CHCI VĚDĚT VÍCE

CHCI PODPOŘIT

Chci darovat na kampaň

Důsledná obrana v kyberprostoru

Bojištěm 21. století je internet. Připravme se, že na něm budeme svádět bitvy! Opevněme nemocnice proti kyberútokům, braňme svá osobní data.

Takhle to dál nejde

Stát v ochraně kyberprostoru zaspal. Opakované úspěšné útoky proti českým nemocnicím se stamilionovými škodami a dalším významným cílům[1, 2, 3, 4] jasně ukazují důležitost kybernetické bezpečnosti. Není možné, aby pro občana byla nedostupná nemocnice, protože ji napadl hacker.

V čem je problém

Bezpečnost byla velmi dlouho stereotypně obdobná. Vše se odehrávalo ve fyzickém světě, útoky probíhaly hmatatelně a na jasně vymezeném území. 21. století však přineslo zcela nové výzvy.

Útočníci nejsou jasně vymezeni, často bývají i obtížně identifikovatelní. S malými prostředky či dokonce náhodou může útočník způsobit ohromné škody, které mohou stát životy lidí například proto, že se jim nedostane lékařské péče.

Život bez kritické infrastruktury (elektřina, vodovody, bankovní služby...) si dnes dlouhodobě vůbec neumíme představit. Nastal by totální chaos. A proto musíme umět zajistit bezpečnost kritické infrastruktury i před kybernetickými hrozbami.

Každý den probíhají po celém světě tisíce kybernetických útoků. Většina je odražena nebo nemá žádný reálný dopad. Některé však mohou zasáhnout důležité instituce, způsobit stamilionové škody i přímo ohrozit životy lidí. 

Svět kybernetických hrozeb je velmi dynamický. Musíme umět držet krok s dalšími a dalšími typy útoků, které se objevují každý den.

Kvalitní zabezpečení kybernetické bezpečnosti je základním předpokladem pro skutečně funkční eGovernment. Ten ušetří státu, firmám i občanům peníze, čas i energii. 

Naše vize

Kritická infrastruktura bude stát na bezpečných, otevřených, auditovatelných technologiích, přístupných kontrole odborné veřejnosti pro hledání bezpečnostních děr. Citlivé informace občanů i státu budou v bezpečí. Na klíčových pozicích bude kvalifikovaný a motivovaný personál.

Jak to chceme udělat?

  • Ve spolupráci s NÚKIB definujeme standardy bezpečnosti IT řešení pro veřejnou správu. Zasadíme se o bezpečný přenos dat mezi úřady. Zajistíme důvěrnost, integritu a dostupnost dat ve státní správě.
  • Usnadníme sdílení IT řešení mezi úřady.
  • Usnadníme zaměstnávání a férové odměňování IT odborníků ve veřejné správě. Prosadíme jejich efektivní sdílení mezi více institucemi. 
  • Zasadíme se o spolupráci s EU, NATO a dalšími mezinárodními partnery tak, aby internet zůstal otevřený a bezpečný. Budeme čelit snahám nedemokratických států o jeho cenzuru, rozparcelování, vytěžování citlivých osobních údajů a narušování lidských práv.
  • Budeme aktivně hledat zranitelnosti IT a prosadíme skutečné řešení slabých míst odhalených bezpečnostními audity, čímž mimo jiné posílíme kybernetickou bezpečnost služeb eGovernmentu. Finančně podpoříme hledání bezpečnostních chyb – zapojíme do jejich hledání ve větší míře NÚKIB. Zavedeme programy „bug bounty“, tedy vyplácení odměn za vyhledání a nahlášení chyb v softwarech státu.
  • U nově pořizovaných technologií budeme ve výběrových řízeních preferovat otevřený software, hardware a standardy.[5] Výběrová řízení rozdělíme na menší logické části, a tím je zpřístupníme i pro menší firmy.
  • Využijeme současné dotační tituly k reálné podpoře vývoje a výroby otevřeného hardwaru na území ČR a EU tak, aby z výsledků profitovali všichni.
  • Zajistíme uložení osobních dat obyvatel v bezpečných datových centrech na území ČR. Podpoříme rozvoj státního cloudu, nedopustíme uložení citlivých dat v zahraničí.

Pro koho to chceme hlavně

Pro nás pro všechny

Citlivá osobní data zůstanou v bezpečí. Kritická infrastruktura státu bude chráněna proti kyberútokům.

Pro veřejné finance

Škody za útoky na české nemocnice byly řádově za desítky až stovky milionů korun.[1, 2] Zamezení útokům může ušetřit miliardy korun.

Pro IT firmy

Nechceme, aby státní IT zakázky získávaly jen velké firmy. Otevřeme tento trh středním a malým firmám a rozhodující bude kvalita.

Pro zdravotníky, pacienti a nemocnice

Předejdeme vyřazení nemocnic z provozu kvůli kyberútokům. Zdravotnický personál se bude moci v klidu věnovat pouze pacientům.

Pro úřady a kritickou infrastrukturu

Zlepšíme zabezpečení chodu kritické infrastruktury státu a zvýšíme bezpečnost osobních dat, které stát zpracovává.

