HROZBY V KYBERPROSTORU


AUDIT NÁRODNÍ BEZPEČNOST

Ministerstvo vnitra České republiky

Praha, 2016

Část "hrozby v kyberprostoru" (str. 95 a násl.)

HROZBY V KYBERPROSTORU

A. Popis a evaluace hrozby a rizik z ní vyplývajících pro ČR

1. Úvod

Před hrozbami v kyberprostoru není v dnešní době plně chráněn žádný stát, ČR nevyjímaje. Zhoršující se bezpečnostní situace nejen v oblastech bezprostředně sousedících s členskými státy NATO a EU pak umocňuje zvyšující se nároky na schopnost ČR samostatně reagovat na bezpečnostní hrozby v kyberprostoru. Můžeme pozorovat rostoucí snahy státních i nestátních aktérů v budování a používání kybernetických ofenzivních prostředků, které cílí zejména na kritickou infrastrukturu (KI), respektive její část vystavenou v kyberprostoru - kritickou informační infrastrukturu (KII) a významné informační systémy (VIS). Právě ty totiž představují v ČR klíčový systém prvků, jejichž narušení nebo nefunkčnost by měla závažný dopad na bezpečnost ČR, zabezpečení základních životních potřeb obyvatelstva nebo ekonomickou situaci.

Následující text rozděluje kapitolu Hrozby v kyberprostoru do celkem pěti konkrétních hrozeb, které významně ohrožují národní bezpečnost:

I) Kybernetická špionáž

II) Narušení nebo snížení odolnosti IT infrastruktury

III) Nepřátelské kampaně

IV) Narušení nebo snížení bezpečnosti eGovernmentu

V) Kyberterorismus

Za kybernetickou špionáží či nepřátelskými kampaněmi v kyberprostoru stojí stále častěji přímo cizí státy, potažmo jejich bezpečnostní struktury. Dále nabývá na významu působení kriminálních, teroristických či jiných extremistických skupin a jednotlivců v kyberprostoru, které mohou v dohledné době eskalovat až k prvním případům kyberterorismu, majícího dopady na životy a zdraví osob.

ČR proto musí kontinuálně usilovat o navyšování odolnosti IT infrastruktury za účelem minimalizace dopadů kybernetických útoků a uvedení této infrastruktury rychle zpět do funkčního stavu. Zároveň musí ČR prosazovat důsledné dodržování bezpečnostních standardů u informačních a komunikačních systémů (IS; KS) provozovaných orgány veřejné správy a správci KII a VIS a v rámci této snahy se pak zaměřit i na projekt elektronizace veřejné správy - eGovernment. Závažné narušení jeho bezpečnosti by totiž mohlo zastavit digitalizaci veřejné správy, vést k nedůvěře občanů v tento koncept a tím dokonce narušit či zpomalit fungování státu.

Výše zmíněné hrozby ohrožující národní bezpečnost umocňuje především fenomén kybernetické kriminality. Stále ve větší míře je pachateli využíváno anonymity a prostorové neuchopitelnosti kyberprostoru, což přináší rychlý účinek při výrazně sníženém riziku postihu.

Návaznost na jiné kapitoly Auditu: tato kapitola se v částech o kybernetické špionáži a nepřátelských kampaních prolíná s kapitolou "Hybridní hrozby" a "Působení cizí moci". Dále se prolíná s kapitolou "Energetická, surovinová a průmyslová bezpečnost" a obsahuje také hrozbu kyberterorismu, která doplňuje kapitolu "Terorismus".

Při hodnocení relevance hrozby pro ČR v tomto materiálu byla použita kritéria pravděpodobnosti a závažnosti dopadu, jejichž kombinací je relevance následně hodnocena na škále nízká-střední-vysoká.

2. Třídění hrozeb

Text je rozdělen do několika částí. Kvůli komplikovanosti a vysoké heterogenitě faktorů a proměnných u jednotlivých hrozeb, je v části A. každá hrozba nejprve popsána v obecné rovině a následně je uveden výčet nejvýznamnějších rizik a problémů spjatých s touto hrozbou. Popis hrozby i jednotlivá rizika a problémy vycházejí z expertního zhodnocení a konsensu na úrovni pracovní skupiny. Dále v části B. následuje výčet (nikoliv vyčerpávající) odpovědných institucí a základních nástrojů pro eliminaci hrozeb v kyberprostoru. V části C. jsou do SWOT analýzy souhrnně integrovány v bodové struktuře zásadní silné stránky, slabé stránky, příležitosti a hrozby. Závěrem jsou uvedeny v části D. zásadní doporučení ke zvýšení národní bezpečnosti a odolnosti proti hrozbám v kyberprostoru.

I) Kybernetická špionáž

Zhodnocení relevance hrozby pro ČR: Vysoká

Kybernetická špionáž, jakožto snaha o získání strategicky citlivých či důležitých informací a dat osobní, citlivé nebo utajované povahy, a to bez souhlasu jejich držitele, je jedním z projevů nepřátelského chování. Útočníci cílí na jednotlivce, skupiny či organizace působící jak v soukromém, tak i veřejném sektoru. Zájmem útočníků je získání osobní, ekonomické, politické či vojenské výhody za použití kyberprostoru, respektive internetu, sociálních sítí a informačních a komunikačních technologií (ICT) obecně. Za případy kybernetické špionáže stojí jak jednotlivci, tak i skupiny a celé organizace. V jistých případech útoky přímo organizují, podporují, využívají či minimálně tolerují někteří státní aktéři. Hranice mezi útočníky, kteří se zabývají kybernetickou kriminalitou a kybernetickou špionáží, je mnohdy velmi nejasná a často se jedná o stejné subjekty.

