Tuto zátěž ještě umocňuje fakt, že v oblasti kyberbezpečnosti dlouhodobě není dostatek expertů. A to nejen v Česku. Podle odhadů Evropské Unie chybí v Evropě až půl milionu odborníků na kyberbezpečnost. Důvodů, proč tomu tak je, můžeme určitě najít mnoho, mimo jiné nepřipravenost našeho školského systému. Jedním z řešení by mohlo být zvýšení důrazu na vzdělávání a zvyšování odbornosti v oblasti kybernetické bezpečnosti ve školách, aby se vytvořila různorodá a kvalifikovaná pracovní síla, která by do budoucna mohla uspokojit poptávku po specializovaných pozicích.

O čem už bezmála patnáct let mluvím je, že bezpečnost se bude přesouvat do centralizované formy služeb. Jednou z věcí, které by stát mohl pro zlepšení situace s nedostatkem expertů udělat, je snažit se své systémy více centralizovat. Pro organizace, které stát zřizuje, by měl vytvořit opravdu silné národní centrum, které bude kybernetickou bezpečnost pomocí služeb nabízet a řešit pro jednotlivé menší celky, jako jsou ministerstva či obce. Inspirovat se můžeme například u slovenské Národní agentury pro síťové a elektronické služby (NASES), která se právě o takovouto centralizaci snaží. I u soukromých subjektů je trend dneška v informačních technologiích i kybernetické bezpečnosti konsolidace systémů.

Určitá míra centralizace bude pravděpodobně nutná i v české státní správě a u samospráv. Nemyslím tím nutně vytvoření jediného bodu, odkud se bude vše zajišťovat, ale co se týče například security operation centra nebo network operation centra, ta klidně mohou být po jedné nebo několika málo jednotkách. Pak je samozřejmě potřeba zajistit také infrastrukturu. U té dává smysl centralizace na menších bodech, jako jsou kraje nebo ideálně i ještě menší, jako bývaly okresy. V rámci IT by bylo vhodné, kdyby se obce začaly spojovat do větších center v přirozených a logických celcích o velikosti třeba výše zmíněných okresů. To by mohlo vést k velké úspoře hodin, které je třeba správě IT věnovat a do jisté míry vyřešit problém chybějící kvalifikované pracovní síly. Napříč státní správou je obrovské množství duplicitních úkonů a není třeba, aby je ve stejný moment dělalo 2 000 IT specialistů, kterých se na trhu práce nedostává, když by stejný úkol mohla zastat pouhá desetina.

Stát by se zřízením těchto logicky velikých center měl začít zabývat co nejdříve. Protože s nástupem umělé inteligence, a s tím spojeným prudkým rozvojem schopností útočníků, budou současné malé celky v podstatě neschopné se efektivně bránit. Protože malé subjekty nikdy nebudou schopny postavit, ať už kvůli ceně, schopnostem či nedostatku personálu, dostatečně resilientní infrastrukturu, která dokáže vzdorovat silnějšímu útoku, než je obyčejný ransomware šířený po e-mailu. V boji proti kyberzločinu my jako bránící se strany už dnes taháme za kratší konec. Náš rozpočet je omezený tržní logikou, schopnost vyvíjet něco nového se opírá o schopnost vydělat na to prodejem, zatímco útočníci čerpají mnohem větší prostředky určené k budování svých aktivit. A ten nepoměr neustále narůstá vzhledem k prakticky nekonečným zdrojům státní správy zemí jako je Rusko, Čína a další. Eskalující kybernetický konflikt enormně navyšuje schopnosti útočící strany.

Dalším omezujícím faktorem pro obranu před kybernetickými útoky ve státní správě a na samosprávných obcích je transparentnost. Útočník si přes registr smluv může dohledat systémy, které veřejná správa a samosprávy využívají, a své útoky pak těmto systémům přizpůsobit. Podle agentury EU pro kybernetickou bezpečnost míří celých 19 % kybernetických útoků na státní správu a 8 % na zdravotnictví. To je dnes vystaveno podobným problémům v nejednotnosti kybernetické bezpečnosti a IT systémů. Útočníci se pochopitelně snaží útočit tam, kde narazí na nejmenší odpor a zároveň mohou získat nejvíce ať už peněz či publicity. Setkáváme se také s útoky z nám nepřátelských zemí, které nemusí mít za úkol nutně zisk či publicitu, ale třeba trest za uskutečněné kroky nebo třeba ochromení státní správy a poškození země jako takové.

Ačkoli kyberútoky jsou nepředvídatelné, jedno je jisté – bez adekvátních opatření budou obce i státní správa ponechány bez možnosti obrany proti stále sílícímu nepříteli. To může vést jak ke znásobení finančních ztrát, tak v horším případě i k ochromení veřejné správy. Tím se vracím k tomu, že směrnice NIS2 je potřebná a žádoucí i v případě státní správy a samosprávy, její zavedení si ale žádá koncepčnější řešení než pouhé zakotvení v zákoně. Stát by se proto skutečně měl zaměřit na to, aby co nejdříve začal budovat centralizovanou odolnou síť, která bude zajišťovat lepší obranu proti všem útokům. V tomto případě se dlouhé vyčkávání a přešlapování na místě nevyplatí a je potřeba s tím něco dělat hned teď.

Ondřej Šťáhlavský Autor je regionální ředitel společnosti Fortinet pro střední a východní Evropu.