„Mluvíme o útocích na mobilní sítě, energetiku, nemocnice, vodárny či vlakový provoz. Kybernetický útok nás může nejen paralyzovat, ale i stát životy,“ říká v rozhovoru pro FinTag spoluautor nového zákona o kyberbezpečnosti Martin Exner.
Podle místopředsedy sněmovního Výboru pro bezpečnost a poslance STAN Martina Exnera raketově roste počet kybernetických útoků a stávají se stále sofistikovanější. A jsou to i státní aktéři, kteří mají za cíl rozložit demokratický svět. A vědí velice dobře, kudy na to.
Jaké největší kyberhrozby vidíte pro rok 2025?
Za mě je to jednak kyberkriminalita – respektive to, že kyberzločinci se profesionalizují. Nejsou to žádní amatéři. Kyberkriminální skupiny jsou dnes vysoce organizované společnosti s vlastní strukturou, rozdělením rolí a profesionálním vybavením a také s poměrně velkým rozpočtem.
Kde se to může nejvíce projevit?
Velkou hrozbou jsou také rizika plynoucí z dodavatelského řetězce. Tedy to, že dodavatel udělá buď chybu, nebo bude obětí kyberútoků. Tím, jak je dnešní svět provázaný, má takový incident potenciál ohrozit tisíce a miliony zákazníků po celém světě. Tímto příkladem je v poslední době výrazný incident CrowdStrike spojený s chybou v aktualizaci jejich programu. Což způsobilo například uzemnění letadel v USA a nefunkčnosti dalších společností. CrowdStrike se mohl přetrhnout, aby svou chybu odstranil.
Tady ale šlo snad o chybu, nikoliv úmysl…
Ale teď si vezměte, že to někdo provede schválně. Jsou tady státní aktéři, zejména Rusko. To vyhrožuje Česku a Západu a může své hrozby provést. Kybernetický útok na infrastrukturu je relativně levný a může být velmi destruktivní a zasáhnout ve svém důsledku velké množství lidí. O tom, že největší hrozbou vlastně je naše podcenění hrozby, tady mluvíme.
Nový zákon o kybernetické bezpečnosti
Má stát dostatečně účinné mechanismy, aby zabraňoval kyberhrozbám? Vidíte nějakou konkrétní slabinu, která je dlouhodobě neřešená či podceněná?
Z mého pohledu stát dnes dostatečné mechanismy nemá. Zákon o kybernetické bezpečnosti v zásadě funguje od roku 2014 nebo 2015, za tu dekádu se bezpečnostní prostředí i geopolitická situace velmi zhoršily, ale zákon nedoznal žádných podstatných změn. Nový zákon o kybernetické bezpečnosti státu právě tyto mechanismy dává. Konkrétní slabinou je právě neexistující mechanismus řešení rizik spojených s dodavateli do kritických služeb. Ačkoliv se některé firmy proti tomu velmi vymezují a z důvodu nižších cen nakupují IT systémy z Číny, z bezpečnostních důvodů je nutné preferovat bezpečnost. Raději bezpečnost než pak litovat.
Čínské součástky v autech vadí. Jsou totiž bezpečnostním rizikem
Jaké největší změny přináší nový zákon o kybernetické bezpečnosti?
Návrh nového zákona stojí na osvědčených principech, ale zásadně rozšiřuje okruh povinných osob, protože se zvyšují rizika, kterým čelíme. Z nějakých současných 400 subjektů to rozšiřujeme na cca 6 000 subjektů, ale v médiích se operuje i vyššími čísly. Musíme ale zajistit bezpečnost naší infrastruktury. Tato čísla vycházejí z evropské směrnice NIS2, kterou musejí takzvaně transponovat všechny evropské země do národního právního systému. Směrnice je závazná pro všechny státy. Evropa je propojená a nemůžeme si dovolit podcenit hrozbu kybernetických útoků. V konečném důsledku tím posilujeme bezpečnost občanů.
Připomínky podnikatelského sektoru
K zákonu měl připomínky mimo jiné podnikatelský sektor. Jaké změny a připomínky byly do zákona implementovány z jeho strany?
Podnikatelský sektor se celkem přirozeně brání nákladům a povinnostem, které vyžaduje důkladné zajištění bezpečnosti. Prioritní je pro něj zisk a rizika se často podceňují. Bezpečnost ale něco stojí. Stát má zodpovědnost za zajištění bezpečnosti země a občanů. V Bezpečnostní strategii ČR vyjmenováváme životní a strategické zájmy ČR. K návrhu zákona měli podnikatelé mnoho připomínek, a to i protichůdných!