Fenomén kybernetické špionáže je spojen s "advanced persistent threat" (APT), tedy pokročilou přetrvávající hrozbou, která je oproti tradičním kybernetickým útokům mnohem sofistikovanější a důmyslnější. APT využívá takových technik útoku a takových zranitelností, které jsou pro běžně používané detekční metody a nástroje obtížně rozpoznatelné. Tyto aktivity tak bývají po dlouhou dobu neodhaleny a v konkrétních případech je velmi složité dohledat a identifikovat jejich reálného původce. K exfiltraci informací a dat proto může kontinuálně docházet i po dobu několika let, respektive do té doby, dokud nedojde k odhalení a eliminaci této hrozby.

Význam hrozby kybernetické špionáže se odráží na počtu případů i nárůstu rizika užití kybernetických nástrojů k útokům na veřejný i soukromý sektor. Za růstem tohoto trendu stojí snadnější dostupnost sofistikovaných nástrojů pro provádění kybernetické špionáže, profesionalizace útočníků, budování ofenzivních kapacit u státních a nestátních aktérů na poli kybernetické bezpečnosti, elektronizace mnoha činností ve společnosti i celková politická situace ve světě.

Kybernetická špionáž může být jedním z prvotních znaků přípravy na kybernetický či kinetický útok, konflikt nebo také součást nepřátelské kampaně, kdy dochází mimo shromažďování strategických a citlivých informací také k mapování důležité infrastruktury, na kterou může být později útočeno. Reakce na kybernetickou špionáž si vyžaduje nasazení zvláštních prostředků a postupů, aby došlo k minimalizaci vzniklých a dalších potenciálních škod. Řešení těchto typů incidentů vyžaduje součinnost napříč rezorty zabývajícími se kybernetickou bezpečností i podporu a spolupráci jednotlivých subjektů.

ČR a její instituce se opakovaně stávají cílem kybernetické špionáže a lze předpokládat, že v českém prostředí působí doposud nedetekované APT, které škodí národním zájmům. Vzhledem k četnosti kybernetické špionáže a jejím potenciálně závažným důsledkům pro národní bezpečnost pak lze tuto hrozbu hodnotit jako vysokou. Oběťmi se zpravidla stávají exponované státní úřady a jejich představitelé, ale také instituce zabývající se vzděláváním, výzkumem a vývojem, provozovatelé IS a KS KII, správci VIS, bezpečnostní složky a řada dalších organizací. Obdobně se kybernetická špionáž týká soukromého sektoru, kde slouží především jako prostředek konkurenčního boje a dochází při ní k závažným krádežím duševního vlastnictví a k průmyslové špionáži.

Jednotlivá rizika a problémy:

V mnoha organizacích dochází k nedostatečné alokaci finančních prostředků na problematiku kybernetické bezpečnosti a k podceňování kybernetických hrozeb.

Někteří ICT výrobci či distributoři mající vazby na vlády a bezpečnostní složky jiných států se podílejí přímo i nepřímo na kybernetické špionáži.

Dochází k outsourcingu řešení kybernetické bezpečnosti v mnoha organizacích, který rozšiřuje okruh potenciálních nositelů hrozeb.

V mnoha organizacích je kybernetická bezpečnost řešena pouze z provozní úrovně, nikoliv komplexně, systémově.

S nástupem internetu věcí se nedostatečně řeší kybernetická bezpečnost netradičních zařízení, nyní nově připojených ke kyberprostoru.

Mnoho organizací nemá vytvořené nebo vhodně nastavené a reálně aplikovatelné politiky kybernetické bezpečnosti.

Skrze nedostatečně prověřené zaměstnance nebo odborně znalé pracovníky, působící vědomě či nevědomě ve prospěch třetích stran, může docházet k infiltraci organizací a vystavení citlivých informací riziku zneužití.

Mnoho organizací se dostatečně nevěnuje edukaci a osvětě zaměstnanců v oblasti kybernetické bezpečnosti, respektive lze identifikovat nedostatečnou IT gramotnost relevantních pracovníků.

Nákup ICT probíhá přes nedostatečně prověřené prostředníky a bez znalosti produktového řetězce, které mohou obsahovat zadní vrátka (software i hardware) pro exfiltraci informací.

Citlivé informace jsou vystaveny riziku neoprávněného užití v důsledku používání soukromých prostředků (především PC, mobilní zařízení, email) pro pracovní účely či při nevhodném a neuváženém zacházení s pracovními prostředky (především datové nosiče a mobilní zařízení).

II) Narušení nebo snížení odolnosti IT infrastruktury

Zhodnocení relevance hrozby pro ČR: Vysoká

V prostředí neustále se měnících kybernetických hrozeb, které mohou z dynamicky se vyvíjejícího kyberprostoru přicházet, musí ČR vytvářet zabezpečený a důvěryhodný kyberprostor a odolnou IT infrastrukturu. Stát proto musí soustavně budovat a navyšovat národní kapacity v této oblasti, avšak bez kooperace se soukromým sektorem a akademickou sférou, dále bez intenzivní mezinárodní spolupráce a zejména bez zapojení samotných obyvatel, nemůže být zajištěna potřebná účinnost těchto aktivit.

Odolnost IT infrastruktury znamená schopnost entity udržet přijatelnou úroveň služeb, rychle se adaptovat a reagovat bez ohledu na to, jaké problémy a komplikace vznikají. Vzhledem k množství eventualit a faktorů, které mohou způsobit narušení IT infrastruktury (technické selhání, selhání lidského faktoru při obsluze, přírodní katastrofy, kybernetické útoky a další), je pak podstatné vytvářet i efektivní systém zotavení IT infrastruktury po havárii či útoku.

Vzhledem ke vzrůstající četnosti a sofistikovanosti kybernetických útoků je zapotřebí neustále navyšovat své kapacity směrem ke komplexnímu řešení kybernetické bezpečnosti a kontinuálně navyšovat odolnost české IT infrastruktury, především pak u KII a VIS. Kvůli množství eventualit a faktorů, které mohou způsobit narušení nejen kritické části IT infrastruktury v ČR, a kvůli vzrůstající robustnosti a komplexnosti celkové IT infrastruktury v ČR je nutné hodnotit hrozbu narušení odolnosti IT infrastruktury jako vysokou. Je tak zapotřebí neustále navyšovat jak organizační, tak i procesní a technické schopnosti a kapacity, a tudíž posilovat celkovou odolnost IT infrastruktury v ČR.