Co pro to už děláme

  • Připravili jsme Akční plán kyberbezpečnosti.[8]
  • Pečlivě sledujeme a komentujeme legislativu okolo cloudu – např. vyhlášku Národního úřadu pro kybernetickou a informační bezpečnost a změny v dalších digitalizačních zákonech.[7]
  • Podporujeme navrhování technologií od základu bezpečně (security by design), ozýváme se proti bezpečnosti skrze neznalost (security through obscurity).[5]
  • Hájíme výdaje na opravdové odborníky, protože na lidech to stojí (například financování[6] NÚKIB).

Na co se nás často ptáte

Kolik to bude stát?

Navrhujeme většinu centrálních agend kyberbezpečnosti zajistit prostřednictvím Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Plán počítá se zdvojnásobením prostředků NÚKIB – tj. navýšení rozpočtu o 400 milionů ročně.

Nebude otevřený software a hardware moc drahý?

Nelze přejít najednou ve všem na otevřená řešení. Postupným upřednostňováním a vývojem otevřených řešení však ušetříme v dlouhodobém horizontu miliardy, protože otevřená řešení budou nejen bezpečná, ale i znovupoužitelná – nebude třeba za ně platit znovu a půjde je sdílet neomezeně s minimálními náklady.

Internet mě nezajímá. Proč máme dávat peníze do něčeho virtuálního, když existují skutečné věci  jako dálnice, zdravotnictví, školství, které jsou podfinancované?

Internet není jen něco virtuálního, bezpečnost internetu ovlivňuje skutečné, velmi důležité instituce, jak ukázal nedávný útok na benešovskou nemocnici.[2] Každý moderní konflikt bude mít výrazný přesah do kyberprostoru, protože jedním bleskovým útokem lze vyřadit z fungování prakticky veškerou kritickou infrastrukturu státu. 

Proč musejí být technologie otevřené? Nestačí, když budou pocházet od dodavatelů a ze zemí, kterým důvěřujeme?

U použití proprietárních (tedy neotevřených) řešení si nikdy nemůžeme být jisti, zda jsou skutečně bezpečná. Mnohá z nich mohou mít zabudovaná zadní vrátka (tzv. backdoor), kterými mohou posílat pryč citlivé informace nebo přímo umožňovat ovládnutí zařízení zvenčí. Tato zařízení také mohou obsahovat neúmyslné bezpečnostní díry, jejichž nalezení je však kvůli tajným plánům a kódům obtížné.

Otevřené technologie tak mohou výrazně zvýšit bezpečnost, která je zajištěna kryptografií. Díky těmto výhodám lze očekávat, že bude v budoucnu význam otevřených technologií stoupat, a to nejen ve státním IT.

Nebudou řešení od malých firem z principu nebezpečná? Vždyť postihnout všechny kybernetické hrozby je nesmírně obtížné, to zvládnou jen velké firmy s řadou zkušeností.

Obdobně jako fyzická bezpečnost je i ta kybernetická komplexním oborem mnoha disciplín. Proto nelze spoléhat na řešení „vše v jednom“ od velkých firem. Armádu si taky nekupujeme na klíč, ale pečlivě skládáme z různých částí a průběžně cvičíme. Díky tomu obraně skutečně rozumíme a víme, jak funguje. V obraně proti kybernetickým hrozbám je to stejné. Díky otevřeným technologiím navíc můžeme velmi rychle hledat a opravovat zranitelnosti.

Související body:

Skutečně digitální stát

Fronty na úřadech nemůžeme vystát. Na co máme internet? Už konečně zaveďme digitální státní správu. Ušetří nám nervy, čas a miliardy ročně.

Propojení dat v zájmu zdravotníků i pacientů

Ukončeme zbytečná vyšetření a předepisování zbytečných léků. Dejme do rukou pacientů kontrolu nad jejich zdravotními daty.

Transparentní a efektivní veřejné zakázky

Naučme úředníky nakupovat, jako by to platili z vlastního. Ať pořizují jenom to, co za to státu stojí, bez průtahů a pod dohledem nás všech!

Klidně si to ověřte

[1]
ČTK. Kyberútok způsobil brněnské fakultní nemocnici škody v desítkách milionů korun. Aktuálně.cz. 17. 4. 2020. Dostupné zde.
[2]
Novinky. Účet za kyberútok na nemocnici v Benešově je 59 milionů. Pachatel se nenašel. Novinky.cz. 18. 8. 2020. Dostupné zde.
[3]
Novinky. NÚKIB: Za kyberútokem na ministerstvo zahraničí je cizí stát. Novinky.cz. 13. 8. 2019. Dostupné zde.
[4]
ČTK. Z počítačové sítě Pražského hradu unikala několik měsíců data do zahraničí. Aktuálně.cz. 3. 3. 2020. Dostupné zde.
[5]
PROFANT, Ondřej. Otevřený hardware jako součást kybernetické bezpečnosti. Profant.eu. 1. 1. 2019. Dostupné zde.
[6]
PROFANT, Ondřej. Piráti představili řešení kyberbezpečnosti na komisi pro NÚKIB, uvádí poslanec Profant. Piráti.cz. 9. 1. 2019. Dostupné zde.
[7]
Piráti. Piráti varují před bezpečnostními riziky cloudového řešení pro veřejnou správu. Piráti.cz. 14. 11. 2018. Dostupné zde.
[8]
MAZUR, Daniel. Akční plán Pirátů pro kybernetickou bezpečnost ČR. 2021. Dostupné zde.