Česko se musí probudit. Jinak nás čekají horší věci, než zažil slovenský katastrální úřad, varuje odborník

Úroveň technologického zajištění státních institucí je na velmi špatné úrovni, konstatuje Adam Paclt. Neexistuje úřad, který by mohl nařídit, aby se to změnilo. Co by se muselo změnit, aby časovaná bomba nevybuchla?

Problémy slovenského katastrálního úřadu, který kvůli ransomwarovému útoku začátkem letošního roku přišel o všechna data a na několik týdnů byl zcela ochromen, nemusí být nic ve srovnání s problémy, do kterých by se mohly dostat české úřady kvůli podcenění modernizace technologického zázemí. Upozornil na to Adam Paclt, generální ředitel bezpečnostní společnosti APPSEC, která se specializuje na penetrační testy odhalující slabiny IT systémů firem i veřejných institucí.

Obrázek: Česko se musí probudit. Jinak nás čekají horší věci, než zažil slovenský katastrální úřad, varuje odborník

Česko je častým terčem útoků ruských hackerů a kyberaktivistů z Ruska a dalších zemí. Zvhledem k podpoře Ukrajiny však s jejich brzkým koncem počítat nemůžeme. Důležitá je prevence a školení zaměstnanců i veřejnosti. Foto: Freepik

Česko nemodernizuje kritickou infrastrukturu

„Na Slovensku došlo k podcenění situace, nenakoupili potřebné technologie. U nás by mohlo dojít k ještě horším věcem. Stát nemodernizuje kritickou infrastrukturu, nakoupí nějaké řešení od externích dodavatelů a poté už s nimi neřeší updaty, a to se mu může vymstít,“ konstatuje Adam Paclt. Jak takovému nebezpečí předejít? Podle Paclta by bylo nutné vyměnit zastaralá technologická řešení, což by ale znamenalo vypsat dost složitá výběrová řízení na nové dodavatele, do čehož úřadům příliš nechce.

„Je to hodně práce. Státní správa nevyvíjí svoje systémy „produktově“. Když na to úřad má čas a peníze, něco nakoupí, ale pak to už nerozvíjí, maximálně se udělá nějaká lehká úprava,“ konstatuje Adam Paclt. A ze strany státu neexistuje žádná možnost represe v případě, že daný úřad dlouhodobou neaktualizací svých systémů zanedbává kybernetickou bezpečnost. Existuje sice Národní úřad kybernetické a informační bezpečnosti (NÚKIB), ten však může pouze upozorňovat, varovat a zasílat zprávy, ale nemá žádnou možnost vymahatelnosti. „Nemůže říci, že daná instituce musí konkrétní věc opravit a když se to nestane, odpovědný člověk dostane výpověď,“ říká Adam Paclt.

Výkupné, ztráty způsobené nedostupností služeb apod. Kybernetický útok může zasáhnout kohokoliv. Zdroj: Unsplash

Větší problém než na Slovensku

Česká republika podle Paclta tratí na tom, že nemá žádnou agenturu, která by měla pravomoci vynutit si změny nebo opravy interních systémů veřejných institucí předtím, než dojde k nějakému incidentu. Taková agentura by podle něj měla mít možnost dělat proaktivně penetrační testy a monitorovat sítě daných institucí. „Kvůli obavě politické reprezentace, aby se z NÚKIB nestala další tajná služba, úřad tyto pravomoci nemá. Připadá mi ale, že pro 21. stolení takovou agenturu potřebujeme,“ říká Adam Paclt. „Data jsou všechno a systémy a digitalizace státní správy jsou čím dál tím pokročilejší. Jednou se stane nějaký incident a bude to mnohem větší problém než na Slovensku,“ varuje Adam Paclt.

Útok na slovenský katastrální úřad skončil rezignací jeho ředitele, jednotlivá pracoviště musela data obnovovat ze záloh. Ne vše ale měl úřad řádně zálohované a elektronický systém úřadu nefungoval ani dva týdny po útoku. Hrozilo tedy, že část dat bude muset obnovovat z papírové dokumentace, která nemusela být vždy v dobrém stavu.

Poučí se Česká republika od svého nejbližšího souseda?

Zdroj: TZ APPSEC