Visegrádská čtyřko, jsi připravena na kyberútok?

© Shutterstock.com

Kybernetický prostor rozhodně není bezpečný. S útoky se setkávají firmy, úřady, ale také média. Země Visegrádu se proto vyzbrojily odborníky a novými strategiemi, které je mají ochránit.

Článek vznikl ve spolupráci se slovenskou a polskou redakcí EURACTIV a maďarským think tankem Political Capital. 

Období válek, tanků a těžké bojové techniky je až na pár výjimek minulostí – alespoň v Evropě. Válka se přesunula z bitevních polí do kybernetického prostoru a vlády jednotlivých států se připravují na nové hrozby, které z této změny vyplývají.

V4 si zatím vede dobře. Region zatím nepostihla žádná událost podobná tomu, co zažilo například Estonsko v roce 2007, kdy soustředěný kybernetický útok jednorázově odstavil desítky internetových serverů úřadů, médií či bank.

Menší incidenty se ale čas od času objeví.

„Společnosti a instituce v ČR byly v uplynulých letech několikrát cílem DDoS útoků, které na omezenou dobu vyřadily některé služby, stejně tak došlo k proniknutí do některých vedlejších systémů státní správy,“ uvedl expert na kyberbezpečnost Tomáš Rezek z Asociace pro mezinárodní otázky.

Estonský velvyslanec: Za obranu se musí platit a kyberbezpečnost je jako hygiena. Více >>>>

Například během parlamentních voleb v říjnu 2017 byly útokem DDos (útok, při kterém se hackeři snaží zahltit server obrovským množstvím požadavků) deaktivovány dva zpravodajské portály, které informovaly o výsledcích voleb.

Rezek: Společnosti a instituce v ČR byly v uplynulých letech několikrát cílem DDoS útoků, které na omezenou dobu vyřadily některé služby.

Slovensko zažilo podobný výpadek v den parlamentních voleb roku 2016. Terčem se zde stala také přední slovenská média včetně veřejnoprávní televize a rádia (RTVS).

Byznys v hledáčku hackerů

I když útoky na soukromé firmy jsou na každodenním pořádku, veřejná debata o tomto problému je zatím slabá podobně jako snaha byznysu se před novými hrozbami chránit.

Většina slovenských podniků například používá běžný bezpečnostní software, jako jsou antiviry a firewall. Jenom hrstka společností si najímá takové služby, které poskytují dostatečnou ochranu proti nejmodernějším kybernetickým hrozbám typu ransomeware či virům způsobujícím kolaps serverů.

V Maďarsku se s kybernetickým nebezpečím pokusila vypořádat zhruba polovina větších podniků a méně než desetina menších firem.

Podle průzkumu Evropské komise, se pouze třetina dotazovaných Maďarů obávala zneužití osobních informací například u finančních transakcí, což potvrzuje nízkou uvědomělost spotřebitelů o možném riziku. Jednalo se o třetí nejnižší hodnotu v celé EU – hned po Maltě a Rumunsku. Je zřejmé, že Maďarsko má v tomhle ohledu stále na čem pracovat.

Macek: Nejzásadnější hrozbou většinou bylo, je a zřejmě i bude lidské selhání, ať už z důvodu nedbalosti, nezpůsobilosti nebo úmyslně.

Problém se ale týká i polských firem. Až 65 % společností v Polsku se stalo obětí nějakého kybernetického útoku většinou prostřednictvím ransomewarů a v polovině těchto případů došlo k finanční škodě. Podle studie společnosti PwC vynaložily polské firmy na posílení kybernetické obrany pouze 3 % svých IT rozpočtů.

Další zajímavostí je, že až třetina útoků byla provedena jejich vlastními zaměstnanci. Tolik útoků nezpůsobili firmám ani profesionální hackeři.

„Nejzásadnější hrozbou většinou bylo, je a zřejmě i bude lidské selhání, ať už z důvodu nedbalosti, nezpůsobilosti nebo úmyslně,“ vysvětlil Karel Macek, zástupce české pobočky AFCEA (Armed Forces Communication & Electronics Association).

Hybridní válka nebo úmyslná manipulace?

Macek dále naznačil, že by mohla existovat spojitost mezi kyberútoky a mezinárodní politikou.

„ČR konkrétními kroky deklaruje, že patří spíše k západním demokraciím, než do východního prostoru, z čehož mohou vyplývat cílené akce v rámci probíhající hybridní války o vliv nad střední Evropou,“ dodal.

