Hlavní navigace

Krátké vlny: Akční plán kybernetické bezpečnosti, zablokované mojeID a soumrak i úsvit síťové neutrality

29. 7. 2021
Doba čtení: 5 minut

Sdílet

 Autor: Depositphotos
Jak chce NÚKIB zajistit kybernetickou bezpečnost Česka? Projde parlamentem novela zákona o elektronických komunikacích? A jak si ve světě stojí síťová neutralita?

Před srpnovými vládními prázdninami stačila vláda ještě schválit Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2021 až 2025. V dokumentu najdeme „jízdní řád“ konkrétních kroků pro naplnění samotné strategie, která obsahuje „vizi vytváření odolné společnosti a infrastruktury proti kybernetickým hrozbám, sebevědomého působení státu v kyberprostoru a za pomoci spolehlivých spojenectví aktivního čelení celému spektru kybernetických hrozeb“.

Akční plán obsahuje 105 průběžných nebo termínovaných úkolů a je rozdělen do části ve stejné struktuře jako národní strategie, konkrétní úkoly jsou tedy členěny do části:

A – Sebevědomě v kyberprostoru,

B – Silná a spolehlivá spojenectví,

C – Odolná společnost 4.0.

Z plánovaných průběžně plněných úkolů, které jsou většinou o spolupráci na národní i mezinárodní úrovni, mezi soukromým i státním sektorem, vzdělávání a využívání prostředků EU v programovém období EU 2021, stojí za zmínku tyto úkoly NÚKIB:

  • Rozšiřovat a upevňovat spolupráci se soukromým sektorem; navyšovat povědomí o činnostech NÚKIB a možnostech vzájemné spolupráce.
  • Vytvořit a na národní úrovni provozovat zabezpečenou platformu pro komunikaci a sdílení informací o kybernetických hrozbách a zranitelnostech.
  • Za předem dohodnutých podmínek i nadále provádět penetrační testování s cílem odhalit chyby a zranitelnosti v informačních systémech a sítích povinných orgánů a osob podle zákona o kybernetické bezpečnosti.
  • Zapojovat národní partnery do řešení scénářů mezinárodních cvičení kybernetické bezpečnosti a tím přispívat k posilování spolupráce, nastavování a koordinaci postupů během řešení reálných kybernetických hrozeb.
  • Pokračovat v posilování systému kybernetické obrany prostřednictvím budování schopností NCKO jako součásti VZ se zaměřením na logistické, personální a finanční zabezpečení, ale i další aspekty důležité pro jeho efektivní fungování.
  • Prostřednictvím aktivní kybernetické diplomacie prosazovat stávající mezinárodní právo a nezávazné normy zodpovědného chování států v kyberprostoru.
  • Zapojit se do mezinárodní diskuse ohledně správy a řízení Internetu (tzv. „Internet governance“), vč. Internet Governance Forum, a prosazovat účast soukromého i akademického sektoru.
  • Přímo se podílet na výuce oborů, programů a předmětů kybernetické bezpečnosti a příbuzných témat zejména na vysokých, ale i na vybraných vyšších odborných a středních školách.

Z termínovaných úkolů určitě stojí za zmínku dvě aktivity, které chce NÚKIB dokončit do konce tohoto roku, a to:

  • Zpracovat návrh národní politiky koordinovaného zveřejňování zranitelností.
  • Vytvořit metodiku bezpečného kódu pro státní správu s cílem podpořit vývoj bezpečného software.

Do konce třetího kvartálu 2022 by měl NÚKIB vytvořit a nastavit rámec pro zajištění důvěrnosti informací v e-mailové komunikaci pomocí šifrování, a to napříč státní správou. Bohužel až do třetího kvartálu 2023 si úřad stanovil úkol vytvořit platformu zapojující dobrovolníky z řad kybernetických expertů a institucionalizovat jejich využití při zajišťování kybernetické bezpečnosti.

V druhém kvartálu by měl být vytvořen návrh posuzování rizikového profilu dodavatelů a uplatňování omezování vysoce rizikových dodavatelů na národní úrovni pro bezpečné zavádění a realizaci telekomunikačních sítí nastupujících generací. NÚKIB se chytře vyhnul „5G“ sítím použitím spojení „telekomunikačních sítí nastupujících generací“, ať už to technicky a právně znamená cokoliv.

