Stát má rezervy v kybernetické bezpečnosti. Spolupráce Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a Ministerstva vnitra (MV) sice funguje, do budoucna na ni nelze však spoléhat a podceňování může mít vážné dopady. Stát nemá navíc ani přehled o tom, kolik peněz resorty na kybernetickou bezpečnost vynakládají.
Odhalila to kontrola Nejvyšší kontrolní úřad (NKÚ). Ten se zaměřil na zajištění kybernetické bezpečnosti v letech 2015 až 2019.
„Kontrola ukázala, že se podařilo splnit většinu z prověřovaných úkolů Akčního plánu k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020,“ uvedl NKÚ.
Kontroloři ale mají výhrady k formě spolupráce institucí.
„Spolupráce Národního úřadu pro kybernetickou a informační bezpečnost a ministerstva vnitra sice funguje a v nedávné době významně pomohla při řešení útoků na zdravotnická zařízení, je ale nastavena jen na neformální úrovni a probíhá ad hoc,“ odhalila kontrola.
Vládní CERT (Computer Emergency Response Team), který je součástí NÚKIB, zaznamenal od roku 2017 do poloviny roku 2020 celkem 916 hlášení kybernetických incidentů. Jen na první polovinu letošního roku připadalo 31 % z nich.
Tato situace podle NKÚ ukazuje, že kybernetická bezpečnost v ČR bude vyžadovat odpovídající finance. Stát ale nemá přehled o tom, kolik peněz se na ni skutečně vynakládá. K dispozici jsou totiž pouze odhady od jednotlivých resortů.
Informace o výdajích na kybernetickou bezpečnost v ČR získává NÚKIB prostřednictvím dotazníků. Aby získal údaje, které potřebuje, musel v letech 2018 a 2019 provést celkem čtyři taková šetření.
Z nich vyplynulo, že za roky 2015 až 2019 vydaly resorty na kybernetickou bezpečnost celkem 2,8 miliardy korun. Přesto jim ale chybí další stovky milionů.
Vnitro, jehož výdaje na kybernetickou bezpečnost dosáhly v daných letech přibližně 750 milionů korun, podle NKÚ odhadlo, že by k letošnímu roku potřebovalo dalších 309 milionů. Resort přitom spravuje 35 % kritické informační infrastruktury organizačních složek státu.
Zároveň ale MV ČR nevyužilo možnosti čerpat peníze z fondů Evropské unie. NÚKIB z nich čerpal celkem 112 milionů korun na dva projekty.
Největší zájem o prostředky z fondů EU měla zdravotnická zařízení. Ta získala podporu na projekty za zhruba 903 milionů korun.
Kontroloři také upozornili, že dosud například nevznikl podrobný model nebo schéma, jak by měla fungovat spolupráce v oblasti kybernetické bezpečnosti. V praxi spolupráce mezi vnitrem, NÚKIB a dalšími státními orgány stojí především na osobních vazbách a probíhá ad hoc podle toho, jak je potřeba.
Také se nepodařilo dokončit automatizovanou platformu, díky které by se mohly sdílet vybraným ohroženým subjektům informace o kybernetických bezpečnostních hrozbách a incidentech zjištěných u kritické informační infrastruktury a u významných informačních systémů.
Kromě toho se NÚKIB a MV se zároveň potýkají s nedostatkem odborníků. Získat a udržet si je představuje dlouhodobý problém.
Do budoucna tak hrozí, že pokud se objeví několik incidentů současně, MV a NÚKIB nebudou mít dost kapacit, aby mohly pomoci i subjektům, které nespadají pod zákon o kybernetické bezpečnosti. (pel)