Jednotlivá rizika a problémy:

Riziko napadení KII a VIS kybernetickými útoky prostřednictvím kybernetické špionáže, kyberterorismu, kriminálními organizacemi, hacktivisty a dalšími.

Nedostatek finančních prostředků na zajištění potřebných technických kurzů a najmutí bezpečnostně prověřených odborníků na ICT a kybernetickou bezpečnost.

Chemický průmysl a jiná strategická odvětví nejsou zahrnuta do kritické infrastruktury a jejich vybrané IS a KS tak nemohou být zahrnuty do KII. U zdravotnických zařízení není v příslušném nařízení vlády obsaženo odvětvové kritérium, které by umožnilo pokrytí některých IS a KS ve zdravotnických zařízeních.

Zaměstnanci státní a veřejné správy nemají dostatečné povědomí o kybernetické bezpečnosti, chybí jim edukace a nedodržují základy digitální hygieny.

Nesystematicky prováděná bezpečnostní testování.

Útoky na IT infrastrukturu prostřednictvím výrobního, dodavatelského a subdodavatelského řetězce. Z hlediska akvizičního procesu omezené možnosti zadání zakázky IT a bezpečnostních řešení prověřeným dodavatelům a subdodavatelům či nemožnost odmítnutí podezřelých dodavatelů a subdodavatelů.

Špatná prioritizace některých rezortů a institucí při plánování investic do bezpečnostních technologií a ostatních ICT.

Nedostatečná legislativní úprava kybernetické kriminality, respektive problém při odhalování pachatelů a následné dokazování spojené s nedostatečnými legislativními prostředky k zajištění, zadokumentování a důkaznímu využití elektronických důkazů.

Zdravotnická zařízení, chemický průmysl a jiná strategická odvětví nejsou zahrnuta do kritické infrastruktury a jejich vybrané IS a KS tak nemohou být zahrnuty do KII.

V mnoha případech bývají udržovány zastaralé systémy, přičemž náklady spojené s provozem a údržbou mnohdy převyšují investice do nových, lépe zabezpečených technologií.

Dochází k outsourcingu řešení kybernetické bezpečnosti, respektive zabezpečení a celkové údržby ICT, ve kterém převažuje model "locked in" bez "exit" plánu a souvisejícího náhradního plánu, s čímž souvisí i problém neznalosti správců a operátorů úrovně zabezpečení.

Roztříštěné systémy komunikačních prostředků ve státní správě nedovolující adekvátní efektivní "in-time" údržbu, zabezpečení a kontrolu.

Neexistence centrálních metodik pro používání prostředků výpočetní techniky, zejména mobilních zařízení, které v současné době představují stále se zvyšující riziko.

Absence povinnosti zabezpečené (komerčně šifrované) emailové a jiné elektronické komunikace mezi státními institucemi a pracovníky státní správy.

Současná právní úprava (zákon č. 234/2014 Sb., o státní službě) ztěžuje některým institucím přijímání kvalitních odborníků do IT.


III) Nepřátelské kampaně

Zhodnocení relevance hrozby pro ČR: Vysoká

Kybernetická nepřátelská kampaň představuje řadu různých, souvisejících kybernetických operací zaměřených na jeden konkrétní strategický cíl nebo výsledek. Jedná se o období, kdy dochází k sérii plánovaných a koordinovaných (kybernetických) útoků nebo dalších operací v kyberprostoru. Kampaně mohou provádět jednotlivci, nebo může jít o společné úsilí více aktérů (většinou státních či státem podporovaných či organizovaných). Definovat a ohraničit nepřátelskou kampaň v kyberprostoru je možno podle jejího účelu, tj. dosažení určitého předem stanoveného cíle v kyberprostoru, podle jejích vymezených zdrojů (technologie, aktéři, lokalita) nebo jejího průběhu v čase. V reálných podmínkách často dochází k "recyklaci" kampaní či jejich částí, protože vývoj stále nových nástrojů a postupů pro útoky a další působení v kyberprostoru je relativně velmi nákladný a časově náročný proces.

Kyberprostor a ICT hrají v rámci nepřátelských kampaní významnou roli. Již nyní můžeme pozorovat systematické působení cizí moci, respektive nepřátelských kampaní v kyberprostoru na území ČR. Prostředky a způsob boje proti nim nejsou v současné době dostatečně účinné. Tuto hrozbu lze kvůli reálným rizikům a potenciálním dopadům hodnotit jako vysokou.

Jednotlivá rizika a problémy:

Vlivové a dezinformační mediální kampaně na internetu mohou mít velký vliv na formování nálad obyvatelstva, což představuje vysoké riziko vyvolání společenského neklidu.

Vlivové a dezinformační mediální kampaně prováděné prostřednictvím internetu a organizované zájmovými skupinami, zločineckými strukturami, případně zpravodajskými službami jiných států. K šíření takových informací jsou v současné době využívány jak v ČR dlouhodobě působící zpravodajské servery, tak i servery nové.

Využíváno je hojně prostředí sociálních sítí kvůli aspektu jejich mezinárodnosti a odlišného přístupu ke svobodě slova. Z tohoto důvodu je možné je ještě ve vyšší míře využívat k šíření nenávistných či dezinformačních kampaní, jak vůči určitým skupinám obyvatel, tak i státním orgánům, anebo samotnému zahraničněpolitickému směřování ČR za účelem dosažení vojenských, politických nebo ekonomických cílů.

