facebook LinkedIN LinkedIN - follow
IT SYSTEMS 3/2024 , IT Security , Veřejný sektor a zdravotnictví

Dopady NIS2 na obce a veřejnou správu ukazují nutnost centralizace kybernetické bezpečnosti

Ondřej Šťáhlavský


Směrnice NIS2, potažmo nový ky­ber­ne­tic­ký zákon, nedopadne jen na soukromé subjekty, ale také na sa­mo­sprá­vy a veřejnou správu. A prá­vě u samospráv, zejména u obcí s rozšířenou působ­nos­tí, naráží směr­ni­ce na dramatický odpor. Tento odpor není proto, že by se obce snad nechtěly více chránit, ale jednoduše proto, že je to pro ně další ekonomická zátěž. Jde často o malé subjekty s malými rozpočty, IT infrastrukturu mají řešenou základním způsobem a na další rozvoj nemají dostatek financí nebo nechtějí plýtvat prostředky, které by mohly využít jinde.


Tuto zátěž ještě umocňuje fakt, že v oblasti kyberbezpečnosti dlouhodobě není dostatek expertů. A to nejen v Česku. Podle odhadů Evropské Unie chybí v Evropě až půl milionu odborníků na kyberbezpečnost. Důvodů, proč tomu tak je, můžeme určitě najít mnoho, mimo jiné nepřipravenost našeho školského systému. Jedním z řešení by mohlo být zvýšení důrazu na vzdělávání a zvyšování odbornosti v oblasti kybernetické bezpečnosti ve školách, aby se vytvořila různorodá a kvalifikovaná pracovní síla, která by do budoucna mohla uspokojit poptávku po specializovaných pozicích.

Pro organizace, které stát zřizuje, by měl vytvořit silné národní centrum, které bude kybernetickou bezpečnost pomocí služeb nabízet.

O čem už bezmála patnáct let mluvím je, že bezpečnost se bude přesouvat do centralizované formy služeb. Jednou z věcí, které by stát mohl pro zlepšení situace s nedostatkem expertů udělat, je snažit se své systémy více centralizovat. Pro organizace, které stát zřizuje, by měl vytvořit opravdu silné národní centrum, které bude kybernetickou bezpečnost pomocí služeb nabízet a řešit pro jednotlivé menší celky, jako jsou ministerstva či obce. Inspirovat se můžeme například u slovenské Národní agentury pro síťové a elektronické služby (NASES), která se právě o takovouto centralizaci snaží. I u soukromých subjektů je trend dneška v informačních technologiích i kybernetické bezpečnosti konsolidace systémů.

Určitá míra centralizace bude pravděpodobně nutná i v české státní správě a u samospráv. Nemyslím tím nutně vytvoření jediného bodu, odkud se bude vše zajišťovat, ale co se týče například security operation centra nebo network operation centra, ta klidně mohou být po jedné nebo několika málo jednotkách. Pak je samozřejmě potřeba zajistit také infrastrukturu. U té dává smysl centralizace na menších bodech, jako jsou kraje nebo ideálně i ještě menší, jako bývaly okresy. V rámci IT by bylo vhodné, kdyby se obce začaly spojovat do větších center v přirozených a logických celcích o velikosti třeba výše zmíněných okresů. To by mohlo vést k velké úspoře hodin, které je třeba správě IT věnovat a do jisté míry vyřešit problém chybějící kvalifikované pracovní síly. Napříč státní správou je obrovské množství duplicitních úkonů a není třeba, aby je ve stejný moment dělalo 2 000 IT specialistů, kterých se na trhu práce nedostává, když by stejný úkol mohla zastat pouhá desetina.

Napříč státní správou je obrovské množství duplicitních úkonů. Určitá míra centralizace správy IT by mohla vést k velké úspoře.

Stát by se zřízením těchto logicky velikých center měl začít zabývat co nejdříve. Protože s nástupem umělé inteligence, a s tím spojeným prudkým rozvojem schopností útočníků, budou současné malé celky v podstatě neschopné se efektivně bránit. Protože malé subjekty nikdy nebudou schopny postavit, ať už kvůli ceně, schopnostem či nedostatku personálu, dostatečně resilientní infrastrukturu, která dokáže vzdorovat silnějšímu útoku, než je obyčejný ransomware šířený po e-mailu. V boji proti kyberzločinu my jako bránící se strany už dnes taháme za kratší konec. Náš rozpočet je omezený tržní logikou, schopnost vyvíjet něco nového se opírá o schopnost vydělat na to prodejem, zatímco útočníci čerpají mnohem větší prostředky určené k budování svých aktivit. A ten nepoměr neustále narůstá vzhledem k prakticky nekonečným zdrojům státní správy zemí jako je Rusko, Čína a další. Eskalující kybernetický konflikt enormně navyšuje schopnosti útočící strany.

Na státní správu míří celých 19 % kybernetických útoků a 8 % na zdravotnictví.

Dalším omezujícím faktorem pro obranu před kybernetickými útoky ve státní správě a na samosprávných obcích je transparentnost. Útočník si přes registr smluv může dohledat systémy, které veřejná správa a samosprávy využívají, a své útoky pak těmto systémům přizpůsobit. Podle agentury EU pro kybernetickou bezpečnost míří celých 19 % kybernetických útoků na státní správu a 8 % na zdravotnictví. To je dnes vystaveno podobným problémům v nejednotnosti kybernetické bezpečnosti a IT systémů. Útočníci se pochopitelně snaží útočit tam, kde narazí na nejmenší odpor a zároveň mohou získat nejvíce ať už peněz či publicity. Setkáváme se také s útoky z nám nepřátelských zemí, které nemusí mít za úkol nutně zisk či publicitu, ale třeba trest za uskutečněné kroky nebo třeba ochromení státní správy a poškození země jako takové.

Ačkoli kyberútoky jsou nepředvídatelné, jedno je jisté – bez adekvátních opatření budou obce i státní správa ponechány bez možnosti obrany proti stále sílícímu nepříteli. To může vést jak ke znásobení finančních ztrát, tak v horším případě i k ochromení veřejné správy. Tím se vracím k tomu, že směrnice NIS2 je potřebná a žádoucí i v případě státní správy a samosprávy, její zavedení si ale žádá koncepčnější řešení než pouhé zakotvení v zákoně. Stát by se proto skutečně měl zaměřit na to, aby co nejdříve začal budovat centralizovanou odolnou síť, která bude zajišťovat lepší obranu proti všem útokům. V tomto případě se dlouhé vyčkávání a přešlapování na místě nevyplatí a je potřeba s tím něco dělat hned teď.

Ondřej Šťáhlavský Ondřej Šťáhlavský
Autor je regionální ředitel společnosti Fortinet pro střední a východní Evropu.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.