Aplikace kybernetického zákona znamenala pro řadu organizací a jejich systémů zásadní změny. Tvoří se nová dokumentace, zavádějí nové procesy, a pokud je opravdu velká vůle, dojde i na implementaci nových bezpečnostních technologií. Jedno však zůstalo stále stejné a za to patří tvůrcům zákona a vyhlášek obrovský dík: všechna opatření musí odpovídat vyhodnoceným rizikům. Od začátku jsme se všichni učili, že analýza rizik je základ všeho, a kybernetický zákon toto svaté dogma nemění.
Při tvorbě legislativy se stanovují pravidla a od nich je jen malý krůček k regulaci. Při psaní zákona však jeho tvůrci pracovali přesně podle nejlepších praktik, a proto v žádné související vyhlášce nenajdeme povinnost používat u kritických systémů dvou-faktorovou autentizaci nebo zákaz vyžívání cloudu.
Vydávat regulace je jednoduché a zároveň nebezpečné. Regulace v IT může velmi rychle sklouznout k preferenci určitého řešení, technologie či produktu. Pokud by toto nastalo, tak nepotřebujeme kybernetický zákon. Stačí dát dohromady soupis technologií, které musí osoby povinné implementovat, a svět bude hned bezpečnější. Nicméně by to byla špatná cesta, kterou snad tvůrci zákona neplánovali. Obor kybernetické bezpečnosti je velmi rozmanitý a nabízí na různá rizika celou škálu řešení. Někdo preferuje striktní technologická omezení, jiný se soustředí na procesní a organizační opatření. Obojí je správně, pokud implementovaná úroveň bezpečnosti správně reaguje na zjištěná rizika.
Cloudová řešení jsou dnes velmi diskutovaná, a to nejen v souvislosti s kybernetickým zákonem. Padají otázky, která data mohou být v cloudu a která musí být jenom v nějaké lokální serverovně. Každý, kdo měl tu možnost se detailně seznámit s úrovní bezpečnosti profesionálních cloudových řešení, musí souhlasit, že datová centra předních poskytovatelů nabízí mnohem vyšší procesní, technologickou i fyzickou bezpečnost než drtivá většina státních serveroven českých úřadů.
Která organizace může prohlásit, že má kompletní přehled o umístění svých dat? Skutečně mají všechny státní úřady data jen ve svých „bezpečných“ serverovnách? Opravdu se nevyskytují žádná interní data úřadu na noteboocích dodavatelů, v jejich serverovnách, v jejich cloudech? Oponovat, že s dodavatelem má úřad NDA, je zbytečné, protože totéž může mít s poskytovatelem cloudu, a to obvykle s mnohem přísnějšími podmínkami.
Interní data úřadu se také mohou vyskytovat na soukromých noteboocích a tabletech pracovníků zaměstnaných například na DPČ. Ti běžně používají vlastní zařízení, která nejsou téměř pod kontrolou a přitom obsahují různá citlivá data úřadu. Tito lidé mají mnohem více možností a zároveň důvodů tato data dále sdílet než nějaký bezejmenný administrátor komerčního poskytovatele cloudu. Dovolím si s úspěchem pochybovat, že by jakýko-li kvalitní cloudový poskytovatel dovoloval svým zaměstnancům, aby přistupovali do ostrého prostředí ze soukromých nekontrolovatelných notebooků.
NBÚ nevydal žádné schválení ani neschválení využívání cloudu a doufejme, že se tak nikdy nestane. Kybernetický zákon je dobrý hlavně proto, že nedefinuje bezpečnostní opatření dopředu a nediktuje osobám povinným, jak mají své systémy zabezpečit. Přesně v souladu s nejlepšími praktikami zákon předepisuje, aby si osoba povinná analyzovala všechna relevantní rizika pro své systémy a zvolila optimální opatření na jejich pokrytí. V tomto smyslu se také NBÚ vyjadřuje k otázkám ohledně cloudu. Nemůže se totiž vyjádřit jinak, protože by zpochybnil svůj vlastní zákon.
Článek vyšel v roce v 2016 v časopise eGovernment (str. 19-20).
Stará verze loga NBÚ je použita úmyslně. Autorovi článku se líbí více než nová.
