Stav kybernetického nebezpečí

15. 9. 2014

Úřady a firmy se musejí hromadně nachystat na obranu před kyberútoky. Tři měsíce před platností zákona ale nikdo neví, které to mají být

Zaplať, nebo přijdeš o data. Výzva, která se před pár týdny zjevila na počítači Lukáše Brejchy, nebyla vtipem. Původci viru CryptoLocker zašifrovali jeho data a požadovali výkupné. Konkrétně tři tisíce korun v bitcoinech, tedy měně, jejíž pohyb se prakticky nedá sledovat. Na celém světě tento vir napadl asi čtvrt milionu počítačů. Laptop Lukáše Brejchy se naštěstí podařilo opravit.

Právě nyní však v Česku vzniká systém, který má před podobnými útoky ochránit všechny důležité počítače v zemi. Je to zákon o kybernetické bezpečnosti.

Dvojitý kybernetický štít Český systém stojí na dvou pilířích - ochraně státní i soukromé sféry. O státní úřady a vybrané podniky spadající do kritické infrastruktury, jako jsou elektrárenské či petrochemické firmy, se bude starat takzvaný vládní tým CERT (Computer Emergency Response Team) spadající pod Národní centrum kybernetické bezpečnosti. Soukromé firmy má pak na starost tým takzvaného národního CERT, který spadá zase pod sdružení poskytovatelů internetu CZ. NIC.

Jakub Kejval je ředitelem české pobočky společnosti Bureau Veritas. Firma se zabývá mimo jiné udělováním bezpečnostních certifikátů. Její lidé dobře vědí, jak je státní sféra v Česku zabezpečena. A není to prý dobrá vizitka.

„Na monitoru v kanceláři najdete třeba nalepený papírek s heslem k počítači, na stole důvěrné papíry, a nikdo nikde. Když děláme kontroly, skoro vždycky se nám podaří byť jen po telefonu získat od zaměstnanců citlivé údaje.

Zkoušíme posílat i viry, abychom otestovali sítě,“ vypráví Kejval zážitky z praxe. „Celkově mohu říci, že státní sféra bude mít s naplněním zákona problém,“ dodává.

I Národní centrum kybernetické bezpečnosti (NCKB) spadající pod Národní bezpečností úřad (NBÚ) si dělalo test, jak na tom úřady s ochranou jsou. „Kdo jaké chyby má, pochopitelně říci nemohu. Obecně ale mohu říci, že na tom nejsme zase tak špatně,“ tvrdí ředitel centra Vladimír Rohel.

Oč bude zabezpečování státu proti počítačovým útokům složitější, o to více úřadům komplikuje situaci skutečnost, že zákon platný od 1. ledna 2015 ještě nemá všechny doprovodné předpisy. Až v říjnu vyjde takzvaná standardizační vyhláška, v níž bude napsáno, jak by se měly úřady a vybrané klíčové firmy chránit. Jde de facto o mezinárodní formu ISO 27000, kde je definována více než stovka rizik, která si úřad musí projít, vyhodnotit a případně opravit chyby. Úřady budou muset mít vyřešenou nejen zálohu dat a technickou ochranu sítí, ale i fyzickou ostrahu nebo ohlídání třeba úklidových firem. To vše ale bude jen prevence.

Vyhláška o významných informačních systémech bude dokonce hotová až v závěru roku. Jde přitom o klíčový dokument, který řekne, koho všeho se má nový zákon týkat.

„Vědět, na koho se vyhláška vztahuje, je ale velmi důležité. Sestavují se rozpočty na příští rok a úřady nevědí, s čím mají počítat. Obcí se sice zákon týkat nemá, ale co registry, které vedou? Co nemocnice?“ ptá se Jakub Kejval.

Útěchou pro státní úřady může být alespoň to, že NCKB nebude v prvním roce udělovat za nedodržení zákona pokuty, ale rozesílat jen upozornění. Pokud kontroly v dalších letech prokážou díry v systému, pokuty už následovat budou; podle zákona půjde maximálně o sto tisíc korun.

Pozor, poplach Jak takový útok v praxi vypadá, si vyzkoušela i sama Bureau Veritas Jakuba Kejvala.

