Kybernetická politika Českej republiky

Úvod roka 2015 bol z hľadiska aktualizácie strategických dokumentov pre Českú republiku veľmi dôležitý. Vláda schválila 4. februára novú Bezpečnostnú stratégiu ČR, ktorá bola o niekoľko dní neskôr doplnená Národnou stratégiou kybernetickej bezpečnosti na obdobie rokov 2015 – 2020. Od 1. januára 2015 zároveň vstúpil do platnosti Zákon o kybernetickej bezpečnosti. Vďaka týmto krokom sa Česká republika stala akýmsi „tigrom“ kybernetickej bezpečnosti medzi krajinami V4.

V rokoch 2012 – 2015 boli hlavnými cieľmi Českej republiky vytvorenie legislatívy v oblasti kybernetickej bezpečnosti, vybudovanie Národného centra kybernetickej bezpečnosti a vládneho pracoviska CERT. Tieto ciele sa podarilo naplniť a spolu s nimi došlo aj k parciálnemu implementovaniu viacerých zámerov s nižšou prioritou – české inštitúcie sa úspešne zúčastňovali na cvičeniach medzinárodného rozmeru (napr. Cyber Coalition, Locked Shield, Cyber Europe) a Česká republika sa zároveň zapojila do NATO Cooperative Cyber Defence Centre of Excellence v estónskom Tallinne.

Inštitúcie zaoberajúce sa kybernetickou bezpečnosťou sa podieľali aj na šírení osvety zvýšením informovanosti verejnosti. Národný bezpečnostný úrad ČR (NBÚ ČR) na svojom portáli pravidelne zverejňuje novinky a informácie o aktuálnych bezpečnostných hrozbách, ktoré sú každý mesiac dopĺňané o súhrn bezpečnostných incidentov. Okrem toho NBÚ ČR každoročne vypracováva správu o stave kybernetickej bezpečnosti.

Hlavným gestorom problematiky kybernetickej bezpečnosti je v Českej republike Národný bezpečnostný úrad. Túto úlohu zohráva už od roku 2011. Česká republika však disponuje oveľa rozvinutejším a komplexnejším aparátom starajúcim sa o rozvoj a udržiavanie kybernetickej bezpečnosti. Súčasťou Národného bezpečnostného úradu je aj Národné centrum kybernetickej bezpečnosti (NCKB), ktoré vzniklo v roku 2014 a sídli v Brne. Medzi jeho hlavné úlohy patrí:

  • spolupráca s národnými, ale aj medzinárodnými tímami CERT a CSIRT,
  • prevencia pred kybernetickými útokmi, výskum a vývoj, podpora vzdelávania a osvety,
  • príprava bezpečnostných štandardov a návrhov na riešenie incidentov,
  • prevádzkovanie tzv. vládneho tímu CERT ČR (funguje pod skratkou GovCERT.CZ).

Okrem vládneho centra však existuje aj tzv. národný CERT tím (CSIRT.CZ). Ten je prevádzkovaný súkromným sektorom, a to na základe memoranda s NBÚ ČR. Tento tím predstavuje v spolupráci s vládnym CERT-om koordinačné miesto pre okamžitú reakciu na kybernetické útoky a bezpečnostné incidenty.

V roku 2011 taktiež vznikla aj Rada pre kybernetickú bezpečnosť. Tá je poradným orgánom predsedu vlády Českej republiky a jej úlohou je podpora výkonu úloh NBÚ a koordinácia činností štátnych inštitúcií v oblasti kybernetickej bezpečnosti, a to v takom zmysle, ktorý zabezpečí plnenie záväzkov vyplývajúcich z členstva ČR v medzinárodných organizáciách. Rada pre kybernetickú bezpečnosť má zároveň právo predkladať vláde správu o zaistení kybernetickej bezpečnosti ČR, ale aj odborné návrhy a odporúčania. Predsedom Rady je predseda vlády ČR, jeho zástupcom je riaditeľ NBÚ ČR. Ostatní členovia Rady takisto pochádzajú z prostredia štátnych inštitúcií, okrem iného ide o viaceré ministerstvá (obrany, vnútra, zahraničných vecí, dopravy atď.), Políciu ČR, Bezpečnostnú informačnú službu, Vojenské spravodajstvo, Český telekomunikačný úrad a. i.

