Pravdou je, že tento zákon je reakcí na nové hrozby v kybernetickém prostoru, z čehož rovněž vznikají nové povinnosti a odpovědnosti, i v kontextu nabytí účinnosti nového občanského zákoníku. Máme zde totiž řadu konstrukcí, z nichž je generována například objektivní odpovědnost nebo povinnost k náhradě škody, je mezi nimi tedy patrné propojení.
Potřebujeme zákon o kybernetické bezpečnosti?
Zákon o kybernetické bezpečnosti má za cíl stanovit podmínky spolupráce mezi soukromým sektorem a veřejnou správou, těžištěm je ale obrana před kybernetickými bezpečnostními incidenty. Obrana však může být vybudována pouze tak, budou-li nastaveny nějaké povinnosti, oprávnění, a podle zákona se bude vyhlašovat také stav určitého nebezpečí. Je to asi již rok nebo dva, kdy útočníci zaútočili v ČR nejdříve na servery sdělovacích prostředků, potom bank a ve výsledku je přetížili natolik, že tyto servery spadly a lidé se pak nemohli dostat například do svého internetového bankovnictví. Právě proti takovýmto útokům by měly být vytvořeny organizační struktury či postupy, které umožní se ubránit.
Zeptejme se tedy: Potřebujeme takový zákon nebo je to pouze jeden z mnoha zákonů, kterými zejména levicové vlády „zaplevelují“ prostor veřejný i soukromý v tomto státě? Zde musím objektivně říci, že ano, že jej potřebujeme. Na konferenci Právní prostor 2015 jsme uvedli hlavní původce kybernetické kriminality. Jedná se vcelku o čtyři zdroje: cizí státy, které organizují kybernetické útoky, teroristé, ale také vaši zaměstnanci a organizovaný zločin. Tyto čtyři okruhy osob mohou mít motivaci a dnes i prostředky k tomu, aby zaútočili na vaši organizaci, její informační systém, data, která tam máte uložena, případně na osoby, o jejichž údajích se právě z Vašeho informačního systému dozví. Každý z těchto typických útočníků může mít jinou motivaci, někdo se bude chtít pomstít svému zaměstnavateli, někdo způsobit chaos, někdo za účelem následného vydírání. Podstatné ale je, že tyto hrozby nepochybně existují.
Oblasti ohrožení
V podstatě existují tři hlavní oblasti ohrožení: prvními jsou technologické řídicí systémy. Dnes se nebudeme příliš zabývat tím, když někdo shodí webovou stránku. Tyto útoky jsou poměrně běžné a ostatně při některých typech útoků jim ani nelze dopředu zabránit. Avšak v momentě, kdy útočník začne pacientům na jednotce intenzivní péče zavírat kyslík, je to přeci jen vážnější záležitost. Podobně jako zásah do řízení metra, řízení letového provozu atd.
Je tu i tzv. plíživé nebezpečí, o němž se v současné době velmi hovoří, v němž je možno vidět komerční, obchodní využití, a tím je heslo „internet věcí“. Každý přístroj, který máte doma nebo ve firmě, bude připojený k internetu, abyste ho mohli na dálku ovládat, modernizovat stažením nového softwaru apod. To zní sice krásně, ale ve skutečnosti se jedná o extrémní zdroj nebezpečí. Rozhodně netoužím po tom, mít doma špiony či čidla, neboť i lednička se při vhodném útoku může proměnit ve špiona, který bude monitorovat, co se odehrává ve vaší domácnosti. Netoužím po tom, aby mě někdo mohl monitorovat. Už Bradbury popisoval ve svých knihách budoucnost, tzv. chytrý dům, který Vás může jednoho dne zamknout a spustit požár, až tiše uhoříte ve svém zamčeném domě, pakliže jeho ovládání zneužije útočník. Nicméně tzv. internet věcí může spočívat i v tom, že někdo napadne vaše auto a na dálku jej bude ovládat, stejně jako jiné věci, které běžně užíváte.