Mezi problematické faktory patří struktura vlastnictví jednotlivých českých internetových médií, jež mohou ve svých zprávách sledovat rozličné soukromé zájmy, případně zájmy jiných států.

Uvedených možností kyberprostoru využívá organizovaný zločin k podrývání důvěryhodnosti bezpečnostních složek.

Nedostatečně prověření zaměstnanci nebo odborně znalí zaměstnanci pracující (byť nevědomě) ve prospěch třetích stran, kteří mají přístup ke strategickým aktivům, mohou exfiltrací citlivých a jinak důležitých informací a dat vážně ohrožovat národní bezpečnost.

Současná právní úprava o svobodném přístupu k informacím (č. 106/1999 Sb.) může ohrozit kybernetickou bezpečnost ČR, respektive je zneužitelná v rámci nepřátelských kampaní. Konkrétně lze na jejím základě žádat o informace o subjektech KII či informace o komunikaci mezi NBÚ a příslušnými subjekty, ve které se řeší i aspekty mající dopad na bezpečnost předmětných systémů.

IV) Narušení nebo snížení bezpečnosti eGovernmentu

Zhodnocení relevance hrozby pro ČR: Střední

Myšlenkou eGovernmentu je správa věcí veřejných za využití moderních elektronických nástrojů, díky kterým bude veřejná správa občanům dostupnější, efektivnější, rychlejší a levnější. Stěžejním projektem českého eGovernmentu je síť kontaktních míst veřejné správy Czech POINT, která jsou dnes téměř v každé obci. Díky nim mohou občané na jednom místě získat řadu dokumentů a využít služby několika různých úřadů. Byl také spuštěn systém datových schránek - nástroj pro zaručenou elektronickou komunikaci se státem. V neposlední řadě vznikl i systém základních registrů, v nichž jsou uloženy aktuálně platné údaje, které už ve většině případů nemusí úředníci opakovaně žádat od občanů.

Využívání eGovernmentu nabývá na významu. Pro fungování takto složitých a náročných systémů je však nutné vytvořit robustní a především bezpečnou infrastrukturu. Pokračující digitalizace veřejné správy v ČR slouží k zlepšení fungování veřejné správy a jejího vztahu k veřejnosti. Avšak služby a aplikace poskytované občanům a soukromým podnikům prostřednictvím eGovernmentu s sebou nesou značná kybernetická bezpečnostní rizika. Jednotlivé systémy eGovernmentu pracují s obrovským objemem spravovaných a zpracovávaných důležitých dat. Bezpečnost eGovernmentu může být ohrožena nejen neadekvátním zacházením s informacemi a daty, ale také vnější hrozbou, tedy kybernetickými útoky. Rozsáhlejší narušení kybernetické bezpečnosti jednotlivých projektů eGovernmentu, respektive jejich dat a informací, by mohlo vést k nedůvěře občanů v celý koncept eGovernmentu a zastavení využívání jeho služeb veřejností. Selhání systémů eGovernmentu by tedy bylo kritické.

I přes atraktivnost tohoto cíle a možné závažné důsledky selhání některého ze systémů eGovernmentu či narušení jeho dat a informací, většina kybernetických útoků spjatá s tímto konceptem není závažného charakteru a v nejbližší době nelze s jistotou predikovat změnu. Hrozbu tedy lze zejména pro možné závažné důsledky selhání systémů eGovernmentu hodnotit jako střední.

Jednotlivá rizika a problémy:

Nedostatečné financování kybernetické bezpečnosti, nedostatečné finanční ohodnocení pracovníků a personální kapacity v oblasti kybernetické bezpečnosti a podceňování kybernetických hrozeb ve státní správě.

Nedostatečné zabezpečení IS a KS státní správy sloužících pro komunikaci občanů se státem. Jedná se zejména o systémy, které zajišťují výkon státní správy vůči občanům státu a EU.

Špatně nastavené politiky kybernetické bezpečnosti a nedostatečná edukace zaměstnanců ve státní správě ohledně kybernetické bezpečnosti.

Slabé povědomí a edukace obyvatelstva o kybernetické bezpečnosti a projektu eGovernmentu jako takovém.


V) Kyberterorismus

Zhodnocení relevance hrozby pro ČR: Střední

NBÚ / Národní centrum kybernetické bezpečnosti definuje kyberterorismus takto: "Kyberterorismus zahrnuje agresivní a excesivní jednání, které je prováděno se záměrem vyvolat strach ve společnosti, a jehož prostřednictvím je dosahováno politických, náboženských nebo ideologických cílů. Za využití kyberprostoru a informačních a komunikačních technologií ohrožuje chod státu, jeho ústavní zřízení nebo obranyschopnost mimo jiné cílením na kritickou informační infrastrukturu a významné informační systémy."

V užším pojetí lze za kyberterorismus považovat pouze takové teroristické aktivity v kyberprostoru, které způsobí rozsáhlé narušení počítačových sítí či zařízení se závažnými až fatálními dopady. Při těchto útocích může docházet ke ztrátám na životech či v případě kompromitace finančního systému k velmi závažným ekonomickým ztrátám s těžko předvídatelnými důsledky. Stát se však v kyberprostoru musí bránit i před dalšími teroristickými aktivitami jakými jsou např. podněcování k nenávisti či tvorba a šíření propagandy. Významnou roli zde hrají tzv. nová média.

Kyberterorismus již nelze považovat za hypotetický fenomén a lze predikovat, že v blízké budoucnosti ke kyberteroristickým útokům bude docházet. V současnosti však nemalou část kybernetických útoků a incidentů, často mediálně prezentovaných a popisovaných jako kyberterorismus, lze označit spíše za využívání kyberprostoru, respektive internetu, teroristy.