Na rozdiel od Slovenska, Česká republika disponuje Národnou stratégiou kybernetickej bezpečnosti. Tá jednoznačne poukazuje na rastúci význam kybernetickej bezpečnosti, ktorej dôležitosť súvisí najmä s čoraz väčšou informatizáciou spoločnosti. Tá má do veľkej miery pozitívny efekt, no zároveň so sebou prináša aj väčšiu zraniteľnosť kritickej infraštruktúry, a to najmä zo strany neštátnych aktérov. Stratégia považuje kybernetickú bezpečnosť za jeden z určujúcich aspektov bezpečnostného prostredia ČR a takisto priznáva, že množstvo kybernetických bezpečnostných hrozieb naďalej stúpa, preto musí štát ako garant bezpečnosti zaistiť stabilitu a funkčnosť sietí, systémov a dôležitých častí kritickej infraštruktúry.

Národná stratégia kybernetickej bezpečnosti ČR na obdobie rokov 2015 – 2020 vychádza z Bezpečnostnej stratégie ČR a slúži ako základný dokument pri ochrane kybernetického priestoru. Je pomerne ambiciózna a deklaruje českú snahu o aktívne pôsobenie na národnej, ale aj medzinárodnej úrovni. Stratégia jasne pomenováva súčasné problémy a definuje prostriedky, ktoré by mali slúžiť pri prevencii voči týmto problémom a hrozbám. Strategický dokument sa delí na niekoľko častí. Tými najdôležitejšími sú:

  • vízie,
  • princípy,
  • výzvy,
  • hlavné ciele,
  • implementácia.

Základnou víziou ČR je zabezpečenie adekvátnych podmienok pre hladko fungujúcu informačnú spoločnosť. Svoju ambicióznosť však stratégia dokazuje tým, že deklaruje záujem Česka stať sa lídrom v oblasti kybernetickej bezpečnosti v regióne, ale aj v celoeurópskom meradle. Táto vízia má byť dosiahnutá aj prostredníctvom plnenia záväzkov a aktívnej pomoci partnerom. Okrem toho chce ČR vo veľkej miere pokračovať v rozširovaní a budovaní základne expertov, čoho výsledkom by malo byť práve spomínané vedúce postavenie v oblasti kybernetickej bezpečnosti. Veľmi dôležitým bodom je dôraz na spoluprácu so súkromnou a akademickou sférou.

Česká republika sa však zároveň pri snahe o dosiahnutie týchto vízií zaväzuje dodržiavať základné ľudské práva a rešpektuje otvorené prostredie internetu s dôrazom na slobodu prejavu a ochranu osobných dát.

Stratégia identifikuje celkovo 19 kľúčových výziev, ktoré budú v najbližšej budúcnosti vplývať na kybernetickú bezpečnosť. Viaceré z nich súvisia s elektronizáciou a rozširovaním technológií, ktoré však nie sú dostatočne vyvážené zvyšovaním povedomia o dôležitosti ochrany pred kybernetickými útokmi. Medzi tieto sa dajú zaradiť najmä:

  • narastajúci počet užívateľov internetu a ich závislosti na komunikačných technológiách, vrátane obranných zložiek a štátnej správy (implikácie v prípade zlyhania),
  • väčší počet malware, ktorému však nezodpovedá využívanie antivírových programov,
  • bezpečnostné riziká spojené s elektronizáciou verejnej správy a nedostatočné zabezpečenie malých a stredných podnikov,
  • botnety a DDoS/DoS útoky,
  • informačná kriminalita.

