Nejvyšší kontrolní úřad (NKÚ) prověřil zajištění kybernetické bezpečnosti ČR v letech 2015 až 2019. Podařilo se splnit většinu z prověřovaných úkolů Akčního plánu k Národní strategii kybernetické bezpečnosti. Celá zpráva je k dispozici zde (PDF).
NKÚ ovšem upozorňuje, že “spolupráce Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a Ministerstva vnitra (MV) sice funguje a v nedávné době významně pomohla při řešení útoků na zdravotnická zařízení, je ale nastavena jen na neformální úrovni a probíhá ad hoc. Na takto nastavenou spolupráci nelze do budoucna spoléhat. Stát nemá přehled o tom, kolik peněz vynakládají resorty na kybernetickou bezpečnost.”
“Na řadě oblastí, které NKÚ označil za problematické, už intenzivně pracujeme. Například kybernetická bezpečnost ve zdravotnictví patří aktuálně k našim prioritám a stejně tak posílení komunikace s partnery,” zareagoval NÚKIB.
Souhrn zjištění NKÚ zní takto:
Vládní CERT (Computer Emergency Response Team), který je součástí NÚKIB, zaznamenal od roku 2017 do poloviny roku 2020 celkem 916 hlášení kybernetických incidentů. Jen na první polovinu letošního roku připadalo 31 % z nich. Tato situace ukazuje, že kybernetická bezpečnost v ČR bude vyžadovat odpovídající finance. Stát ale nemá přehled o tom, kolik peněz se na ni skutečně vynakládá. K dispozici jsou totiž pouze odhady od jednotlivých resortů.
Jiný přístup má například Velká Británie. Ta vykazuje výdaje na kybernetickou bezpečnost státu jako zvláštní položku rozpočtu. Díky tomu mohou odpovědné orgány monitorovat a vyhodnocovat vynaložené prostředky za celý stát.
Informace o výdajích na kybernetickou bezpečnost v ČR získává NÚKIB prostřednictvím dotazníků. Aby získal údaje, které potřebuje, musel v letech 2018 a 2019 provést celkem čtyři taková šetření. Z nich vyplynulo, že za roky 2015 až 2019 vydaly resorty na kybernetickou bezpečnost celkem 2,8 miliardy korun. Přesto jim ale chybí další stovky milionů.
MV, jehož výdaje na kybernetickou bezpečnost dosáhly v daných letech přibližně 750 milionů korun, odhadlo, že by k roku 2020 potřebovalo dalších 309 milionů korun. MV přitom spravuje 35 % kritické informační infrastruktury organizačních složek státu. Zároveň ale MV nevyužilo možnost čerpat na kybernetickou bezpečnost peníze z fondů EU. NÚKIB z nich čerpal celkem 112 milionů korun na dva projekty. Největší zájem o prostředky z fondů EU měla zdravotnická zařízení. Ta získala podporu na projekty za zhruba 903 milionů korun.
Spolupráci mezi NÚKIB a MV hodnotili kontroloři podle 57 vybraných úkolů Akčního plánu k Národní strategii kybernetické bezpečnosti ČR na období let 2015 až 2020. Nedostatky zjistili u osmi z nich. Dosud například nevznikl podrobný model nebo schéma, jak by měla fungovat spolupráce v oblasti kybernetické bezpečnosti. Tato spolupráce mezi MV, NÚKIB i dalšími státními orgány tak stojí především na osobních vazbách a probíhá ad hoc podle toho, jak je potřeba.
Také se nepodařilo dokončit automatizovanou platformu, díky které by se mohly sdílet vybraným ohroženým subjektům informace o kybernetických bezpečnostních hrozbách a incidentech zjištěných u kritické informační infrastruktury a u významných informačních systémů.
NÚKIB a MV se zároveň potýkají s nedostatkem odborníků. Získat a udržet si je představuje dlouhodobý problém. Do budoucna tak hrozí, že pokud se objeví několik incidentů současně, MV a NÚKIB nebudou mít dost kapacit, aby mohly pomoci i subjektům, které nespadají pod zákon o kybernetické bezpečnosti. S výjimkou poskytovatelů zdravotních služeb, kteří v posledních třech letech měli alespoň 800 akutních lůžek nebo status pracoviště specializované traumatologické péče, patří mezi tyto subjekty řada zdravotnických zařízení, která nesplňují kritéria pro zařazení mezi poskytovatele tzv. základních služeb.1
Přitom kybernetické útoky na zdravotnická zařízení z přelomu let 2019 a 2020 ukázaly, že i když se nejedná o povinné subjekty podle zákona, měla by série útoků na ně významný dopad na celý zdravotnický systém v ČR. Kontroloři proto NÚKIB doporučili, aby prověřil, jak jsou nastavena kritéria, která určují poskytovatele tzv. základních služeb ve zdravotnictví, a případně tato kritéria upravil.