Zatímco vláda se v pondělí vrátí k tomu, zda jsou výrobky společnosti Huawei pro stát bezpečnostním rizikem, podle opozičních Pirátů je větší problém u zabezpečení jednotlivých ministerstev vůči hackerům.
„Národní úřad pro kybernetickou a informační bezpečnost prováděl audity ministerstev a rozhodně ne všechny dopadly dobře,“ říká pirátský poslanec Ondřej Profant, který se problematikou kyberbezpečnosti zabývá. I proto strana volá po investicích do kybernetického zabezpečení ministerstev a státní správy.
Že zabezpečení ministerstev může mít díry, připouští i samotný úřad pro kybernetickou bezpečnost, jehož mluvčí Radek Holý hodnotí zabezpečení českých ministerstev jako průměrné.
„Nejsme šíleně podhodnoceni, ale určitě je co zlepšovat. Nikde to nedopadlo úplně perfektně. Zároveň existuje rozdíl mezi jednotlivými subjekty. Některé jsou na tom velice dobře, jiní poměrně dobře a některé jsou na tom se zabezpečením naopak špatně,“ popsal situaci Holý. Jaká ministerstva spadají do které kategorie „obranyschopnosti“, nechtěl mluvčí NÚKIB prozradit.
Na nedostatečné zabezpečení ministerstev vůči hackerům upozornil úřad už ve své výroční zprávě za rok 2017. Jak jednotlivé resorty na své zhodnocení zareagovaly a zda začaly pracovat na nápravě, nechce Holý komentovat. „Rozhodně nikdo není ve stadiu, že by při kritickém zjištění na věc kašlal. Kybernetická bezpečnost není ministerstvům lhostejná,“ uvádí mluvčí.
Na zdolání každé zdi lze najít žebřík, říká odborný úřad
Přesto Holý přiznává, že existuje reálné riziko, že by se hackeři mohli nabourat do ministerské sítě a získat tak citlivé informace. „Říká se, že na každou zeď se ve finále může najít žebřík, když máte motivaci ji zdolat,“ popisuje Holý. Bezpečnost se řeší v poměru ceny a výkonu. Podle toho, jaké informace jednotlivé instituce zajišťují, volí vhodné zabezpečení.
V hledáčku hackerů se nejčastěji objevují ministerstva obrany, vnitra a zahraničí, která by měla patřit mezi ta lépe zabezpečená s ohledem na to, že operují s citlivými informacemi. Pirátský poslanec Profant však o dostatečné ochraně proti kybernetickým útokům u některých pochybuje.
Zmiňuje například ministerstvo zahraničí, které se cílem hackerů stalo několikrát za poslední roky. V roce 2016 nabourali hackeři do systému rezortu a několik měsíců měli přístup do e-mailových schránek zaměstnanců ministerstva včetně pošty tehdejšího ministra Lubomíra Zaorálka (ČSSD) a jeho náměstků. Podle Bezpečnostní informační služby (BIS) za tím stály ruské tajné služby. Česká kontrarozvědka s Černínským palácem řešila také nabourání hackerů do systému na udělování víz.
Ministerstvo zahraničí výtky vůči svému zabezpečení odmítá. S ohledem na útoky, které naň mířily, posílil resort svou bezpečnost. „Přijali jsme řadu organizačních a technických opatření, která kybernetickou bezpečnost posilují. Je třeba ale upozornit, že jde o kontinuální proces, který s ohledem na nové hrozby nemůže být z principu nikdy prohlášen za dokončený,“ říká mluvčí ministerstva Michal Bucháček. Zároveň by se měly nadále zvyšovat výdaje na kybernetickou bezpečnost instituce.
Nejen na zahraničí mířily kybernetické útoky. Na začátku prosince uveřejnila BIS svou výroční zprávu za rok 2017, v níž je mimo jiné uvedeno, že byla snaha proniknout i do e-mailových schránek zástupců armády a ministerstva obrany.
Kontrarozvědka v dokumentu také popisuje, že problém byl i u jiného ministerstva kde se díky nedostatečnému zabezpečení webového portálu dalo dostat k některým přihlašovacím údajům.
Ministerstva si najímají experty na průniky
Jaké mají mezery ve své obraně, mohou ministerstva zjišťovat i díky provedení takzvaných penetračních testů, při nichž se najatí odborníci snaží nabourat do jejich systému a následně popíši všechny nedostatky. Státním institucím tuto službu vedle soukromých společností nabízí i NÚKIB, podle něhož v současnosti zájem převyšuje jeho možnosti.
Za poslední čtyři roky si ministerstvo zahraničí nechalo udělat takový test dvakrát, naposledy loni. Následně instituce začala napravovat nedostatky. „Doporučení, která vyplynula z penetračních testů, byla postupně realizována,“ říká k tomu Bucháček.
Oproti tomu ministerstvo zdravotnictví si najímá odborníky na průnik každý rok. Zejména mu jde o zvyšování zabezpečení Národního zdravotnického informačního systému, jenž zpracovává údaje o zdravotním stavu obyvatelstva.
Zabezpečení podkopává boj o ajťáky
Bezpečnostní situaci na ministerstvech by podle Profanta také pomohlo, kdyby došlo ke zvýšení platů odborníkům na informační technologie, kteří často dávají přednost práci v soukromém sektoru. Takový problém přiznává právě ministerstvo zahraničí.
„Ministerstvo přitom může využít toho, že místo prohlásí jako klíčové a díky tomu může pracovníkovi dát zvláštní příplatek,“ míní Profant s tím, že ministerstva toho podle jeho informací nevyužívají. „Jsme limitováni platným rozpočtem resortu,“ říká k možnosti využití klíčových míst ministerstvo zahraničí.
Samotný mluvčí NÚKIB upozorňuje, že problém s odborníky na tuto oblast je celosvětový i proto, že přišel rozmach hackerské činnosti. Zároveň Holý mírní kritický pohled na situaci, jenž mají Piráti. „Řešení nejde provést ze dne na den. Vše ovlivňují rozpočty a výběrová řízení,“ uzavírá Holý s dodatkem, že lze očekávat postupné zlepšování stavu.