Teroristické organizace prozatím nejspíše nedisponují dostatečnými kapacitami a schopnostmi k uskutečnění kybernetických útoků se závažnými až fatálními dopady. Na druhou stranu není obtížné tyto kapacity nakoupit jako službu, což lze podložit zvýšenou aktivitou a zájmem o tuto formu terorismu především z pozice tzv. Islámského státu. Tato organizace v poslední době dokázala provést takové kybernetické útoky (avšak nikterak sofistikované), které ostatní teroristické organizace nedokázaly dlouhou dobu vůbec uskutečnit.

Co se týče ČR, hrozbu kyberterorismu lze hodnotit jako střední, nikoliv nízkou. ČR je stejně jako u terorismu plynoucího z islámského fundamentalismu a radikalismu v odlišném postavení, než země západní Evropy či Spojené státy americké. Na druhou stranu je v ČR využíváno prostředí tzv. darknetu k ilegálním činnostem mířeným na vrcholné představitele státu či zneužíváno odcizených obsahů e-mailové komunikace k dehonestaci některých představitelů a následnému pokusu o ovlivnění veřejného mínění. Rovněž byly zjištěny zčásti úspěšné pokusy o znepřístupnění webových stránek nebo služeb, případně sociálních profilů politických subjektů nebo sdělovacích prostředků. Takové situace se v budoucnu budou s největší pravděpodobností opakovat či dokonce stupňovat z hlediska závažnosti.

Jednotlivá rizika a problémy:

Možnost koordinovaného kybernetického útoku:

  • za účelem vydírání státních orgánů, obchodních korporací, či vystrašení společnosti;
  • na složky IZS a komunikační sítě operátorů;
  • za účelem zničení konkrétní technologie/systému (obvykle ve spojitosti s KII a ICS či SCADA systémy);
  • na distributory energií či služeb za účelem vyřazení služby (typicky energetický blackout) a další.

Kybernetické útoky se snahou získat citlivé informace zpravodajského charakteru za účelem jejich využití při kinetickém teroristickém útoku, např. jako informace pro výběr cílů nebo přípravu pro napadení subjektu nebo přímou podporu k jeho dezorientaci či likvidaci, která může být v přímé součinnosti s chystanými vojenskými nebo teroristickými kinetickými akcemi.

Teroristé hojně využívají kyberprostor a ICT k šíření propagandy, materiálů k podpoře radikalizace stoupenců a jejich náboru. Jako strategické informační platformy využívají především různé sociální sítě a komunikační platformy (včetně takových, které jsou zabezpečené šifrováním).

Teroristé skrze kyberprostor řídí samotné sympatizanty, a to zejména svoláváním proti možným cílům, plánováním operací, poskytováním zpětné vazby a poučením z provedených akcí či připisováním zásluh na provedených operacích.

Teroristé zveřejňují soukromé údaje (získané online vyhledáváním či odcizením) zájmových osob (pro teroristické a extremistické organizace) na internetu a podněcují proti nim nenávist tak, aby se mohly stát cílem útoku nejen pro tzv. vlky samotáře.

Nízká připravenost příslušníků bezpečnostních složek na specifické digitální prostředí a působení v něm. Existuje nedostatek ICT expertů v bezpečnostních složkách a v mnoha případech i jazyková bariéra.

Nízká připravenost a působení příslušníků bezpečnostních složek v prostředí tzv. darknetu (či deep webu, tedy skrytého internetu), které je ve stále větší míře využíváno organizovanými zločineckými strukturami a teroristy.

V nízké míře je doposud využíváno přebírání zkušeností, zejména v oblasti vzdělávání, od zahraničních partnerů, kteří mají s prostředím darknetu dlouhodobé praktické zkušenosti.

Nedostatečně prověření zaměstnanci, nebo odborně znalí zaměstnanci pracující ve prospěch třetích stran, kteří mají přístup ke strategickým aktivům, mohou exfiltrací citlivých a jinak důležitých informací a dat vážně ohrožovat kybernetickou bezpečnost ČR.

B. Odpovědné instituce v rámci bezpečnostního systému ČR a základní nástroje (legislativa, strategie, koncepce) pro eliminaci hrozeb a rizik

Základní dokumenty

Základním dokumentem pro zajišťování kybernetické bezpečnosti v ČR je BS 2015, na kterou navazuje Národní strategie kybernetické bezpečnosti na období let 2015 až 2020 (Strategie), jakožto stěžejní dokument upravující strategický rámec zajišťování kybernetické bezpečnosti v ČR. Ze Strategie vychází Akční plán kybernetické bezpečnosti ČR na období let 2015 až 2020 (Akční plán), který definuje konkrétní úkoly, stanovuje u nich zodpovědnost, termíny jejich plnění a kontrolu. NBÚ průběžně sleduje, diskutuje a hodnotí plnění Strategie a Akčního plánu ve spolupráci se všemi ostatními zainteresovanými subjekty. V rámci každoroční Zprávy o stavu kybernetické bezpečnosti v ČR, která informuje vládu ČR o stavu zajišťování kybernetické bezpečnosti, zpracovává hlášení vládě ČR o stavu naplňování Akčního plánu ve formě přílohy.

V oblasti kybernetické kriminality jsou postupně naplňovány nejen úkoly vyplývající ze Strategie a Akčního plánu, ale i opatření obsažená v Koncepci rozvoje schopností Policie ČR vyšetřovat informační kriminalitu s cílovým stavem v roce 2020.

Na základě Strategie a Akčního plánu jsou také nově vytvářeny i kapacity v oblasti kybernetické obrany v rámci VZ. V neposlední řadě s ohledem na problematiku eGovernmentu lze zmínit také Strategii rozvoje ICT služeb veřejné správy a její opatření na zefektivnění ITC služeb.

Legislativa

V oblasti kybernetické bezpečnosti ČR disponuje unikátním zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (ZKB), a jeho prováděcími právní předpisy - vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích a vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (tzv. vyhláška o kybernetické bezpečnosti). Dále bylo v tomto směru novelizováno nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury (novela zveřejněna ve Sbírce zákonů pod číslem 315/2014 Sb.).

