Spolupráci mezi NÚKIB a MV hodnotili kontroloři podle 57 vybraných úkolů Akčního plánu k Národní strategii kybernetické bezpečnosti ČR na období let 2015 až 2020. Nedostatky zjistili u osmi z nich. Dosud například nevznikl podrobný model nebo schéma, jak by měla fungovat spolupráce v oblasti kybernetické bezpečnosti. Tato spolupráce mezi MV, NÚKIB i dalšími státními orgány tak stojí především na osobních vazbách a probíhá ad hoc podle toho, jak je potřeba.

Také se nepodařilo dokončit automatizovanou platformu, díky které by se mohly sdílet vybraným ohroženým subjektům informace o kybernetických bezpečnostních hrozbách a incidentech zjištěných u kritické informační infrastruktury a u významných informačních systémů.

NÚKIB a MV se zároveň potýkají s nedostatkem odborníků. Získat a udržet si je představuje dlouhodobý problém. Do budoucna tak hrozí, že pokud se objeví několik incidentů současně, MV a NÚKIB nebudou mít dost kapacit, aby mohly pomoci i subjektům, které nespadají pod zákon o kybernetické bezpečnosti. S výjimkou poskytovatelů zdravotních služeb, kteří v posledních třech letech měli alespoň 800 akutních lůžek nebo status pracoviště specializované traumatologické péče, patří mezi tyto subjekty řada zdravotnických zařízení, která nesplňují kritéria pro zařazení mezi poskytovatele tzv. základních služeb.
(Základní služba: služba, jejíž poskytování je závislé na sítích elektronických komunikací nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení společenských nebo ekonomických činností v některém z těchto odvětví: energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, vodní hospodářství, digitální infrastruktura, chemický průmysl.)

Přitom kybernetické útoky na zdravotnická zařízení z přelomu let 2019 a 2020 ukázaly, že i když se nejedná o povinné subjekty podle zákona, měla by série útoků na ně významný dopad na celý zdravotnický systém v ČR. Kontroloři proto NÚKIB doporučili, aby prověřil, jak jsou nastavena kritéria, která určují poskytovatele tzv. základních služeb ve zdravotnictví, a případně tato kritéria upravil.

Přiložené soubory


02.11.2020 (autor Redakce)



Související

NÚKIB - Podpůrné materiály k zabezpečení videokonferencí

vydáno 29.10.2020

Jelikož se velká část komunikace, včetně například výuky na školách, opět přesunula do kyberprostoru, připomínáme materiály pro zabezpečení videokonferencí a jejich bezpečnou správu, které vypracoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Jedná se o příručku Videokonference bezpečně, leták...

Téma: Koronavirus / Obrana a bezpečnost / Podnikání / Vzdělávání

NÚKIB - Vyděračské útoky ransomwarem jsou čím dál cílenější

vydáno 16.10.2020

Ransomware je extrémně nebezpečný celosvětový fenomén, který byl opakovaně zaznamenán i v ČR, kde podobné útoky postihly soukromou i veřejnou sféru včetně oblasti zdravotnictví.

Téma: Obrana a bezpečnost

Upozornění na zvýšenou aktivitu malwaru Emotet

vydáno 06.10.2020

NÚKIB upozorňuje na zvýšenou aktivitu malwaru Emotet, který se opět šíří skrze e-mailové kampaně. E-maily mohou zcela přesně kopírovat běžně očekáváné zprávy, např. pozvánky na konference či hromadné rozesílání firemní informace. Nejen vzhledem k aktuální situaci, která opět klade zvýšené nároky na spolehlivost...

Téma: Obrana a bezpečnost


www.statnisprava.cz
© Copyright 2000 - 2020, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz