Zákon č. 181/2014 Sb. primárně směřuje k vynucenému zvýšení bezpečnosti kritické infrastruktury státu a nejdůležitějších informačních systémů (provozovaných státem i komerčními subjekty), ve kterých jsou spravovány osobní údaje velkého množství lidí. Smyslem nových pravidel stanovených zákonem je předcházení závažným bezpečnostním hrozbám a připravenost k okamžitému řešení. Dohledem nad kybernetickou bezpečností ČR byl pověřen Národní bezpečnostní úřad (NBÚ) společně s Národním centrem kybernetické bezpečnosti. V případě závažného bezpečnostního incidentu (nebo pokud existuje jeho reálná hrozba) může NBÚ vydat reaktivní nebo ochranné opatření pro zabezpečení klíčové infrastruktury, a dokonce i vyhlásit stav kybernetického nebezpečí.

Zákon o kybernetické bezpečnosti se týká především poskytovatelů telekomunikačních služeb (tedy i internetového připojení), ale i dalších provozovatelů významných IT infrastruktur z oblasti veřejné správy, zdravotnictví, dopravy, energetiky, finančních služeb nebo provozovatelů dalších komunikačních a informačních systémů, definovaných předpisem č. 432/2010 Sb. Firmy a organizace, na které se zákon č. 181/2014 Sb. vztahuje musely zavést systém řízení bezpečnosti informací a rizik, řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému i zvládání kybernetických bezpečnostních incidentů. Vedle fyzického zabezpečení bylo nutné nasadit rovněž nástroje na ochranu integrity komunikačních sítí, ověřování identity uživatelů, řízení přístupových oprávnění a rovněž i ochranu před škodlivým kódem. Součásti kritické informační infrastruktury a významné informační systémy musejí být nepřetržitě monitorovány a musí být zaznamenávána činnost jejich administrátorů a uživatelů. Nelehkou podmínkou je i detekce kybernetických bezpečnostních událostí a jejich a vyhodnocování.

Náklady na zabezpečení

Jelikož většina požadavků zákona o kybernetické bezpečnosti vychází z norem řady ISO/IEC 27000, měly firmy a organizace s certifikací dle těchto norem výhodnější výchozí pozici. Přesto se ale ukazuje, že i ve vysoce zabezpečených systémech lze vždy najít skuliny. Svědčí o tom například široce medializovaný případ odcizení osobních dat 1,2 milionu zákazníků českého T-Mobilu jedním ze zaměstnanců. Úřad pro ochranu osobních údajů posoudil situaci tak, že T-Mobile nedostatečně zabezpečil své systémy, a udělil telekomunikačnímu operátorovi pokutu 3,6 milionu korun.

Náklady na zabezpečení systémů a dat obecně představují velký podíl z rozpočtů firem na IT a splnění požadavků zákona o kybernetické bezpečnosti je v mnoha dotčených firmách a organizacích spojeno se zásadní investicí. Nejvíce problémů mají samozřejmě firmy, které si zatím se zabezpečením příliš nelámaly hlavu. Sice si mohou najít konzultanty a dodavatele z oblasti bezpečnosti IT systémů, nebo si zajistit řízení bezpečnosti svých IT systémů formou služby, ovšem odpovědnosti za plnění požadavků zákona se tím samozřejmě nezbavují. Za neplnění povinností zákona č. 181/2014 Sb. přitom může být uložena sankce do výše 100 000 Kč. Nesplnění požadavků zákona může představovat i nehlášení bezpečnostních incidentů nebo chybějící bezpečnostní dokumentace.

Koncentrace dat

Jelikož si ne všechny firmy a organizace mohou dovolit splnění všech požadavků na ochranu svých systémů a dat dle zákona o kybernetické bezpečnosti, je možné, že jedním z jeho důsledků bude koncentrace obrovského množství osobních dat pod správou velmi omezené skupiny firem a státních organizací. Zatímco jsme si už celkem zvykli, že nadnárodní firmy sbírají gigantická množství dat za účelem tvorby a udržování profilů svých zákazníků pro cílení reklamy, dalším velkým sběračem dat se v ČR postupně stává státní správa. V poslední době jde především o rozbíhající se projekt elektronické evidence tržeb a připravovaný centrální registr bankovních účtů. Nároky zákona č. 181/2014 Sb. samozřejmě musí plnit i organizace státní správy, ale to neznamená, že by k uchovávaným datům nemohly získat přístup bezpečnostní složky, tajná služba a další orgány, které najdou vše hezky na jednom místě.

Je nasnadě, že koncentrace dat do několika centrálních databází pod rouškou zajištění ochrany před kybernetickými útoky příliš bezpečné není. Naopak se ukazuje, že právě centralizované datové sklady jsou primárním cílem útoků, využívajících celé spektrum prostředků – od zneužití chyb v softwaru a zabezpečení, přes phishing až po sociální inženýrství.

Jistě není na škodu, že je Česká republika jednou z mála zemí, které mají zákony týkající se kybernetické bezpečnosti. Nicméně, poměrně přísná dikce zákona č. 181/2014 Sb. a jeho striktní vymáhání může do budoucna vést k soustředění dat do rukou malé skupiny velkých společností a státní správy, což zvyšuje riziko pro tato data nejen ze strany kybernetických útoků, ale i možnost jejich zneužití.

JUDr. Jiří Matzner, Ph.D., LL.M. Autor článku je zakladatelem advokátní kanceláře MATZNER et al.