Veškeré trestné činy, včetně těch páchaných v kybernetické oblasti, jsou upraveny zákonem č. 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů. U kybernetické kriminality je většina trestných činů proti důvěrnosti, integritě a dostupnosti počítačových dat a systémů upravena v hlavě V. o trestných činech proti majetku. Trestné činy páchané ve vztahu k datům (uloženým informacím) jsou pak zejména tyto:

  • Neoprávněný přístup k počítačovému systému a nosiči informací (§ 230).
  • Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat (§ 231).
  • Poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti (§ 232).
  • Odposlech dat je upraven v § 182 mezi trestnými činy proti právům na ochranu osobnosti, soukromí a listovního tajemství.

Co se týče kybernetické obrany, v současné době probíhá mezirezortní připomínkové řízení návrhu legislativních změn, které jsou nezbytné pro výkon kybernetické obrany ze strany VZ. Do doby schválení těchto legislativních změn tak VZ plní úkoly v souladu se stanovenou působností a prioritami stanovenými vládou spočívající pouze v zabezpečování relevantních informací důležitých pro obranu a bezpečnost státu.

Odpovědné instituce a orgány

Národní bezpečnostní úřad

V ČR je zodpovědným vládním tělesem za kybernetickou bezpečnost NBÚ. Od roku 2011 působí jako gestor kybernetické bezpečnosti a národní autorita v této oblasti (dle usnesení vlády ČR č. 781/2011). V roce 2014 byl také skrze ZKB pověřen výkonem státní správy v oblasti kybernetické bezpečnosti. Na základě přijatého usnesení vzniklo v jeho struktuře Národní centrum kybernetické bezpečnosti (NCKB) se sídlem v Brně. Úlohou NCKB je především koordinace spolupráce na národní i mezinárodní úrovni při předcházení kybernetickým útokům i při návrhu a přijímání opatření při řešení incidentů i proti probíhajícím útokům. V rámci NCKB je provozován vládní CERT (GovCERT.CZ), který hraje klíčovou roli při ochraně KII a VIS dle ZKB. Tento zákon zavedl i institut národního CERT, jehož provozovatelem je na základě veřejnoprávní smlouvy s NBÚ v současnosti CZ.NIC.


Ministerstvo vnitra

MV plní úkoly v oblasti vnitřní bezpečnosti a veřejného pořádku. Z hlediska kybernetické bezpečnosti má klíčovou roli především jako hlavní gestor elektronizace výkonu veřejné správy (eGovernmentu) a je zodpovědné za provoz celé řady důležitých informačních a komunikačních systémů, důležitých pro fungování státní správy (základní registry, datové schránky, systém Czech Point, CMS, atd.) i integrovaného záchranného systému (např. linka 112, systém PEGAS). Do budoucna budou všechny systémy postupně napojovány na dohledové centrum eGovernmentu (DCeGOV), které v současné době již monitoruje některé VIS a KII.


Policie ČR

Policie ČR jako největší bezpečnostní sbor je jedním ze základních pilířů vnitřní bezpečnosti ČR. V boji s hrozbami v kyberprostoru jí patří nezastupitelná role orgánu činného v trestním řízení, jehož úkolem je vyhledávat, odhalovat a vyšetřovat kybernetickou trestnou činnost. Zásadní pro splnění tohoto cíle je efektivní působení odborně připravených policistů v prostředí internetových sociálních sítí, ve skrytých částech internetu a při identifikaci původců hrozeb. Základními předpoklady k zajištění takové činnosti jsou odpovídající personální a materiální zdroje, cílený systém vzdělávání a služební přípravy, jakož i legislativní prostředí umožňující rychle a efektivně reagovat na kybernetickou trestnou činnost, včetně důkazního zajištění informací nacházejících se v kybernetickém prostoru. Zodpovědným pracovištěm Policie ČR v rámci vyšetřování kybernetické kriminality je Národní centrála proti organizovanému zločinu služby kriminální policie a vyšetřování (NCOZ SKPV), potažmo krajská ředitelství Policie ČR.


Ministerstvo obrany

Rezort MO odpovídá za zajištění kybernetické bezpečnosti rezortních komunikačních a informačních systémů a vojenských sítí.

MO je odpovědné za minimalizaci dopadů kybernetických hrozeb v případech, kdy tyto hrozby mohou ohrozit působení ozbrojených sil ČR:

- použití kybernetických útoků v rámci vojenských nebo hybridních operací;

- kybernetická špionáž zaměřená na získání informací vojenského charakteru;

- nepřátelské kampaně a působení cizí moci v kyberprostoru za účelem dosažení vojenských cílů.

MO také odpovídá za plnění závazků v oblasti Cyber Defence vyplývajících z členství v NATO a EU při plánování, výstavbě a rozvoji schopností ozbrojených sil ČR.


Ministerstvo zahraničních věcí

MZV se v součinnosti a spolupráci s NBÚ a některými dalšími rezorty podílí na realizaci či úspěšném naplňování konkrétních úkolů stanovených v Akčním Plánu k Strategii především ve vztahu k mezinárodním organizacím a vybraným státům. MZV zároveň pojímá kybernetickou problematiku jako téma zahraniční politiky ČR.


Zpravodajské služby ČR

Základním posláním BIS, ÚZSI a VZ je získávání informací a jejich vyhodnocování s cílem odhalit ohrožení zájmů a bezpečnosti státu a obyvatelstva ČR. Zpravodajské služby tak provádí dle své zákonné působnosti i sběr a analýzu informací o hrozbách a rizicích v kyberprostoru. Na zajišťování kybernetické bezpečnosti v ČR se podílí především poskytováním zpravodajských informací příslušným orgánům státní správy.

VZ jako součást MO je zároveň gestorem kybernetické obrany ČR a na základě schválené Strategie a Akčního plánu v současnosti vytváří Národní centrum kybernetických sil (NCKS), které bude v budoucnu provádět široké spektrum operací v kyberprostoru a další aktivity nutné pro zajištění kybernetické obrany ČR.

