2. Kyberprostor a úloha státu na zajištění informační bezpečnosti
2.1. Kybernetická bezpečnost i kybernetická obrana jako úloha státu 1. Kyberprostor a vázanost státní moci zákonem
2.1.3. Kybernetická bezpečnost 1. Definice
2.1.3.4. Národní strategie kybernetické bezpečnosti 2021-2025
Za funkčnost bezpečnostního systému ČR odpovídá vláda jako vrcholný orgán moci výkonné. NÚKIB jako gestor kybernetické bezpečnosti v ČR a ústřední orgán státní správy pro 436 oblast kybernetické bezpečnosti, ochrany utajovaných informací v oblasti informačních a komunikačních systémů a kryptografické ochrany, připravuje na pětiletá období Národní strategie kybernetické bezpečnosti. Tyto strategie jsou určeny především pro bezpečnostní složky státu a další subjekty veřejné správy při zajišťování kybernetické bezpečnosti státu a jsou 437 konkretizovány Akčním plánem kybernetické bezpečnosti České republiky. 438
Podle Národní strategie kybernetické bezpečnosti České republiky na období let 2021 - 2025 (dále též jen „Strategie”) dochází k nárůstu intenzity využívání kyberprostoru při prosazování zahraničně-politických zájmů států. Zejména státní instituce v ČR jsou dlouhodobě cílem kybernetické špionáže. Roste i riziko průmyslové špionáže v podnicích, akademické a výzkumné sféře, a to s cílem oslabit konkurenceschopnost ČR. Strategie hovoří dále o nárůstu významu kyberprostoru při vojenských operacích. Důraz klade na schopnost ČR adaptovat se proměnlivému bezpečnostnímu prostředí, přičemž uvádí: „v kyberprostoru proto bude ČR vystupovat na vládní úrovni asertivně a rozhodně. Sebevědomým, zodpovědným přístupem ke kybernetické bezpečnosti na národní úrovni bude ČR posilovat svou prosperitu a navíc bude i nadále silným spojencem pro své partnery na mezinárodní úrovni.”439
Vedle NÚKIB (který plní úkoly vládního CERT) a sdružení CZ.NIC (jež provozuje národní CERT) se podílí na zajištění kybernetické bezpečnosti ČR z hlediska zahraniční politiky i Ministerstvo zahraničních věcí a zpravodajské služby. Bezpečnostní informační služba (dále jen
„BIS”), Vojenské zpravodajství (dále jen „VZ”) a Úřad pro zahraniční styky a informace (dále jen
„ÚZSI”) získávají a analyzují klíčové informace, přičemž VZ odpovídá i za kybernetickou obranu ČR. Na té se zároveň podílí Armáda ČR, a sice Velitelství kybernetických sil a informačních operací. Prevenci a postih kybernetické kriminality zajišťuje Policie ČR, především Národní centrála proti organizovanému zločinu Služby kriminální policie a vyšetřování. Zajišťování 440
Srov. § 2 zákona České národní rady č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy
436
České republiky, ve znění pozdějších předpisů.
NÚKIB. Národní strategie kybernetické bezpečnosti České republiky na období let 2021 - 2025. Op. cit., str. 3.
437
Tamtéž, str. 4.
438
Tamtéž, str. 10.
439
Tamtéž, str. 5 - 8.
440
kybernetické bezpečnosti tudíž představuje komplexní systém, na němž se podílí vedle NÚKIB vícero orgánů státní správy, jak dokládá i následující schéma:
Zdroj: NÚKIB. Národní strategie kybernetické bezpečnosti České republiky na období let 2021 - 2025 [online], str. 8.
Dostupné: https://www.nukib.cz/cs/kyberneticka-bezpecnost/strategie-akcni-plan/ [Cit. 2022-03-05].
Další ústřední správní úřady, správní orgány i soukromé subjekty ovlivňují kybernetickou bezpečnost v rámci své působnosti a odpovídají za zajištění souladu svých činností s právními předpisy. S ohledem na komplexnost a vzájemnou provázanost systému zajištění kybernetické bezpečnosti v ČR lze odkázat na příměr Sira Arthura Conana Doyla, vložený do úst doktora Watsona, a sice že každý řetěz je silný právě jen tolik jako jeho nejslabší článek. Vzájemná 441 spolupráce, sdílení informací i koordinace zabezpečení se proto jeví z hlediska zájmů ČR klíčová.