V dnešní době je hybridní válka médii a experty spojována s ruskými dezinformačními kampaněmi. Přesto ale žádná země Visegrádské čtyřky Rusko ve své strategii pro kybernetickou bezpečnost nezmiňuje.

Kromě nebezpečných dezinformací představuje nebezpečí i neúmyslná manipulace.

„Dochází k tomu automatizovaným nastavením obsahu podle spotřebitelské preference, což je také velice nebezpečné,“ řekl Miroslav Nečas z české soukromé společnosti TOVEK, která se zabývá zpracováním dat a informací.

Nečas přitom nemá na mysli známý skandál týkající se zneužívání dat uživatelů Facebooku společností Cambridge Analytica, ale filtrování obsahu sociálních sítí. Podle Nečase se lidé kvůli těmto filtrům uzavírají do oddělených virtuálních bublin.

„Jednotlivé virtuální bubliny se pak vzdalují nejen realitě, ale zejména bublinám, ve kterých žijí další lidé. Myslím, že je to jeden z faktorů, které přispívají k aktuálnímu rozdělení společnosti, byť to jistě není faktor jediný,“ doplnil Nečas.

Kyberbezpečnost, Visegrád a EU

Země Visegrádu si s dosavadními požadavky EU v oblasti kybernetické bezpečnosti poradily bez potíží. Některé se dokonce staly příkladem dobré praxe.

ČR začala pracovat na zlepšení své legislativy pro boj s kybernetickými hrozbami již před několika lety. Zákon o kybernetické bezpečnosti je platný již od roku 2014 a na jeho základě vznikl 1. srpna 2017 také Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Kyberbezpečnost? Evropa se může od Česka učit, ve státní správě ale chybí „ajťáci“. Více >>>>

Mluvčí úřadu Radek Holý zdůraznil, že v květnu 2018 bude Česko také plně v souladu s evropskou směrnicí pro bezpečnost sítí a informačních systémů.

Tzv. směrnice NIS je první celoevropským souborem pravidel pro kyberbezpečnost a od 10. května 2018 má být plně účinná. Členské státy by na základě ní měly vytvořit národní strategie pro bezpečnost sítí a informačních systému. Dále by měly pověřit speciální úřady a týmy, jejichž úkolem bude monitorovat situaci, vydávat včasná varování v případě hrozeb a odpovídat na případné incidenty.

Co nového přináší směrnice NIS? Čtěte zde >>>>

Maďarsko převzalo směrnici NIS již v prosinci loňského roku. Botond Feledy z Centra pro euro-atlantickou integraci a demokracii (CEID) v této souvislosti upozornil, že papírově je Národní ústav pro kyberbezpečnost a vládní tým CERT funkční. Směrnici se ale jinak příliš pozornosti nedostalo.

Největší pokrok v kybernetické bezpečnosti zaznamenalo Maďarsko zejména před pár lety. Ve zprávě z roku 2015 o kapacitách členů NATO v oblasti kyberbezpečnosti získalo Maďarsko čelní příčku.

Feledy: Papírově je maďarský Národní ústav pro kyberbezpečnost a vládní tým CERT funkční. Směrnici NIS se ale jinak příliš pozornosti nedostalo.

Do roku 2015 bylo Maďarsko také předsedající zemí pracovní skupiny NATO pro kybernetickou obranu, dále bylo aktivní v unijních bezpečnostních výborech a mělo dobře fungující centrum pro kybernetickou ochranu.

Nejprve bezpečnost, až poté jednotný digitální trh, shodují se lídři EU. Více >>>>

Orbánova vláda ale v dubnu 2015 systém kompletně reorganizovala, když upravila příslušný zákon a vytvořila novou institucionální strukturu. Agenda kybernetické bezpečnosti se tak stala součástí bezpečnostních služeb a přestala být transparentní.

Za evropskou směrnicí zatím nezaostává ani Polsko. Nová legislativa, která implementuje směrnici NIS do polského práva, již byl schválena vládou a nyní čeká na souhlas parlamentu.

Polsko nemá žádný souvislý kyberbezpečnostní systém. Nová strategie a právní úprava vznikla bez jasného vedení jednoho ministerstva.

Zároveň ale Polsko nemá žádný souvislý kyberbezpečnostní systém. Nová strategie a právní úprava vznikla bez jasného vedení jednoho ministerstva. O kompetenci po celou dobu soupeřilo ministerstvo obrany a ministerstvo pro digitalizaci. V lednu 2018 pak byla odvolána ministryně pro digitalizaci Anna Streżyńska a očekávalo se, že s ní skončí i celý rezort.

