Říjen se v Česku stal už podruhé „měsícem kybernetické bezpečnosti“ v rámci rozsáhlejšího projektu „Evropský měsíc kybernetické bezpečnosti 2013“, inspirovaného podobnými projekty v USA a Austrálii. Organizátorem je Národní centrum bezpečnějšího Internetu (NCBI) a záštitu převzal Vladimír Rohel, ředitel Národního centra kybernetické bezpečností (NCKB) z Národního bezpečnostního úřadu (NBÚ).
Česká republika se ECSM účastní už podruhé. Koordinátorkou druhého ročníku je Šárka Soudková z NCBI, která na tiskové konferenci zdůrazňovala, že „kybernetická bezpečnost není jen o bezpečné infrastruktuře, ale také o chování lidí“. Cílem kampaně tedy je i šíření osvěty a povědomí o bezpečnosti na Internetu. Navazuje tak loňský ročník – ten byl podle organizátorů pilotní, konal se v menším počtu zemí, ale ukázal, že tyto aktivity fungují.
V České republice chce kampaň hlavně prohloubit komunikaci mezi subjekty, které se podílejí se na zvyšování bezpečnosti na Internetu, přinést inspirace ze zahraničí a přispět k posílení povědomí veřejnosti o nutné vlastní zodpovědnosti. Hlavním mottem je „Online bezpečnost vyžaduje i vaši účast“.
V polovině října tak například proběhne odborný seminář „Kybernetická bezpečnost a hrozby pro neziskové organizace“ (v rámci konference KYBERPSYCHO konající se 16. října na Magistrátu hlavního města Prahy). V rámci aktivit „Vysočina bezpečně online“ se objeví i outdoorová kampaň, která bude cílit hlavně na rodiče, kteří by měli být prvními, kdo vzdělává děti právě v otázce kybernetické bezpečnosti. Kampaň a projekt má vlastní stránky na adrese cybersecuritymonth.eu a www.saferinternet.cz/ecsm-2013/ecsm-2013.html.
Do druhého ročníku se zapojí 25 evropských států (22 z EU) a přes čtyřicet partnerů (např. EUROPOL, EESC, EC Europe direct a další).Aktivity v rámci kampaně ECSM 2013 koordinuje Evropskou agenturou pro síťovou a informační bezpečnost (ENISA) a DG CONNECT Evropské komise. „Evropský měsíc kybernetické bezpečnosti umožňuje sdílet zkušenosti a nejlepší praxi, což povede ke zlepšení výsledků všech subjektů působících v této oblasti,“ říká výkonný ředitel agentury ENISA Udo Helmbrecht. „Jedná se i o vaši bezpečnost a vaše zájmy; online bezpečnost vyžaduje i vaši aktivní účast,“ dodává.
Co je to Národní centrum kybernetické bezpečnosti
V souvislosti s podporou NCKB je vhodné zmínit, že Národní centrum kybernetické bezpečnosti by mělo být plně funkční do 31. prosince 2015. Jeho vznik je vázán na usnesení vlády č. 781 z 19. října 2011, kterým byl NBÚ ustaven gestorem kybernetické bezpečnosti. „Ještě v září 2011 nikdo NBÚ a kybernetickou bezpečnost nespojoval,“ uvedl Vladimír Rohel. „Jsem rád, že dnes platí, že když se někde objeví nějaké cyber téma, je NBÚ u toho,“ dodává.
V rámci NCKB se objevuje i dlouhé roky nerozvíjený, ale o to více potřebný, koncept národního CERTu. Ten by tak konečně měl začít existovat, včetně toho, že bude mít odpovídající možnosti a postavení. „Nejsme ale rychlá rota, nejsme rapid action team, nejsme ti, co přijedou v dodávce s kufříky a vyběhnou do nějaké firmy něco dělat,“ upozornil Rohel. NCKB se podle něj věnuje spíše vzdělávání. Zdůraznil také, že nejsou osamocenou složkou a ochrana proti kybernetickým útokům a nebezpečím v rámci státu bude efektivně fungovat pouze v případě, že bude správně fungovat spolupráce s ostatními složkami.
NCKB samozřejmě spolupracuje i s národními CSIRT týmy, ENISA, NATO, CCDCoE v Talinu, Europol EC3 a dalšími mezinárodními organizacemi. Vladimír Rohel zmínil i to, že „NATO je v cyber oblasti dál než ostatní a jsme tam plně zapojení a účastníme se cvičení“.
Zákon o kybernetické bezpečnosti
Jedna z věcí, které NCKB řeší, je také tzv. Zákon o kybernetické bezpečnosti – ten byl vypracován za pět měsíců, včetně diskuze s odbornou veřejností. Návrh se nakonec dostal do fáze schválení věcného záměru a k 30. červnu 2013 byl vládě odeslán návrh zákona a „betaverze“ vyhlášek. Teď norma čeká na novou vládu.
„Myslím si, že díky tomu, že je to technický zákon, že je to diskutované a objevují se tady ty problémy, máme širokou podporu veřejnosti, tak by žádná vláda neměla mít důvod ho vrátit,“ říká Rohel.
Zákon má podle Rohela několik zásadních zásad – minimalizovat zásahy do práv soukromoprávních subjektů, dát individuální zodpovědnost za bezpečnost vlastní sítě na jejich vlastníky. A tři základní pilíře – bezpečností opatření včetně standardizace, hlášení kybernetických bezpečnostních incidentů a případná opatření (neboli protiopatření, což je prý slovo, kterému nerozumí právníci).
