Válka na Ukrajině jako budíček, že šetřit na bezpečnosti se nevyplácí. Česko proto přitvrzuje. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) pracuje na zákonu o kyberbezpečnosti, díky kterému „dosáhne“ na šest tisíc subjektů oproti současným čtyřem stovkám. Kromě toho bude moct říct, které firmy pustí do kritické infrastruktury. „Z každé krize bychom se měli poučit,“ říká v rozhovoru pro iROZHLAS.cz náměstek Tomáš Krejčí.

Rozhovor Praha 6:00 1. dubna 2023 Tento článek je více než rok starý Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Začneme nedávným varováním Národního úřadu pro kybernetickou a informační bezpečnost před aplikací TikTok. Proč až teď? O tom, že aplikace sbírá velké množství dat, a to, že pochází z Číny, se ví už dlouho.
NÚKIB hrozby v kyberprostoru monitoruje kontinuálně, pokud se bavíme o sociálních sítích, můžu vás ubezpečit, že se věnujeme všem. K varování vůči TikToku jsme přistoupili ze tří důvodů.

První je, že aplikace shromažďuje velké množství dat o uživatelích, která nepotřebuje pro své fungování. Zadruhé společnost, která TikTok provozuje, sídlí ve specifickém politickém a právním prostředí Čínské lidové republiky.

TikTok jako nástroj čínské propagandy? Varování je motivované politicky, vysvětluje expert

Číst článek

Zatřetí pak to, že roste počet uživatelů aplikace. TikTok v Česku v současné době používají dva miliony uživatelů.

Předpokládáte, že si běžní uživatelé vezmou vaše varování k srdci a aplikaci si odinstalují?
Varování NÚKIB je adresováno subjektům spadajícím pod zákon o kybernetické bezpečnosti. O vážnosti této hrozby nicméně vypovídá také to, že jsme v rámci varování doporučili i široké veřejnosti zvážit užívání aplikace. Všechno, co tam budete sdílet, v podstatě spadá pod právní prostředí Číny.

Chápu varování směrem k subjektům kritické infrastruktury, jaké je ale riziko pro běžného uživatele?
Je to o vašem soukromí, musíte se sama rozhodnout, jestli chcete aplikaci používat a jestli data, která aplikace sbírá, jste ochotna sdílet. Nedá se říct, že TikTok sbírá velké množství dat a že jiné sítě to nedělají. Varování před TikTokem jsme ale vydali na základě všech tří aspektů dohromady, jak jsem zmiňoval na začátku.

Navíc aplikace TikTok sbírá informace nejen o zařízení, na kterém je nainstalovaná, ale i o okolních zařízeních. Takže potenciálně i o kritické infrastruktuře. Díky tomu mohou potenciální útočníci získat informace o tom, jaké systémy se v kritické infrastruktuře používají, a přizpůsobit tomu útok.

Nárůst ve zdravotnictví

NÚKIB nyní připravuje nový zákon o kybernetické bezpečnosti. Proč je potřeba?
Dá se říct, že Česko je v současnosti na křižovatce kybernetické bezpečnosti a nová legislativa reaguje na to, abychom zvolili tu správnou cestu. Nový zákon stojí na třech základních pilířích. Reaguje na dynamický vývoj v kybersvětě a současnou bezpečnostní situaci.

Je nezbytně nutné transponovat evropskou směrnici NIS2 do českého právního systému. A v neposlední řadě reflektujeme i zkušenosti, které jsme získali aplikací současného zákona o kybernetické bezpečnosti.

S novým kyberzákonem a zapracováním evropské směrnice NIS2 se násobně rozšíří počet subjektů, které budou spadat pod vaši regulaci. O jakých číslech mluvíme?
S postupem digitalizace společnosti se týká kybernetická bezpečnost každého z nás. Proto v této souvislosti dochází k navýšení většího počtu firem a subjektů. Nárůst bude přibližně ze 400 subjektů na více než šest tisíc. Nově to bude 60 služeb v 18 odvětvích, například potravinářství či odpadní hospodářství.

Markantní nárůst bude třeba v odvětví zdravotnictví, kdy ze 44 subjektů bude nově pod zákon o kybernetické bezpečnosti spadat 1000 až 1200 zařízení.

Kromě toho nový zákon také přinese mechanismy, jak kontrolovat bezpečnost dodavatelských řetězců. Dalo by se nějak lidsky popsat, co to je?
Můžu to přiblížit na období před vypuknutím války na Ukrajině a závislosti na ropě a plynu z Ruska. Jaká bude reakce společnosti, když se budeme bavit o omezení dodávek plynu a ropy z Ruska v této době?

Přestože bezpečnostní komunita na rizika s tím spojená dlouhodobě upozorňovala, zvítězil ekonomický aspekt. Důsledky tohoto rozhodnutí jsme všichni pocítili v předchozím roce.

Bezesporu se mnou budete souhlasit, že bychom se z každé krize měli poučit. To je jeden z důvodu a možná ten nejdůležitější, proč se musíme vyhnout strategickým závislostem na rizikových dodavatelích u informačních a komunikačních technologií.

Koho se bude prověřování, jakou firmu si do svého dodavatelského řetězce pustí, týkat?
Je potřeba oddělit to, které subjekty budou nově spadat pod zákon o kybernetické bezpečnost, a to, kterých subjektů se bude týkat prověřování bezpečnosti dodavatelských řetězců.

Chceme, aby se bezpečnost řešila přiměřeně, aby to nebylo tak, že půjdeme s kanonem na vrabce. Prověřování dodavatelských řetězců se proto bude týkat strategicky významné infrastruktury. Tedy toho nejkritičtějšího, co v případě, že daný systém nebude fungovat, může ochromit chod státu a má dopad na každého občana ČR, například energetika nebo telekomunikace. Bavíme se zhruba o 150 nejvýznamnějších subjektech v Česku.

Kateřina Gruntová Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít