Článek
Článek si také můžete poslechnout v audioverzi.
Instituce a firmy se čím dál častěji potýkají s hackerskými útoky. Zlepšit zabezpečení po celé Evropě mají kybernetické směrnice nazvané NIS2 a DORA, jejichž finální znění by čeští poslanci měli na podzim projednávat. Nová pravidla by měla od ledna dopadnout na tisíce subjektů včetně vysokých škol. Ty se budou muset samy hlásit Národnímu úřadu pro informační a kybernetickou bezpečnost a identifikovat, jestli spadají pod zákonem stanovenou infrastrukturu, která má svůj virtuální prostor lépe zabezpečit.
Nově by měl kybernetický úřad dohlížet na všechny české univerzity. Vysoké školy se můžou s novým zákonem o kybernetické bezpečnosti potkat na dvou místech. Zaprvé v oblasti „výkon veřejné správy“, tedy u přijímání studentů nebo vydávání diplomů – tam budou spadat všechny vysoké školy a všechny budou v nižším režimu. A zadruhé, některé vysoké školy se mohou setkat se službou „výzkum a vývoj“.
Výzkumy o AI ve vyšším režimu zabezpečení
„Co se týče změn, které se jich budou týkat – to záleží, jak na tom vysoká škola už v daný moment je. Pokud se kyberbezpečností zabývá, nebo pokud již je regulovaná stávajícím zákonem o kybernetické bezpečnosti, pak ji příliš změn nečeká, pouze se může zvětšit rozsah infrastruktury a služeb, které bude zabezpečovat. Pokud ale kyberbezpečnost neřešila, bude muset zavést technická a organizační bezpečnostní opatření,“ vysvětluje Alžběta Dvořáková, mluvčí NÚKIB.
Školy budou muset reagovat také na varování, která kyberúřad vydává. V minulosti se týkala třeba firem Huawei a ZTE, loni NÚKIB varoval před čínskou sociální sítí TikTok.
Co přinese kyberzákon
Počet institucí a firem, které budou muset s NÚKIB spolupracovat, vzroste ze současných čtyř set asi na šest tisíc.
Firmy/instituce budou mít např. povinnost:
- Vědět, jaké jsou jejich slabiny a rizika, to znamená zavést systém hodnocení a řízení rizik.
Univerzity se budou v kyberzákoně pohybovat na dvou úrovních - vyšší a nižší. Do nižší budou patřit povinně všechny školy, do vyšší jen některé. Povinnosti jsou pro oba režimy obecně stejné. Významně se však liší míra náročnosti plnění těchto povinností.
„Například vyšší režim hlásí více incidentů, zatímco nižší jen ty významné,“ přibližuje Dvořáková. Nižší režim přirovnává mluvčí ke standardu, jaký očekáváte i od hotelu, v němž se ubytujete na dovolené. Předpokládá se, že ve vyšším režimu budou vysoké školy, které dělají „citlivou výzkumnou činnost“, například ty bezpečnostního charakteru, a také výzkumy v oblasti umělé inteligence (AI), nanotechnologií či kvant.
Seznam Zprávy oslovily velké české univerzity s dotazy na míru zabezpečení svých informačních systémů a připravenosti na nový zákon. Většina škol hlásí, že své systémy chrání bez ohledu na evropskou směrnici. V posledních měsících se zároveň všechny setkaly s velkým množstvím kybernetických útoků.
Expert: Univerzitní systém je křehký
Univerzity mohou být podle expertů „tikající bombou“, protože jejich data nebývají na rozdíl od soukromých firem tak dobře chráněná. Nepracují s nimi totiž jen zaměstnanci, ale také studenti a další spolupracovníci. Velkým problémem je podle Scotta Woodgata, bezpečnostního experta Microsoftu, mimo jiné nízký důraz na zabezpečení technologií studentů.
„Ne všechny univerzity mají své bezpečnostní týmy, natož aby jejich IT specialisté používali ty nejlepší nástroje v oblasti kyberbezpečnosti. Školy navíc nechávají studenty, aby si s sebou nosili své vlastní počítače, což může být potenciální bezpečnostní hrozba,“ zmiňuje expert.
Školy podle Woodgata bezpečnost svých dat často podceňují. „Myslí si, že práce jejich doktorandů nebudou nikoho zajímat. Ze zkušeností ale víme, že i ty nejmenší univerzity světa se denně potýkají s kybernetickými útoky,“ doplňuje Woodgate.