To se sice nakonec nestalo, v březnu ale souboj o kompetenci vyhrálo ministerstvo obrany, v rámci kterého pak vznikl post zmocněnce pro kyberbezpečnost. Ministerstvo pro digitalizaci získalo nové vedení až po třech měsících. Kdo ale opravdu povede kyberbezpečnostní politiku ,zůstává otázkou.

Ministerstvo financí navíc nemá v plánu do kyberbezpečnosti více investovat, a to ani přesto, že se rodí nová strategie nutná ke splnění požadavků evropské směrnice NIS. Kyberbezpečnost je však nyní spíše záležitostí obrany, což se může celému sektoru vyplatit – ministerstvo obrany má totiž poměrně vysoký rozpočet.

Kyberbezpečnost se stala velkým tématem i pro Slovensko, a to v souvislosti s novým zákonem o kybernetické bezpečnosti. Slovenský parlament odsouhlasil legislativu v lednu 2018 a byl to první zákon svého druhu, který upravoval jednotná bezpečnostní opatření v kybernetickém prostoru.

Podle studie estonské neziskové organizace e-Governance Academy Foundation, je Slovensko na vrcholku Národního indexu kybernetické bezpečnosti (NCSI),

Příprava legislativy ale byla složitá, neboť se do ní nezapojili pouze úředníci a experti ze státní správy, ale také akademická obec a odborníci z nevládního sektoru. Zákon, který směrnici NIS implementoval, nakonec vstoupil v platnost 1. dubna 2018.

Přijetí legislativy je nyní považováno za úspěch. Dokládá to i studie estonské neziskové organizace e-Governance Academy Foundation, podle které je Slovensko na vrcholku Národního indexu kybernetické bezpečnosti (NCSI). Index posuzuje, jak se státy snaží bránit vážným kybernetickým hrozbám a jak jsou připravené na případné nehody, zločiny či krize.

Slovenská národní strategie je platná již od roku 2008. V roce 2015 pak vláda schválila Koncept pro kybernetickou bezpečnost pro období 2015 – 2020 vytvořený Národní agenturou pro sítě a elektronické služby a Národním bezpečnostním úřadem (NBÚ).

NBÚ převzal agendu kybernetické bezpečnosti od ministerstva financí, které ji po několik let řídilo. Kritici ale namítají, že úřad komunikuje s veřejností, experty i byznysem příliš jednostranně. Dalším problémem je nedostatečná vize, neboť veškerá legislativa byla otrocky převzata ze směrnice NIS a nezohledňuje žádná národní specifika.

Společně proti hackerům

Všechny čtyři země Visegrádu mají své strategie a úřady pro boj s kybernetickými hrozbami. Mohou díky nim také v tomto boji spolupracovat a sdílet své osvědčené postupy.

„Mezinárodní spolupráce probíhá, ale ne v podobě, že by spolupracovaly nějaké státní útvary v podobě rozsáhlých armád. Spolupráce probíhá jak mezi státními aktéry, tak mezi bezpečnostními týmy (CERT/CSIRT), které jsou vzájemně propojeny buď přímo, nebo formou oborových organizací,“ vysvětlil Radek Holý z NÚKIB.

Polské ministerstvo pro digitalizaci: Příkladem spolupráce může být Středoevropská platforma pro kybernetickou bezpečnost, která se na strategické úrovni schází dvakrát do roka.

Na mezinárodních workshopech, tréninzích a soutěžích se podílejí i Slováci a sklízí přitom skvělé výsledky. Slovenská kybernetická obrana je proto považována za úspěšnou, nicméně veřejnost o tom mnohdy nemá ponětí.

Polské ministerstvo pro digitalizaci zdůrazňuje, že země V4 spolupracují spíše v rámci EU.

„Dalším příkladem může být Středoevropská platforma pro kybernetickou bezpečnost, která se na strategické úrovni schází dvakrát do roka, přičemž její představitelé se setkávají v Bruselu, aby si vyměnili informace. Polsko, Česká republika, Slovensko, Maďarsko a Rakouskou jsou součástí této platformy,“ uvedlo ministerstvo.

Maďarský odborník Feledy si myslí, že V4 a Unie jsou mnohem pokročilejší v boji proti kyberzločinu než v obecné spolupráci při posilování kyberbezpečnosti. „Společná cvičení se konají zejména v rámci NATO, ale co se týče civilní stránky, měla by se posilovat zejména společná obrana kritické infrastruktury, obzvláště v případě elektráren,“ uzavřel Feledy.