Třetí oblastí ohrožení jsou informační útoky, velice často prováděné prostřednictvím sociálních sítí. I tam se situace mění ještě k horšímu, od informačních útoků, kdy o vás někdo napíše určitou informaci, až po podvody či případy, kdy se osoba prohlásí za vašeho přítele a následně vás požádá o dvacet korun, avšak ve skutečnosti vás, z vašeho vlastního bankovního účtu, okrade o dvě stě tisíc korun. Jelikož je kolem nás stále více a více vytvářena pavučina informační sítě, je možnost zaútočit na jakékoli slabiny každého z nás mnohem větší. Podobně tomu je v oblasti informačních systémů veřejné správy obsahujících citlivé údaje, které v mnoha případech slouží pro výkon veřejné správy v tak kritických oblastech, jež bychom bez informačních technologií nemohli ani vykonávat. To je hlavním důvodem, proč potřebujeme zákon o kybernetické bezpečnosti a mít bezpečné informační systémy. V souladu s tvrzením odborníků a prognostiků je nepochybné, že součástí budoucích válek budou i války kybernetické.
Cíle zákona a vymezení subjektů
Vedle samotného přijetí zákona je však důležité jej také naplnit. Zákon a prováděcí předpisy, společně s dalšími technickými předpisy, jež jsou součástí našeho právního řádu a vytvářejí dobrý podklad pro to, abychom se kybernetickému nebezpečí dokázali postavit. Zákon si klade tyto hlavní cíle: konstituce práv a povinností Národního bezpečnostního úřadu, tedy orgánu státu, jemuž je svěřena konkrétní pravomoc v oblasti kybernetické bezpečnosti a v jehož rámci bylo vytvořeno tzv. Národní centrum kybernetické bezpečnosti. Národní bezpečnostní úřad tedy vykonává státní správu v oblasti kybernetické bezpečnosti. Zákon dále nastavil mechanismus přenosu informací, neboť vyskytne-li se určité riziko, tj. kybernetický útok, je potřeba tuto hrozbu analyzovat a co nejdříve o ní informovat ty, kdo jsou zařazeni například do kritické infrastruktury státu nebo provozují tzv. významné informační systémy, včetně podání informace o dalším postupu. Dalšími cíli zákona je vybudování systému včasného varování, prevence a osvěty, a dále zavádění opatření jednak preventivních, jednak reaktivních, tj. konkrétních opatření při hrozícím útoku. První část zákona tedy pojednává o prevenci, druhá část pak o případné reakci na kybernetickou hrozbu či útok. Zákon nastavuje způsoby řešení situací v momentě, kdy buď nějaký útok na prvky kritické informační infrastruktury hrozí, nebo již útok nastal.
Zákon rovněž vymezuje jednotlivé subjekty. Jsou jimi Národní bezpečnostní úřad, oblast nazvaná „řízení kybernetické bezpečnosti“ a subjekty vyjmenované v § 3 ZKB. Toto ustanovení je naprosto klíčové, neboť subjekty v něm vyjmenované mají povinnost se tímto zákonem řídit a realizovat tak systém řízení bezpečnosti informací. Osoby neuvedené v § 3 ZKB sice na první pohled nemají povinnost se zákonem řídit, nicméně lze doporučit, aby každý, kdo provozuje určitý informační systém, měl systém řízení kybernetické bezpečnosti nastavený v souladu se zákonem, byť se jedná o záležitost dobrovolnou. Ust. § 3 vyjmenovává tyto osoby: poskytovatelé služeb a provozovatelé služeb elektronických komunikací, orgány nebo osoby zajišťující významné sítě, pokud nejsou správcem komunikačního systému, správce informačního nebo komunikačního systému kritické informační infrastruktury a správce významného informačního systému. Prozatím jsou většinou subjektů uvedených v § 3 písm. c), d) a e) organizační složky státu nebo státní podniky, kterým je tak uložena řada nových povinností.
Druhá část příspěvku vyjde na právním portále Právní prostor.cz zítra.
Konference Právo ve veřejné správě 2015
Ve dnech 3. a 4. listopadu 2015 se v Praze konal již 4. ročník odborné konference Právo ve veřejné správě. Program konference, která tematicky navazuje na odborný kongres PRÁVNÍ PROSTOR a je určena pro zástupce z řad státní správy a samosprávy, byl opět rozdělen do dvou dní. Letos vystoupilo 13 přednášejících odborníků z oblasti právní praxe i teorie. Pořadatelem byl právní informační systém CODEXIS pod mediální patronací právního portálu Právní prostor.cz. Více na http://www.pvvs.cz/.
Diskuze k článku ()