Až na drobné výtky jsem moc rád, že dokument vznikl. A důraz na spolupráci se soukromým sektorem vidím jako jeden ze základních kamenů zajištění kyberbezpečnosti v České republice. Projekty jako FENIX, provoz národního CSIRT.CZ pracoviště nebo koncepce rozvoje Národního centra kybernetické obrany ukazují, že bez efektivní výměny informací mezi všemi dotčenými subjekty není zajištění účinné kybernetické bezpečnosti možné. A osobně jsem rád, že si NÚKIB, ač mladý úřad, snaží udržet standard odbornosti a nevytváří PR dokument plný rádoby sexy chytlavých slovíček bez věcné náplně. Teď jen si udržet a přilákat experty, kteří dokáží úkoly dotáhnout do konce.

Telekomunikační novela neprošla Senátem

Transpoziční novela zákona o elektronických komunikacích zaškobrtla v Senátu. Už o tom psal David Slížek a hezky to na Twitteru shrnul i Ondřej Malý, takže jen krátká poznámka. Pokud by nebylo před volbami, nebylo by vrácení velký problém, nyní ale, pokud se novela zákona nedostane na některou z mimořádných schůzí, které si sněmovna ještě naplánovala, tak poslední šance na projednání představuje zářijová schůze. 

S ohledem na širokou podporu při schvalování návrhu v Poslanecké sněmovně předpokládám, že si poslanci na novelu udělají čas. O samotné diskuzi a kvalitě argumentů si můžete udělat názor sami na základě stenozáznamu. V tomto konkrétním případě bohužel Senát dal zadarmo munici svým kritikům, kteří bojují za jeho zrušení. Tak snad příště bude více naslouchat argumentům předkladatele.

Jak na zablokované mojeID

Služba mojeID mi přináší veskrze pozitivní zážitky. Po nainstalování aplikace mojeID klíč už ani nemusím hledat token a elektronická identifikace mé osoby do systémů státní správy je ještě jednodušší. A díky mému bezbřehému nadšení a nezištné pomoci při zřízení služby používá mojeID celá rodina. 

Problém však nastane, když člen rodiny zapomene PIN k aplikaci mojeID klíč. Taky to znáte? Členům rodiny, kteří nejsou kamarádi s technikou, pomůžete, vysvětlíte a jedinou věc, kterou po nich chcete, je, aby si pamatovali heslo, PIN, uživatelské jméno. Chyba. Někdy se prostě stane, že to jde jedním uchem tam a druhým ven. Po třech pokusech („počkej, já už asi vím, to bude tento PIN“) došlo k zablokování mojeID klíče. 

Naštěstí není třeba panikařit. O profil uživatel nepřijde. Uživatel může projít „recovery procesem“ nebo se pojistit a mít zaregistrovaných více klíčů. Drobnou nevýhodou při recovery procesu je, že pro využívání služeb státní správy uživatel musí opět podstoupit proces ověření například na Czech POINTU. Ale říkám si, že si dotyčný člen rodiny alespoň uvědomí, že si má PIN pamatovat. „Co nemáš v hlavě, musíš mít v nohách,“ říkala babička a měla pravdu. Viď, dědo.

Kam kráčí síťová neutralita

Začátkem července soud v Soulu v prvním stupni potvrdil povinnost Netflixu platit mobilním operátorům poplatky za používání sítě. Netflix odmítl platit společnosti SK Broadband (dceřiné společnosti SK Telecom) poplatky za používání sítě a operátor se obrátil na regulátora, který povinnost stvrdil rozhodnutím. 

Napadené rozhodnutí nyní potvrdil soud, když mimo jiné uvedl, že „Netflix má povinnost platit poplatky společnosti SK Broadband, neboť dostává síťové služby, včetně správy kvality sítě“. Pokud by rozhodnutí potvrdil i odvolací soud, byla by to těžká rána síťové neutralitě v Jižní Koreji. A bude i zajímavé sledovat, jak se k situaci postaví konkurenti SK Broadband.

KL22 hlasovani

Naopak na americkém kontinentu podepsal začátkem července prezident Joe Biden exekutivní příkaz na podporu hospodářské soutěže. Kromě jiného vyzývá regulátora FCC, aby obnovil pravidla síťové neutrality, zabránil operátorům uzavírat exkluzivní dohody s pronajímateli nemovitostí a omezil poplatky za předčasné ukončení smlouvy.

Součástí příkazu je i apel na zavedení „broadbandový nutriční štítek“, přehledného informačního popisku o poskytované službě přístupu k internetu. Z pár reakcí na Twitteru jsem nabyl dojmu, že si dotyční díky historické zkušenosti nemyslí, že by bylo dobré, aby český regulátor k něčemu takovému přistoupil. Dokážu pochopit obavu, ale na druhou stranu, pokud by to nějaký operátor dokázal uchopit a upravit do českých podmínek, nebyla by to hezká snaha odlišit se a zpřístupnit srozumitelně informace spotřebitelům? #diskutujme


Autor: vláda USA