Mnoho z nich autoři do zákona zapracovali. Zjednodušily se požadavky pro ten minimální režim regulace, který se má týkat většiny z těch 6 000 institucí. Dál uvedu úpravu stavu kybernetického nebezpečí. Omezily se vyhlášky, aby nemohlo dojít k excesům. Upravily se definice tak, aby byl zákon srozumitelnější. Změnilo se hlášení kybernetických incidentů, aby nebylo zatěžující víc, než je nutné. Významných změn došel i takzvaný mechanismus bezpečnosti dodavatelského řetězce směrem právě k omezení pravomocí Národního úřadu pro kybernetickou a informační bezpečnost [NÚKIB].
Proč došlo k omezení pravomocí NÚKIB?
Z mé průběžné komunikace s Úřadem jasně vyplynulo, že nikdo nechtěl, aby vznikl dojem superúřadu. A mám za to, že ani NÚKIB tuto roli hrát nechce. K tomu omezení pravomocí konkrétně: do procesu případného zákazu dodavatele jsou zařazeni sektoroví regulátoři, vláda apod., do mechanismu byly zapracovány brzdy – přiměřenost, zohlednění životního cyklu technologií apod. Některé připomínky však zapracovat není možné – zejména ty, které směřovaly ke zrušení některých klíčových částí zákona, nebo ty, na jejichž základě by byla špatně provedena transpozice směrnice NIS2.
Kybernetický útok a zabezpečení nejen firem
Jak jsou podle vás chráněny české firmy a investují do své kyberbezpečnosti?
Mezi firmami jsou obrovské rozdíly. Je také potřeba srovnávat srovnatelné společnosti, ať již jde o velikost, nebo odvětví. Jsou tady organizace, které na bezpečnost dbaly vždy. Chápou míru rizik a umí si představit škody, které jim a jejich klientům hrozí. Jde o data jejich klientů, o jejich byznys a reputaci. Kancelář nenecháte odemčenou, data nenecháte nechráněná. V autě si také bereme pásy a máme airbagy. I když myslíme, že je nikdy nebudeme potřebovat. Ale jsou tu organizace, které to neřešily, nebo neřešily dostatečně, ale i ty začínají, protože vidí, co se děje. Tyto organizace si uvědomují rizika, která přicházejí s tím, jak čím dál více služeb poskytují elektronicky a jsou na kyberprostoru více a více závislé.
Jak je na tom v tomto ohledu státní sektor?
Dobrým příkladem jsou třeba nemocnice, kde se historicky kybernetická bezpečnost moc neřešila, čest výjimkám. Po útocích na nemocnici v Benešově v roce 2019 a FN Brno o rok později se to riziko zhmotnilo a ukázalo se, jaké má podcenění kybernetické bezpečnosti dopady. Je jasné, že každý se primárně soustředí na svou činnost a kybernetickou bezpečnost nemusí mít jako prioritu. Tímto zákonem chceme těmto subjektům pomoci definovat jakési bezpečnostní minimum.
Jsou firmy připraveny technicky a administrativně na implementaci zákona?
To je podobné – velmi různě, jak kdo. Mnoho firem kybernetickou bezpečnost dosud příliš neřešilo, a to si už nemůžeme dovolit. Ty, které kybernetickou bezpečnosti řešily a řeší, na to podle mého názoru připraveny jsou. Budou nejspíš muset některé procesy poupravit nebo zavést, například hlášení kybernetických incidentů NÚKIB, protože to dělat nemusely. Jsem ale přesvědčený, že zvládnout se to dá a že se to vyplatí.
Byrokratizace, přeregulovanost a více administrativy
Na adresu zákona ale padá i kritika, která se týká zvýšené byrokratizace, přeregulovanosti a zvýšení administrativní zátěže právě pro firmy. Samostatnou kapitolou je prověřování dodavatelských řetězců, což jde nad rámec evropské směrnice NIS2. Jak tuto kritiku vnímáte?