V březnu 2012 se stala součástí celosvětového ataku trojského koně, což sice na první pohled vypadalo jako řešitelný problém, za koněm byl ale maskován další virus. Zatímco kůň se zaměřil jen na zjištění, ve kterých počítačích je bankovní software, virus útočil přímo na ně.

Instituce, na něž se zákon vztahuje, by v případě takového útoku musely kontaktovat vládní tým CERT a útok hlásit. Experti by jim poradili, jak situaci řešit; opravy chyb by dělal úřad sám. Následně by CERT vydal varování pro všechny ostatní instituce, jaký vir útočí a jak se proti němu bránit. Jméno oslabeného úřadu by ovšem z bezpečnostních důvodů nezveřejnil.

V úvahu připadá podle ředitele Vladimíra Rohela i to, že v případě větších potíží by experti z CERT vyjeli na daný úřad problém vyřešit. Přestože mají všichni přinejmenším prověření na stupeň „tajné“, sami by do počítačového systému úřadu nezasahovali, ale radili a spolupracovali s místními odborníky.

V budoucnu má začít fungovat i neveřejný portál, kde bude pro instituce návod na řešení nejčastějších problémů, na webu si bude možné i vyměňovat zkušenosti.

Zákon pamatuje i na případný masivní útok, který by ohrozil chod země. V tom případě by musel ředitel NBÚ informovat vládu a vyhlásit stav kybernetického nebezpečí.

V tu chvíli se skupina úřadů a kriticky důležitých firem rozšiřuje i o několik dalších společností, typově třeba telefonní operátory nebo významné poskytovatele internetového připojení. CERT má pak mandát chtít po nich potřebné údaje a právo přimět je ke spolupráci. Stav kybernetického nebezpečí může v Česku trvat maximálně měsíc, déle to zákon neumožňuje. Pak republika přechází do nouzového stavu, který se řídí ústavním zákonem o bezpečnosti státu.

Dosud největší útok zažilo Česko na jaře 2013. Tehdy hackeři přehltili počítačové systémy několika zpravodajských serverů, systémů bank a mobilních operátorů; kritické hranice však nedosáhl.

Výchova expertů v Čechách Druhý pilíř českého ochranného systému tvoří dobrovolný národní tým CERT. Provozuje ho sdružení počítačových firem CZ. NIC, původně pod něj spadala i koordinace státních úřadů. Zhruba do jednoho roku bude na provozovatele vypsáno výběrové řízení.

Ucházet se bude moci firma s dostatečným know-how, bezúhonností a transparentními vlastníky. Je dost pravděpodobné, že ho vyhraje právě CZ. NIC. Málokdo má totiž tak rozsáhlé zkušenosti, většinu úkonů navíc musí dělat provozovatel bezplatně; firma také nesmí být primárně založena za účelem zisku.

Národní centrum kybernetické bezpečnosti si také začíná vychovávat nové experty.

V příštích letech se jeho tým bude rozšiřovat a na vysokých školách zároveň přibudou přednášky o kybernetické bezpečnosti. Masarykova univerzita v Brně dokonce uvažuje i o zavedení samostatného studijního oboru. Budoucí experti nemusejí pracovat jen na NBÚ, mohou se uplatnit i jako partneři úřadu v ostatních institucích spadajících pod vládní CERT.

Na zrodu zákona se kromě NBÚ podíleli i zástupci počítačových firem a sdružení. Svého zástupce při tvorbě měli dokonce i Piráti.

To, že se vyhlášky nyní rodí těžko, je tedy vcelku příznačné.

O zřízení NCKB rozhodla vláda již v roce 2011, v téže době se začal rodit zákon. Jeho schválení zkomplikoval později pád vlády, tvůrci jej museli „zaparkovat“ v legislativní radě vlády, protože jinak by zcela spadl pod stůl. Odborníci NCKB začali pracovat v roce 2012, centrum mělo sídlo v pronajatých prostorách Univerzity obrany v Brně. Od letoška sídlí celkem 22 expertů v nové budově v Mučednické ulici v Brně. Sněmovna zákon schválila v únoru, prezident Miloš Zeman normu podepsal v srpnu. l