Univerzity se dušují, že bezpečnost nezanedbávají. Na školeních, která podle svých odpovědí provádí minimálně jedou ročně, se zaměřují především na takzvané sociální inženýrství, tedy snahu podvodem vylákat od důvěřivých uživatelů jejich osobní informace, jako jsou hesla nebo bankovní údaje.
„S kyberincidenty se bezpečnostní tým potýká na denní bázi. Jen od začátku roku bylo těch méně závažných incidentů, které jsme schopni odbavit pomocí automatizovaných nástrojů, přes 220 tisíc. Statistikám závažnějších incidentů, kterých jsme letos zaznamenali už přes 2300, pak vévodí zejména phishing, malwarové kampaně či kompromitované účty,“ uvádí Jan Mysliveček, ředitel Ústavu výpočetní techniky Masarykovy univerzity.
Otazníky kolem směrnice
Michal Janovský, mluvčí Vysoké školy chemicko-technologické v Praze, zase informuje o DDoS útoku na externí VPN, se kterou se jeho škola potkala v dubnu. „Pro představu to bylo ve špičce 10 tisíc pokusů o připojení za sekundu,“ přibližuje mluvčí.
Co jsou DDoS útoky, malware a ransomware?
Označení DDoS je zkratkou anglického spojení „Distributed Denial of Service“, které označuje útok, jehož cílem je odepřít nebo znepřístupnit nějakou službu legitimním uživatelům.
Zmíněný citlivý výzkum provádí například České vysoké učení technické v Praze (ČVUT). Dejvická univerzita se mimo jiné jako první instituce v České republice připojila ke kvantové počítačové síti, která umožňuje zpracovat neuvěřitelné množství dat v krátkém čase.
„Vzhledem k tomu, že ČVUT provozuje rozsáhlou výzkumnou infrastrukturu, budeme pravděpodobně spadat do vyššího stupně regulace. Pro ČVUT však změna zákona nebude zásadním zásahem do řízení kyberbezpečnosti, jako veřejná vysoká škola i dnes naplňujeme literu zákona, respektive definici Orgánu veřejné moci,“ informuje Kateřina Veselá, mluvčí ČVUT.
Univerzity, stejně jako ostatní subjekty, kterých se bude kyberzákon týkat, tak nyní netrpělivě čekají na finální podobu zákona. Ta nabrala velké zpoždění, první návrh Legislativní rada vlády „rozcupovala“ i proto, že dává úředníkům až příliš pravomocí. Zákon počítá také se sankcemi pro ty, kteří se novými pravidly nebudou řídit. Spodní hranice není omezena, horní hranice je 10 milionů eur, tedy přes 230 milionů korun.
Podle expertů na kyberbezpečnost by instituce a firmy měly být připravené již nyní a splňovat patřičné normy. I to ale samo o sobě nemusí být dostatečné. Podle IT expertů hrozí, že regulace nebude mít v době sílících útoků patřičný efekt.
Příliš byrokracie?
„Směrnice NIS2 ukládá institucím a firmám zavést opatření pro zvýšení bezpečnosti IT provozu – tedy schopnost reagovat na černé scénáře, hackerské útoky a v neposlední řadě připravit na nové normy své zaměstnance. Obávám se však, že stejně jako u GDPR firmy splní základní formální požadavky, ale realizace zůstane z velké části ‚na papíře‘,“ říká Václav Svátek, generální ředitel ČMIS.
Navzdory cílům směrnice je nový zákon o kybernetické bezpečnosti často kritizován jako přespříliš byrokratický, zaměřený více na prokazování souladu s pravidly, než na skutečné zlepšení bezpečnosti. Nejčastěji zaznívají slova o GDPR v oblasti kyberbezpečnosti.
„Z naší zkušenosti se společnosti často potýkají s nejasnostmi ohledně toho, zda na ně zákon vůbec dopadá, což bývá problém určit i pro některé právníky. Navíc často samotné úřady odmítají poskytovat výklad, víme o firmách s cloudovými produkty, které se ptají NÚKIB, jaký na ně dopadá režim, a NÚKIB jim to odmítá sdělit, že si to musí vyhodnotit samy,“ uzavírá Jaroslav Menčík, partner advokátní kanceláře Mavericks.
