Revoluce v kyberbezpečnosti? Nový systém má ukázat odolnost elektroniky vůči hackerům

© Shutterstock

Kybernetické útoky mohou zasáhnout nejen počítače či telefony. Hackeři jsou dnes schopni zaútočit i na chytré domácí spotřebiče. Evropský parlament proto přijal nařízení, které má unijní trh postupně zbavit nedostatečně chráněných výrobků

Takzvaný akt o kybernetické bezpečnosti zavádí systém certifikace. Pomocí něj se budou výrobky dělit do třech skupin podle toho, zda je jejich odolnost vůči kyberútokům základní, značná nebo vysoká. V případě třetího stupně by měl výrobek odolat i těm nejmodernějším a nejzákeřnějším útokům.

„Na bezpečnost výrobků a zařízení se musíme zaměřit. Dnes třeba ještě není tolik lidí s tzv. chytrou domácností, ale za pár let to bude běžné. Taková chytrá domácnost pak může být napadena klidně skrze chytrou ledničku nebo televizi,“ upozornil stínový zpravodaj legislativy Pavel Telička (ALDE).

Zařízení náchylná ke kybernetickým útokům jsou podle něj často vyráběna mimo EU. „My ale musíme zkoumat, jak odolné proti kyberútokům takové zařízení je. V momentě, kdy je výrobek zranitelný, musíme reagovat. A právě certifikace je jednou z možností. Musí být ale srozumitelná pro běžného spotřebitele,“ dodal.

Kyberbezpečnost? Evropa se může od Česka učit, ve státní správě ale chybí "ajťáci", říkají experti

Ještě před několika lety se Česko učilo od jiných evropských zemí, jaká opatření zavést v kyberbezpečnosti. Nyní pořádá školení, kde čeští experti sami radí – například svým kolegům z Balkánu. Zaznívá ale i kritika. Česku podle analytika Tomáše Rezka chybí IT odborníci ve státní správě.

Využití certifikace bude pro firmy zatím dobrovolné. Pokud si o ni výrobce požádá, bude její platnost vždy časově omezena na dobu pěti let s možným opakovaným prodloužením.

O povinném značení se uvažuje pouze v oblasti tzv. kritické infrastruktury, tedy na poli energetiky, dopravy, komunikační a finanční infrastruktury, datových úložišť, umělé inteligence, robotiky či jaderných technologií. S takovým návrhem by Komise měla přijít do konce roku 2023.

Posílení bezpečnosti sítí a informací

Druhým pilířem nové legislativy je vedle certifikace také posílení Evropské agentury pro bezpečnost sítí a informací (ENISA), která sídlí v řeckém Heráklionu na ostrově Kréta.

ENISA byla zřízena už v roce 2004, doposud má ale jen omezený mandát, který vyprší příští rok. Přijaté nařízení z ní ale dělá stálou agenturu zaměstnávající 125 lidí s rozpočtem ve výši 23 milionů eur, což je oproti současnému stavu výrazné navýšení kapacit.

Kybernetická bezpečnost stojí na digitální gramotnosti. Učme ji už předškoláky, říkají experti

Pojem kybernetická bezpečnost nabírá na důležitosti mimo jiné proto, že tradičně bezpečné Česko začíná být pro útočníky v kyberprostoru atraktivnější. Klíčem k zajištění bezpečnosti je podle odborníků především digitálně gramotná společnost, vzdělávat by se prý měli už ti nejmladší.

Kromě personálních a finančních zdrojů se posílí i její pravomoci. Vedle vytvoření certifikačního rámce bude mít na starost tvorbu, vývoj, implementaci a kontrolu celoevropské kybernetické politiky.

Stejně tak bude mít za úkol identifikovat klíčové strategické sektory a kritickou infrastrukturu, které jsou kybernetickými hrozbami nejvíce ohroženy.

Obracet se na ni budou moci i členské státy. ENISA bude mít v takovém případě povinnost pomáhat a radit jednotlivým vládám, jak kyberhrozbám čelit.

S jejím posílením souhlasí například český europoslanec Tomáš Zdechovský (KDU-ČSL, EPP).

„ENISA by měla být špičkovým centrem, které se bude kybernetické bezpečnosti členských zemí věnovat,“ zdůraznil.

„Kybernetická oblast patří mezi ty, kde mezinárodní spolupráce zatím není úplně dobře koordinovaná,“ dodal.

Na druhou stranu podle Teličky by ENISA neměla za každou cenu něco nahrazovat.

„ENISA má velkou roli v rámci informování a vzdělávání veřejnosti v oblasti kybernetických hrozeb, ale taky v propojování a předávání informací. Zejména však při vytváření certifikačních schémat,“ myslí si.

Visegrádská čtyřko, jsi připravena na kyberútok?

Kybernetický prostor rozhodně není bezpečný. S útoky se setkávají firmy, úřady, ale také média. Země Visegrádu se proto vyzbrojily odborníky a novými strategiemi, které je mají ochránit. 

V České republice funguje obdobná instituce, a to Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který aktuálně patří mezi evropskou špičku. Ne každá unijní země ale takový úřad na národní úrovni zřídila. Tyto mezery by měla zacelit právě ENISA, přičemž do práce národních úřadů by neměla příliš zasahovat.

Sílící kyberhrozba

Rostoucí důraz na kybernetickou bezpečnost je na místě. V současné době je k internetu připojeno více než 80 % Evropanů, přičemž podle odhadů bude do roku 2020 na světě fungovat přes 30 miliard připojených zařízení.

S vyšším počtem výrobků připojených k internetu a s rostoucím počtem uživatelů roste i kybernetická kriminalita.

Podle informací agentury ENISA tato forma kriminální činnosti napáchala jen v roce 2016 škody ve výši jedné miliardy eur a kyberútoky zasáhly na 80 % evropských společností. Cílem je však čím dál častěji i státní správa nebo veřejnost.

České ministerstvo vnitra eviduje za rok 2018 až 6 815 trestných činů spáchaných na internetu. V roce 2017 to přitom bylo o více než tisíc činů méně. Kromě zřizování podvodných e-shopů se mezi časté prohřešky řadilo také hackování emailových schránek a internetových účtů, včetně těch bankovních. Do kybernetické kriminality se řadí také šíření dětské pornografie, krádeže identity či extrémní projevy na sociálních sítích.

Komise navrhuje systém značení, který ukáže míru bezpečnosti v kyberprostoru

S digitalizací a s rozšiřováním internetového připojení přichází také velké riziko kyberútoků a zneužití soukromých dat. Komise s tím chce bojovat a vymýšlí nový systém certifikace, který uživateli řekne, zdali je bezpečné používat dané zařízení v kyberprostoru. Proti návrhům se však silně ohradili telekomunikační regulátoři.

Článek vznikl v rámci projektu Evropa v souvislostech, který společně realizují EURACTIV.cz a vydavatelství Economia s podporou Evropského parlamentu.

Souvislosti

Akt o kybernetické bezpečnosti

Evropská komise navrhla Akt o kybernetické bezpečnosti v září 2017. Skládá se ze dvou pilířů - posílení Evropské agentury pro bezpečnost sítí a informací (ENISA) a evropského certifikačního rámce. Následně se novým nařízením začali zabývat i europoslanci, kteří ho letos v březnu přijali jasnou většinou -  pro hlasovalo 586 poslanců, proti jen 44 a 36 poslanců se zdrželo. Akt musí ještě schválit zástupci členských států v Radě EU.