Dobudování Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), který se vlivem útoků na české nemocnice nebo varováním před Huawei dostal do širšího povědomí, má vyjít na necelých šest miliard korun. Jde o náklady do roku 2027, do kdy chce kybernetický úřad nabrat plný počet plánovaných lidí, dostavět nové sídlo a realizovat další rozvojové plány.
Čísla vyplývají z koncepce rozvoje NÚKIBu (PDF), kterou už dříve v utajeném režimu schválila vláda. Úřad se letos plánuje dostat na počet 269 zaměstnanců z loňských 221 s tím, že do roku 2027 by se toto číslo ideálně mělo zvednout až na 417. Zatímco v roce 2020 náklady činily 425 milionů korun, letos už má jít o 588 milionů a v roce 2027 o 638 milionů.
V letech 2024 a 2025 má číslo vystřelit výrazně výše, a to na jednu miliardu, respektive 1,6 miliardy korun. Tento výrazný nárůst na dvouleté období má být způsoben mimo jiné „nutností periodické obnovy technické infrastruktury“.
NÚKIB pod vedením Karla Řehky konkrétně počítá s částkou 5,9 miliardy korun na schválené rozvojové plány startující letošním rokem. Takzvaná nulová varianta má 3,1 miliardy (viz přiložený graf).
Týmy rychlého nasazení
Premisa nabírání lidí nebo zvyšování nákladů, se kterou kyberúřad argumentuje, je jednoduchá. Kyberútoků a incidentů je čím dál více, a aby NÚKIB mohl plnit zákonem dané požadavky a účely, kvůli kterým byl založen, potřebuje více lidí a kapacit. Zároveň musí zvyšovat platy tak, aby byl konkurenceschopný na žádaném trhu s odborníky na kybernetickou bezpečnost. Dále je nutné garantovat plnění úkolů v práci s utajovanými informacemi a prozkoumávat nové trendy v bezpečnosti a IT.
Varianty vývoje NÚKIBu
Od roku 2022 se proto například počítá s vytvořením týmů rychlé reakce (Rapid Response Team, RRT). Tyto jednotky mají být připraveny k okamžitému vyslání na místo kybernetického útoku. Vychází se třeba ze zkušeností z loňských útoků na nemocnice, kdy NÚKIB na postižená místa vyslal své lidi, ale ti pak chyběli v běžné činnosti. RRT mají být primárně technické jednotky s možností doplnění netechnickými profesemi.
Vybudovat se mají také dostatečné kapacity na oblast řídicích a průmyslových systémů (SCADA). To jsou ve firmách často nezabezpečené body, přes které lze útočit. Jak jsme na Lupě psali, zranitelných systémů tohoto druhu u nás mohou být až tisíce. Dále se mají zvětšovat možnosti kapacity pro nadresortní projekty, zlepšovat cvičení nebo rozvíjet projekty, jako jsou honeypoty nebo bezpečnostní sondy na úřadech. Těchto sond bylo doposud nasazených dvacet.
Nové prostory a odloučení od NBÚ
NÚKIB plánuje do konce roku 2026 dostavět nové sídlo v Brně v Černých Polích. To má pojmout kolem čtyř stovek lidí, náklady mají být 350 milionů korun. Do té doby je ale třeba nalézt dočasné prostory, aby dokázaly pojmout nové lidi a projekty. Zřejmě se rekonstruují již existující státní objekty. Kyberúřad sídlí i v Praze, zejména tedy vedení, kde se má dokončit odloučení od Národního bezpečnostního úřadu, z něhož byl NÚKIB v roce 2017 odštěpen. I zde budou potřeba prostory.
Plán na dobudování a následný rozvoj NÚKIBu
NÚKIB chce v rámci koncepce rozvoje do roku 2027 mít dostatek kapacit na několik druhů činností. Jde o ochranu utajovaných informací, regulaci, kontrolu a audity dle zákona o kybernetické bezpečnosti, provoz vládního bezpečnostního CERT týmu, zvládání incidentů, forenzní analýzu a analýzu síťového provozu a škodlivého kódu, penetrační testování či vývoj vlastních nástrojů, tvorbu politik, prověřování služeb cloudových dodavatelů, vzdělávání, výzkum, certifikaci, právní podporu a další. NÚKIB byl rovněž pověřen řízením přístupu (PRS) k evropské satelitní službě Galileo.
NÚKIB dle svých údajů v loňském roce řešil kolem stovky bezpečnostních incidentů, v roce 2019 jich bylo 78 a rok předtím 54. Nejvíce viditelné byly loňské ransomware útoky na zdejší nemocnice. Mimo jiné řeší postup vůči čínským technologiím Huawei a ZTE v 5G sítích.
Miliardové škody
„Incidenty, které v současnosti postihují systémy důležité pro chod ČR, mohou mít značné ekonomické dopady. V případě středně velkých organizací se škody mohou pohybovat v řádu desítek milionů korun, u velkých potom mohou dosáhnout dokonce stovek milionů až miliard korun,“ uvádí kybernetický úřad s tím, že další bezpečnostní, reputační a další dopady nelze jednoduše kvantifikovat.
Česko je jednou z prvních zemí, které zavedly zákon o kybernetické bezpečnosti. Pod něj se postupně začleňují nové informační systémy. V roce 2020 jich bylo 349, letos už jich má být 479 a v roce 2025 zhruba tisíc. Jde o systémy, jejichž výpadek by ohrozil fungování státu a zdraví či život jeho obyvatel. Do kritické infrastruktury státu pak byl mimo jiné přidán internetový uzel NIX.CZ.
Počet informačních systémů certifikovaných pro nakládání s utajovanými informacemi vzrostl na 364, přičemž 212 z nich je u komerčních provozovatelů. Každý rok přichází až 180 žádostí o certifikaci.
NÚKIB rovněž uvádí, že vynaložené náklady na kyberbezpečnost mohou mít navázané pozitivní efekty, jako jsou ekonomický růst (výpočet neuvádí), zvýšení kvality života, fungující informační společnost, posílení vlivu na mezinárodní úrovni s cílem prosazování zájmů a pozice ČR a prohloubení důvěry občanů ve stát a jeho bezpečnostní systém.
Vláda také nedávno NÚKIBu schválila Národní strategii kybernetické bezpečnosti pro roky 2020 až 2025. Konkrétní kroky se budou realizovat skrze akční plán, jenž bude vládě předložen do 30. června letošního roku.