Strategie rozeznává vzájemnou provázanost a zranitelnost bezpečnostních infrastruktur (zmiňuje „kaskádový” efekt). Proto považuje za stěžejní chránit a zabezpečit povinné subjekty podle ZKB, o nichž hovoří jako o „stěžejním pilíř[i] kybernetické, potažmo národní bezpečnosti”. Zvláště důležitá je kybernetická bezpečnost průmyslových 442 řídících a SCADA systémů443 a cloudových funkcí. Význam je přisouzen i aktivní mezinárodní spolupráci na atribuci škodlivých aktivit v kyberprostoru konkrétním aktérům a jednotné komunikaci navenek, s cílem zamezit zneužití informačních mezer k manipulacím, podrývání důvěry v schopnosti státu a šíření strachu mezi obyvateli. Otázkou zůstává, jakým způsobem tak ČR hodlá 444 činit a zda reakce, kdy
DOYLE, Arthur Conan. Údolí strachu [online]. 1. vyd. Praha : Městská knihovna v Praze, 2012, str. 9. Dostupné:
441
<http://web2.mlp.cz/koweb/00/03/34/76/87/udoli_strachu.pdf> [Cit. 2022-11-08].
NÚKIB. Národní strategie kybernetické bezpečnosti České republiky na období let 2021 - 2025. Op. cit., str. 11.
442
Anglická zkratka SCADA, tj. Supervisory Control and Data Aquisition, označuje průmyslové systémy dispečerského
443
řízení a sběru dat, díky nimž lze centrálně monitorovat a ovládat jiná technická zařízení.
NÚKIB. Národní strategie kybernetické bezpečnosti České republiky na období let 2021 - 2025. Op. cit., str. 12 - 13.
444
vláda „doporučí” blokování v českém prostředí dlouze působících dezinformačních webů, odpovídá proklamované strategii. 445
Vedle podpory dostatečných technických i personálních kapacit má být cílem ČR rovněž účinná mezinárodní spolupráce a aktivní prosazování národních zájmů a bezpečnosti ČR v rámci mezinárodních společenství, jako je EU, NATO, OBSE, OSN i OECD. S vybranými spojenci hodlá ČR nadále rozvíjet úzkou bilaterální spolupráci s cílem sdílet strategické informace a společné postupy proti nepřátelským aktivitám cizích mocností, ale i posílit mezinárodní justiční spolupráci v trestním řízení a vymahatelnost práva. Přitom se počítá i s nestátními „škůdci” a s preventivními opatřeními v kyberprostoru proti škodlivému jednání státních i nestátních aktérů. Vzhledem k globálnímu charakteru hrozeb v kyberprostoru ČR hodlá pomáhat s navyšováním odolnosti kybernetické bezpečnosti i v rozvojových zemích. 446
Ve vztahu k veřejné správě Strategie poukazuje na probíhající digitalizaci veřejné správy a s tím související nutnost zajistit v infrastrukturách od počátku kybernetickou bezpečnost. Kromě bezpečnosti informačních kanálů veřejné správy je zdůrazněna i nutnost garantovat dostupnost a plynulost služeb. Dalším aspektem má být podpora a investice do vzdělávání a kvalifikované 447 pracovní síly. Orgány státní správy by proto měly investovat do náboru stávajících talentů a vytvářet odpovídající pracovní podmínky. Strategie výslovně uvádí: „Státní správa musí být konkurenceschopná na vysoce konkurenčním trhu práce v oblasti kybernetické bezpečnosti. Musí vytvořit takové pracovní prostředí, které motivuje stávající talenty k rozhodnutí pracovat pro státní organizace, potažmo bezpečnostní složky státu.” 448 Platové podmínky upravené nařízením vlády č. 341/2017, o platových poměrech zaměstnanců ve veřejných službách a správě, v platném znění, však nejsou schopny odměnám v soukromé sféře konkurovat, a to tím spíše ve velkých městech, kde správní úřady sídlí.
V souvislosti s probíhající válkou na Ukrajině a agresí Ruské federace došlo k zablokování dezinformačních webů
445
(např. Protiproud) na základě rozhodnutí soukromého sdružení CZ.NIC i v důsledku stanoviska vlády ČR. DIMUN, Petr. O blokování „dezinformačních“ webů vláda nerozhodla, chybí zákonná úprava [online]. Česká justice, 3. března 2022. Dostupné: https://www.ceska-justice.cz/2022/03/o-blokovani-dezinformacnich-webu-vlada-nerozhodla-chybi- zakonna-uprava/ [Cit. 2022-11-08].
NÚKIB. Národní strategie kybernetické bezpečnosti České republiky na období let 2021 - 2025. Op. cit., str. 16 - 17.
446
V rámci posílení mezinárodní spolupráce i neformálních vztahů, ale i úrovně technické expertízy, pořádá NÚKIB řadu kybernetických cvičení, kde dochází k simulaci krizových situací. Podrobněji NÚKIB. Kybernetická cvičení [online].
Dostupné: https://www.nukib.cz/cs/kyberneticka-bezpecnost/cviceni/kyberneticka-cviceni/ [Cit. 2022-11-08].
NÚKIB. Národní strategie kybernetické bezpečnosti České republiky na období let 2021 - 2025. Op. cit., str. 18.
447
Tamtéž, str. 20.
448