Já chápu, že firmy se soustředí na svou činnost. Bezpečnost pro ně představuje náklady a práci. Ohledně údajné byrokratizace moc nevím, co se tím konkrétně myslí. Pojďme si tedy říci, co přesně – z toho, co je požadováno zákonem – tedy nedává smysl? To, že jsou požadovány nějaké postupy a plány? A to zdokumentované, aby se z firmy neztratily, když někdo ze zaměstnanců odejde? To je špatně? Já si to nemyslím. Mně to připadá spíše rozumné.
Stále ale jde o další regulaci…
To je opět otázka, co přesně ta výtka o přeregulovanosti značí. To, že máme jako společnost tolik norem, že se v tom pomalu nevyznáme, a že na podnikatele dopadá tolik regulací, že je dnes opravdu složité to vše naplnit, to je pravda. Je však otázka, zda jde o problém obecný, nebo zda je to problém konkrétně zákona o kybernetické bezpečnosti.
Policie v Česku tajně šmíruje lidi, varují pirátští poslanci
Když si uvědomíte, kolik činností se odehrává v kyberprostoru. Že tam nakupujeme, platíme, komunikujeme, pracujeme, bavíme se s přáteli a rodinou, sdílíme své soukromí, a že kyberprostor dneska stojí za tím, že funguje elektřina nebo zdravotnictví a vlastně všechno, tak dává smysl mít na toto nějaký standard. Nějakou normu, která říká, když toto děláš a děláš to přes kyberprostor, tak musíš zajistit nějakou bezpečnost. Stejně jako máme protipožární nebo dopravní předpisy, tak tady máme normu, která dává pravidla pro kyberbezpečnost.
Kybernetický útok: Posuzování rizikových dodavatelů
Advokátní kancelář Havel & Partners uvedla, že obavy panují z mechanismu pro posuzování rizikových dodavatelů kritické infrastruktury. NÚKIB podle ní „získá pravomoc samovolně posuzovat a identifikovat subjekty, které představují riziko”. Souhlasíte?
Nesouhlasím. Úřad nemůže nic dělat samovolně. Musí postupovat podle obecně platných norem, jako je správní řád. Už z toho vyplývá, že nemůže nic dělat samovolně a bezdůvodně. Zároveň ten mechanismus má mnoho kontrolních prvků a brzd. I kdyby úřad chtěl něco dělat jen tak, tak mu to neumožňují. Žijeme v právním státě a činnosti úřadů podléhají případnému soudnímu přezkumu. I kdyby se někdo utrhl a udělal něco špatně, protizákonně, tak ho soud vrátí zpět do žádoucího stavu.
Vámi zmíněný mechanismus, jak přesněji funguje?
Mechanismus se navrhl tak, že pokud úřad ve spolupráci s dalšími subjekty, jako jsou tajné služby, policie a ministerstva, identifikuje hrozbu u konkrétního dodavatele, navrhne opatření k jejímu omezení. Těch opatření může být mnoho. Nejpřísnější je zákaz dodavatele. Ten zákaz či jiné omezení není plošné, ale platí jen pro konkrétní organizace, které zajištují nejkritičtější služby pro společnost. Myslím tím energetiku, telekomunikaci… O dalších brzdách už jsem hovořil.
Dobře, jak takový návrh na omezení dodavatele ale bude fungovat v praxi?
Takový návrh se musí předtím projednat se sektorovými regulátory a Bezpečnostní radou státu, takže kontrola politickou reprezentací se pokryla. Po ní některé subjekty volaly. A až pak může úřad vydat návrh opatření obecné povahy. Což je akt, který to omezení zavádí. K návrhu pak může „postižený“ dávat připomínky. Ty připomínky musí úřad vypořádat. Nemůže je vymlčet. To by bylo nezákonné a každý soud by to zrušil. V konkrétních případech musí dát zelenou vláda. A i po tom všem je možné žádat o výjimky. Pak se rozbíhá další kolo posuzování. Mně se tedy nezdá, že by si úřad dělal, co a jak chce.
Petr Duchoslav
—
Martin Exner je poslanec Parlamentu ČR, bývalý dlouholetý starosta obce Nová Ves. Ta leží ve Středočeském kraji, okres Praha-východ, a má zhruba 1 500 obyvatel. Poslancem je od roku 2021. Jako člen působí ve Výboru pro evropské záležitosti a Výboru pro bezpečnost. Pracuje i jako člen sněmovní Stálé komise pro hybridní hrozby. Jeho osobní motto zní: “S ovcemi buď ovcí, ale přijde-li vlk, staň se tygrem”.
