Report o kyberbezpečnosti v Česku. Dle NKÚ stát neví, kolik financí na ni vynakládá

3. 11. 2020

Sdílet

 Autor: Gordon Johnson / Pixabay | koláž: Petr Urban / Cnews

Podle Nejvyššího kontrolního úřadu (NKÚ) má český stát určitá slabá místa v otázkách kybernetické bezpečnosti, jejichž podcenění by mohlo mít vážné dopady. Došel k tomu kontrolní tým, jenž vyhodnotil období 2015–2020. Cílem bylo zjistit, jak se Česku daří naplňovat Národní strategií kybernetické bezpečnosti České republiky 2015–2020 a Akční plán ke strategii 2015–2020. Zkontrolovány byly Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a Ministerstvo vnitra (MV).

Dobrá zpráva zní, že součinnost těchto subjektů se zlepšuje. NKÚ odhalil nedostatky u osmi z 57 prověřovaných úkolů, na nichž měly MV a NÚKIB spolupracovat. Problematické je neformální nastavení vazeb mezi subjekty. I když nedávno spolupráce na fungovala při kyberútocích na nemocnice, v budoucnu se může zadrhnout. Hrozilo by to např. při odchodu lidí, kteří spolu sami udržují kontakt. Je potřeba vytvořit model komunikace.

Stát dle NKÚ nemá přehled o tom, kolik peněz na kyberbezpečnost vynakládá. K dispozici má pouze odhady od dílčích resortů. Finance přitom potřeba budou. Za posledních 3,5 roku NÚKIB zaznamenal 916 hlášení o kybernetických incidentech, přičemž 31 % z nich připadlo na první půlku toho roku. V letech 2015–2019 resorty na kyberbezpečnost vynaložily zhruba 2,8 mld. korun, stovky milionů ale chybí. Jen MV v uvedeném období vynaložilo asi 750 milionů, potřebovalo by ale dalších více než 300 milionů korun. Přitom MV spravuje 35 % kritické informační infrastruktury státu.

Vývoj počtu kybernetických incidentů hlášených vládnímu CERT (zdroj: NKÚ) Vývoj počtu kybernetických incidentů hlášených vládnímu CERT (zdroj: NKÚ)

Dokončena nebyla automatizovaná platforma pro sdílení informací s ohroženými subjekty při hrozbách a incidentech. Přetrvává pak nedostatek odborníků a odbornic jak v NÚKIBu, jak na MV. Nedostatek kapacit se projeví, pakliže dojde k více útokům současně. NÚKIB a MV by tehdy nemohly podpořit subjekty nespadajícím pod zákon o kybernetické bezpečnosti. Jedná se o řadu zdravotnických zařízení, jejichž případné ochromení dopadá na celé zdravotnictví. Proto NKÚ doporučuje přehodnotit kritéria řazení subjektů pod uvedený zákon. NÚKIB tvrdí, že na napravení některých nedostatků se již pracuje.

bitcoin_skoleni

https://twitter.com/NUKIB_CZ/status/1323175449015525377

Zdroj: Kontrolní závěr z kontrolní akce 19/26: Budování kybernetické bezpečnosti České republiky via tisková zpráva NKÚ | NÚKIB na Twitteru