Okrem toho stratégia rozoznáva nedostatočný počet odborníkov zaoberajúcich sa kybernetickou bezpečnosťou a nízku digitálnu gramotnosť užívateľov. Zaujímavým bodom je poukázanie na nedostatočnú dôveru verejnosti voči štátu, ktorá sa odzrkadľuje aj na vnímaní kybernetickej bezpečnosti, kde obyvateľstvo nepovažuje štátny bezpečnostný aparát za hlavného garanta bezpečnosti a väčšiu dôveru vkladá do súkromných subjektov. Práve viackrát spomínané prehĺbenie spolupráce medzi štátnym a súkromným sektorom by preto  mohlo byť v tejto oblasti kľúčové.

Posledná časť Národnej stratégie kybernetickej bezpečnosti ČR sa zameriava na hlavné ciele, ktorých implementácia bude podrobnejšie a konkrétnejšie definovaná v Akčnom pláne kybernetickej bezpečnosti ČR na obdobie rokov 2015 – 2020. Ten by mal byť schválený v druhom štvrťroku tohto roka. NSKB identifikuje osem základných cieľov:

  • zaistenie efektivity a posilňovania štruktúr zodpovedných za zaisťovanie kybernetickej bezpečnosti,
  • aktívna medzinárodná spolupráca,
  • ochrana národnej kritickej informačnej infraštruktúry,
  • spolupráca so súkromným sektorom,
  • posilnenie výskumu a vývoja v oblasti kybernetickej bezpečnosti,
  • podpora vzdelávania, osvety a rozvoja informačnej spoločnosti,
  • rozvoj schopností Polície ČR vyšetrovať a postihovať informačnú kriminalitu,
  • vytváranie právneho rámca pre kybernetickú bezpečnosť a účasť na tvorbe medzinárodných pravidiel.

Vytýčené ciele jednoznačne preukazujú komplexné chápanie fenoménu kybernetickej bezpečnosti. Česká republika prostredníctvom tejto stratégie deklaruje aktívny prístup k novým hrozbám. V strategických dokumentoch Českej republiky je jednoznačne viditeľné chápanie kybernetickej bezpečnosti ako dôležitej súčasti bezpečnosti štátu, ktorá sa vyznačuje nedeliteľnosťou, či už v globálnom alebo euroatlantickom meradle.

Česká republika má ambíciu stať sa dôležitým aktérom v oblasti kybernetickej bezpečnosti. Tento status by mal byť dosiahnutý najmä vďaka úspešnej spolupráci vnútroštátnych subjektov spojenej s výskumom a rozvojom kapacít schopných predísť kybernetickým útokom. Domáce úspechy by mali byť prenesené aj do medzinárodnej sféry, najmä prostredníctvom cvičení a spomínanej spolupráce na formovaní medzinárodného právneho rámca kybernetickej bezpečnosti.

Rastislav Kačmár, apríl 2015

KP CR

Zdroje:

  1. NCKB. 2015. Vyhodnocení Strategie pro oblast kybernetické bezpečnosti v České republice na období 2012 – 2015. [online], [29.3.2015]. Dostupné na internete: < https://www.govcert.cz/download/nodeid-1043/ >
  1. NBÚ ČR. 2011. Statut Rady pro kybernetickou bezpečnost. [online], [25.2.2015]. Dostupné na internete: < http://www.nbu.cz/download/nodeid-716/ >
  1. Zákon o kybernetické bezpečnosti. 2014. [online], [28.2.2015]. Dostupné na internete: < http://www.psp.cz/sqw/sbirka.sqw?cz=181&r=2014 >
  1. Ministerstvo zahraničních vecí České republiky. 2015. Bezpečnostní strategie České republiky 2015. [online], [12.3.2015]. Dostupné na internete: < http://www.vlada.cz/assets/ppov/brs/dokumenty/bezpecnostni-strategie-2015.pdf >
  1. NCKB. 2015. Národní strategie kybernetické bezpečnosti České republiky na období let 2015 až 2020. [online], [2.3.2015]. Dostupné na internete: < https://www.govcert.cz/download/nodeid-1004/ >