C. SWOT analýza

Silné stránky

  • Fungující, základní právně-legislativní rámec pro řešení kybernetické bezpečnosti.
  • Kapacity NCKB, respektive vládního CERT (GovCERT.CZ) na dobré úrovni.
  • Velmi dobrá mezinárodní spolupráce v oblasti kybernetické bezpečnosti, především mezi CERT/CSIRT pracovišti.
  • Velké množství CSIRT/CERT týmů v ČR a efektivní spolupráce v rámci komunity.
  • Budování NCKS pro zvládání a řešení závažných kybernetických útoků v rámci konceptu kybernetické obrany.
  • Aktuální a prosazovaný strategický rámec kybernetické bezpečnosti ČR.
  • Efektivní implementace a každoroční evaluace Strategie, respektive jejího Akčního plánu.
  • Efektivní model spolupráce v kybernetické bezpečnosti mezi bezpečnostními institucemi, zpravodajskými službami a dalšími vrcholovými národními aktéry.

Slabé stránky

  • Omezené finanční prostředky jednotlivých organizací vynaložitelné na prevenci a zvládání kybernetických hrozeb.
  • Nedostatek kvalifikovaných specialistů na problematiku ICT a kybernetické bezpečnosti a neschopnost tyto odborníky řádně finančně ohodnotit.
  • Špatně nastavené politiky kybernetické bezpečnosti, přehlížení a podceňování kybernetických hrozeb ve státní správě. Dlouhodobé podceňování edukace zaměstnanců v oblasti kybernetické bezpečnosti a nedostatečná IT gramotnost relevantních pracovníků státní správy.
  • Některá strategická odvětví nejsou a nemohou být dle současné právní úpravy zahrnuta do soustavy KII.
  • Právní úprava problematiky veřejných zakázek nereflektuje požadavky na kybernetickou bezpečnost a naopak může vytvářet či posilovat kybernetická bezpečnostní rizika.
  • Právní úprava zajišťující občanům ČR svobodný přístup k informacím nereflektuje požadavky na kybernetickou bezpečnost a naopak může vytvářet či posilovat kybernetická bezpečnostní rizika.
  • Nedostatky právní úpravy v problematice vyšetřování kybernetické kriminality.
  • Absence mechanismu systematického komplexního vyhodnocování událostí a aktivit, které by vedlo k rozpoznání potenciální hybridní kampaně.
  • Nízká připravenost bezpečnostních složek na fenomén kyberterorismu a dalších teroristických aktivit v kyberprostoru.
  • Nedostatečná úprava vztahů mezi správci KII či VIS na straně jedné a dodavateli či subdodavateli ICT služeb na straně druhé.
  • Nedostatečné působení pracovníků bezpečnostních složek v darknetu, jakož i nízká znalost tohoto prostředí.
  • Slabé bezpečnostní povědomí obyvatelstva ČR o službách eGovernmentu zneužitelné pachateli kybernetických útoků.
  • Rozdílné personální zajištění agendy kybernetické bezpečnosti v orgánech státní a veřejné správy, kdy zaměstnanci ICT vykonávají svou činnost v rámci tří různých pracovně-právních poměrů (dle zákona č. 234/2014 Sb. o státní službě, zákona č. 262/2006 Sb., zákoník práce a zákona č. 361/2003 Sb. o služebním poměru příslušníků bezpečnostních sborů).


Příležitosti

  • Motivovat odborníky na ICT a kybernetickou bezpečnost k práci ve státní správě vytvořením adekvátních, nejen finančních, podmínek.
  • Prohlubovat a rozvíjet dosavadní mezinárodní spolupráci v oblasti kybernetické bezpečnosti založenou na nadstandardní pověsti ČR a její expertizy v této oblasti.
  • Zapojovat se intenzivněji do mezinárodních projektů a aktivit v oblasti kybernetické bezpečnosti, kybernetické kriminality a kybernetické obrany.
  • Standardizovat vzdělávání zaměstnanců v oblasti kybernetické bezpečnosti a digitální hygieny státních orgánů na všech úrovních.
  • Vytvořit centrální školící pracoviště pro kvalitní technické školení expertů ICT a kybernetické bezpečnosti.
  • Možnost učit se ze zkušeností západních zemí s přípravami na příchod éry kyberterorismu, aniž bychom byli v tuto chvíli kyberterorismem bezprostředně ohroženi.
  • Řešit situaci bezpečnosti dodavatelského řetězce s ohledem na výrobce a dodavatele, kteří dodávají nezabezpečený hardware a software.
  • Novelizovat příslušné zákony vztahujících se ke kybernetické bezpečnosti, kybernetické kriminalitě a kybernetické obraně.
  • Vybudovat v ČR na nadresortní úrovni (při koordinaci Úřadu vlády ČR) mechanismus k vyhodnocování potenciální hybridní kampaně.
  • Stanovit orgány plnící roli národních partnerů "Hybrid Fusion Cell" Evropské služby vnější akce (EEAS), pro účinnou spolupráci nejen v oblasti kybernetické bezpečnosti.
  • Personálně i technologicky posílit NCKB a ve větší míře tak provádět audity kybernetické bezpečnosti, testování zabezpečení IS a KS (respektive odolnosti IT infrastruktury) u relevantních subjektů, a zároveň poskytovat metodickou i jinou podporu všem (i nekritickým) entitám v ČR.
  • Vytvořit platformu sdružující špičkové odborníky na ICT a kybernetickou bezpečnost z řad veřejného, akademického i soukromého sektoru na podporu odolnosti IT infrastruktury v ČR.
  • Posílit (personálně i finančně) bezpečnostní složky o další specialisty zabývající se přímo problematikou kybernetické bezpečnosti, kybernetické kriminality a kybernetické obrany a kontinuálně je školit s ohledem na specifika jevů souvisejících s těmito oblastmi.
  • Vytvořit zabezpečenou komunikační platformu mezi veřejnou a státní správou.

