Národní centrum kybernetické bezpečnosti (NCKB), které se nejspíše už v létě přerodí do nového Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), před 14 dny dokončilo audit státních organizací a ministerstev, který hodnotí, jak si jednotlivé instituce stojí v oblasti kybernetické bezpečnosti. Některé poznatky nejsou zcela pozitivní.

NCKB zmapoval systémy celkem 18 subjektů na základě usnesení vlády. To přišlo poté, co byly odhaleny kybernetické útoky na ministerstvo zahraničí. NCKB každé z 18 institucí předal podrobnou zprávu. Jejich kompilace pak v režimu utajení putovala do rukou vlády. Podrobné informace proto NCKB veřejnosti poskytovat nechce, nabízí ale alespoň několik obecných zjištění.

Tuzemské státní orgány podle nich v oblasti kybernetické bezpečnosti trápí řada problémů. Velice často mají kořeny v nedostatečné podpoře ze strany vedení. Příklady ze soukromé sféry přitom ukazují, že právě toto bývá jedna z hlavních příčin slabého zabezpečení.

Řidičák na počítač a internet

Nevhodný je také rozsah systému řízení bezpečnosti, neexistuje bezpečnostní monitoring, chybí centrální a často i lokální sběru logů, nedostatečně se řídí zranitelnosti, neexistuje centralizovaná správa a systémy jsou nedostatečně aktualizovány.



Autor: NATO Cvičení Locked Shields 2017 v rámci NATO, český tým vyhrál

NCKB také zdůrazňuje závislost na externích dodavatelích a outsourcingu a nastavování výjimek pro různé typy uživatelů (často jde o management, který si nechá nastavit výjimky z bezpečnostních politik, kupuje si jiný hardware a podobně).

Nedostatečný je rovněž počet zaměstnanců, kteří se bezpečnosti systémů věnují. Tradiční ajťáci například mají znalost v konkrétní oblasti (sítě a další), ovšem už nemají schopnosti a kapacity na komplexní řešení bezpečnosti. Velmi omezená je rovněž schopnost detekce podobných incidentů v dalších organizacích.

Na špatné úrovni je podle NCKB taktéž povědomí uživatelů o bezpečnosti. S nevědomostí státních úředníků chce mimochodem bojovat poslanec Bohuslav Chalupa (ANO), jinak bývalý člen KSČ, zastánce zavedení branné povinnosti či obhájce novely zákona o vojenském zpravodajství.

„Kdo chce pracovat pro stát, měl by splňovat základním penzum pro kybernetickou bezpečnost,“ řekl Chalupa minulý týden na jednání v Senátu. Doplnil, že by rád zavedl něco jako řidičský průkaz pro kyberbezpečnostní oblast. Vše prý nyní řeší s dalšími poslanci.

Výjimka pro kybersložky

S nedostatkem lidských kapacit se každopádně potýká i NCKB. Ten na akci kyberbezpečnostního auditu z Brna do Prahy na dva měsíce vyslal kolem 14 lidí. „Museli jsme dočasně pozastavit naši další činnost,“ říká Daniel Bagge z NCKB.



Autor: NATO Cvičení Locked Shields 2017

Nový úřad chce nabírat další lidi, pořád jich ale není dost. Navíc mu úplně do not nehraje výše platů ve státní sféře. Národnímu bezpečnostnímu úřadu se alespoň podařilo v parlamentu prolobbovat, aby NÚKIB nespadal pod zákon o služebnímu poměru. „Jinak si nedovedu představit, jak lidi vůbec nabrat,“ konstatuje současný vládní zmocněnec pro kyberbezpečnost a možný šéf NÚKIB Dušan Navrátil (náš rozhovor).

Aktuální zjištění NCKB ohledně bezpečnostních nedostatků ve státní sféře nejsou jediným problémem. Jak jsme nedávno informovali, Národní bezpečnostní úřad po nedávném šetření zjistil, že 12 státních subjektů porušilo zákon o kybernetické bezpečnosti, a to hned v několika bodech.

Vládní bezpečnostní tým CERT z toho všeho pro sebe vyvodil několik závěrů. Chce vybudovat tým rychlé reakce, „on-site“ forenzní analýzu, postavit tým poskytující konzultace jednotlivým organizacím a řešit své vlastní personální otázky.

Stát, národní CERT a NCKB se přitom mají o co opřít. Český tým minulý týden vyhrál největší kyberbezpečnostní cvičení na světě nazvané Locked Shields 2017, které pořádá NATO. Trénovaly se i útoky na průmyslové SCADA systémy, které jsou u nás rovněž velkým problémem.