Hrozby

  • Exponenciální nárůst množství kybernetických útoků a jejich potenciálních cílů, včetně vektorů útoků a bezpečnostních zranitelností.
  • Působení cizí moci skrze kyberprostor na území ČR a kybernetické útoky jako jedna z metod hybridního válčení.
  • Snadnější dostupnost sofistikovaných nástrojů pro provádění kybernetické špionáže, profesionalizace útočníků a budování ofenzivních kapacit u státních a nestátních aktérů na poli kybernetické bezpečnosti.
  • Nedostatek kvalifikovaných pracovníků v oboru kybernetické bezpečnosti a ICT jako hrozba sui generis.
  • Outsourcing řešení kybernetické bezpečnosti, respektive zabezpečení a celkové údržby ICT, rozšiřuje okruh potenciálních nositelů hrozeb.
  • Nedostatečně prověření zaměstnanci, nebo odborně znalí pracovníci v ICT pracující ve prospěch třetích stran (insider hrozba) a nedostatečně prověření dodavatelé a subdodavatelé ICT produktů.
  • Nepřátelské kampaně sponzorované státními aktéry prostřednictvím vlivových a dezinformačních mediálních kampaní prováděných v kyberprostoru.
  • Zneužívání kyberprostoru zájmovými skupinami a teroristy pro účely získání vlastního prospěchu, nebo výhody, propagandy, podněcování nespokojenosti, či nenávisti ve společnosti a radikalizaci osob.
  • Zadní vrátka (implementovaná v software i hardware) pro exfiltraci informací a dat.
  • Hrozba závažného narušení bezpečnosti projektu eGovernment.


D. Doporučení k posílení odolnosti

1. Provést personální posílení bezpečnostních složek o další specialisty zabývající se přímo problematikou kybernetické bezpečnosti, kybernetické kriminality a kybernetické obrany.

2. Provést finanční posílení bezpečnostních složek jednak na podporu nových bezpečnostních projektů, technologického rozvoje a prohloubení či rozšíření stávajících schopností a kapacit, a jednak na podporu a vytváření osvětových akcí a dalších vzdělávacích projektů.

3. Provést některé novelizace platné právní úpravy v oblasti potírání kybernetické kriminality. Zejména je nutné se zaměřit na otázku anonymity uživatelů internetu a s tím spojené pátrání po pachatelích protiprávních skutků skrze možné doplnění dalších nástrojů do zákona o Policii ČR.

4. Zamezit nedostatku kvalifikovaných pracovníků v oboru kybernetické bezpečnosti skrze:

a. vypracování opatření ke zvýšení počtu odborníků na kybernetickou bezpečnost v ČR. Ty by měly být následovány zlepšením odměňování klíčových pracovníků a nastavením takových pracovních podmínek, aby byl stát schopen získat uchazeče o takovou odbornou práci a následně byl schopen si takové odborníky udržet.

b. novelizaci zákona č. 234/2014 Sb. o státní službě takovým způsobem, aby bylo zjednodušeno přijímání kvalitních odborníků na ICT a kybernetickou bezpečnost ve státní správě.

c. rozšíření výuky kybernetické bezpečnosti na středních a zejména vysokých školách.

5. Zahrnout důležité sektory jako chemický průmysl, zdravotnická zařízení a další strategická odvětví do soustavy KII skrze:

a. novelizaci krizového zákona a nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, jež by umožnilo zahrnutí důležitých sektorů mezi sektory KI, pomocí kterého je KII určována.

6. Dostatečně upravit vztahy mezi správci KII a VIS na straně jedné a dodavateli a subdodavateli ICT služeb na straně druhé.

a. K řešení tohoto problému již navrhl NBÚ, v rámci mezirezortního připomínkového řízení k návrhu zákona, kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů, a některé další zákony, předkládaný nyní MV (MV-165721/LG-2015) k dalšímu legislativnímu procesu do Legislativní rady vlády, změnu v této oblasti a současně navrhl změnu zákona č. 181/2014 Sb.

7. Ošetřit problematiku zákona o svobodném přístupu k informacím (č. 106/1999 Sb.) ve vztahu ke kybernetické bezpečnosti, buďto:

a. novelizací rozsahu zákona č. 106/1999 Sb., nebo

b. rozšířením povinnosti zachovávat mlčenlivost upravenou v ZKB i o vybrané aspekty bezpečnostních opatření, a stanovit tuto povinnost i správcům a provozovatelům informačních systémů a sítí ve věcné působnosti tohoto zákona (nyní se mlčenlivost týká jen evidence incidentů vedené vládním CERT). Tím by bylo dosaženo efektu vynětí bezpečnostně exponovaných informací z rozsahu zákona č. 106/1999 Sb. bez toho, aby bylo třeba zasahovat do jeho struktury.

8. Snížit kybernetická bezpečnostní rizika spojená se zákonem o veřejných zakázkách (zákon č. 134/2016 Sb.), respektive zamezit zpřístupnění zadávací dokumentace třetím osobám a umožnit v některých specifických případech vyloučit uchazeče z důvodu existence bezpečnostních rizik na jeho straně.

a. Zadávací řízení na dodávky ICT nelze z působnosti zákona vyjmout a priori. Je však nutné legislativně upravit situace, kdy by měla být kybernetická bezpečnost jednotlivých KII a VIS nadřazena co nejotevřenější hospodářské soutěži tak, aby měli správci KII a VIS možnost řídit rizika tak, jak jim přikazuje ZKB. Je také vhodné najít shodu s Ministerstvem pro místní rozvoj a Úřadem pro ochranu hospodářské soutěže, jakým způsobem zajistit požadavky vyplývající ze ZKB při co nejotevřenější hospodářské soutěži.