Kybernetická bezpečnost a irské předsednictví
Začátkem února představila Evropská komise novou směrnici pro zajištění vysoké úrovně společné informační a síťové bezpečnosti v rámci Evropské unie. Návrh navázal na opatření formulované v roce 2001, které umožňovaly regulaci pouze specifických subjektů, klíčových pro informační a síťovou bezpečnost. Předložený návrh tento přístup zásadním způsobem mění. V kombinaci se současnou ekonomickou situací se dá očekávat, že diskuse k tomuto návrhu bude velmi komplikovaná.
Irsko a kybernetická bezpečnost
Právě předsedající Irsko bude řídit diskusi k této komplikované problematice ovlivněné současnou ekonomickou situací. Irsko jako moderní ekonomika plně využívá potenciál kybernetického prostoru. Kybernetická bezpečnost proto představuje i v Irsku velmi aktuální téma. Podle zprávy společnosti Deloitte téměř každý třetí respondentů v Irsku zaznamenal narušení bezpečnosti. Vážné narušení kybernetické bezpečnosti v Irsku způsobí škodu v průměrné výši 40 000 EUR. Z hlediska mezinárodní spolupráce je na tom Irsko podobně jako Česká republika. Ačkoliv Irsko podepsalo Budapešťskou konvenci o kybernetickém zločinu, dosud ji neratifikovalo. Rovněž se zatím nepodílí na činnosti Centra pro kybernetickou bezpečnost v rámci NATO sídlící v Tallinnu.
Právě irské předsednictví může být příležitostí pro změnu tohoto přístupu. To potvrzuje i nedávné prohlášení irského ministra obrany, který vyzdvihoval narůstající nebezpečí plynoucí z kybernetických útoků a nutnost mezinárodní spolupráce v boji proti těmto rizikům. Mezinárodní spolupráci při potírání kybernetického zločinu zmiňuje i irský program pro předsednictví. Zásadní otázkou zůstává, do jaké míry bude toto téma prioritní vzhledem k současné ekonomické situaci. Navíc Irsko se pravděpodobně bude více soustředit na problematiku odzbrojování a lidských práv vzhledem ke svému nedávnému zvolení do Rady pro lidská práva OSN.
Švédská komisařka pro vnitřní záležitosti Cecilia Malmström, která má ve svém portfoliu také otázku kybernetické bezpečnosti. Analytik Tomáš Rezek v článku pro Mezinárodní politiku předpokládá, že diskuse o nové směrnici o zajištění "kyberbezpečnosti" v EU budou složité (foto: Audiovisual Service EU)
Rizika v kybernetickém prostoru
Kybernetický prostor představuje velký potenciál nejen pro ekonomiku, ale i pro společnost. Nicméně nárůst využívání kybernetického prostoru zvýraznil i rizika a negativní stránky s ním spojené. Mezi nejznámější negativní aspekty patří kybernetická kriminalita. Ta zahrnuje například podvody spojené s nedodáním objednaného zboží, přesměrování plateb, krádeže osobních údajů a podobně. Mezi další negativní aspekty kybernetického prostoru spadá dětská pornografie, propagace rasismu a extremismu. Zvyšující se využívání kybernetického prostoru s sebou přináší i závislost, která se může stát potenciálním rizikem v případě kybernetického útoku nebo při napadení systému virem. Kybernetický útok, virus nebo i lidská chyba může mít za následek výpadek daného systému, poškození nebo ztrátu dat, v krajním případě i ztrátu kontroly nad systémem. Takový útok může mít vážné následky například u systému řízení dopravy nebo u systémů zajišťujících distribuci elektřiny.
V současné době legislativa stanovuje povinnost zajistit síťovou a informační bezpečnost pro poskytovatele elektronické komunikace. Tato povinnost je platná od roku 2009 a na úrovni jednotlivých členských států měla být implementována do května roku 2011. V roce 2012 byl projednáván návrh pro obecnou ochranu osobních dat. Tento návrh ukládá společnostem povinnost informovat národní úřady v případě kybernetického incidentu kompromitující osobní nebo citlivá data. V kybernetickém prostředí rovněž platí legislativa stanovující povinnosti pro ochranu osobních údajů a citlivých dat. Momentálně je projednáván návrh direktivy, který by klasifikoval určit typy aktivit v kybernetickém prostředí jako kriminální činnost a tím umožnil efektivněji postupovat při zajišťování kybernetické bezpečnosti. Avšak další aktivity Evropské komise a ostatních orgánu EU spočívaly především v podpoře iniciativ soukromých společností vedoucích ke zlepšení kybernetické bezpečnosti. Nicméně praxe posledních několika let ukázala, že dobrovolné aktivity soukromého sektoru nemají žádaný efekt na kybernetickou bezpečnost. Proto se veškerá pozornost soustředí na tento návrh směrnice, který stávající přístup zásadním způsobem mění.
Návrh směrnice
Tato směrnice si klade za cíl vytvořit stejnou úroveň kybernetické bezpečnosti ve všech státech Evropské unie. Vytvoření stejných podmínek má podpořit hospodářskou soutěž a eliminovat případné nerovnosti způsobené odlišným přístupem k zajištění kybernetické bezpečnosti v jednotlivých státech. Zvýšení kybernetické bezpečnosti v EU má přinést Evropě i zlepšení současné pozice na mezinárodní úrovni v této oblasti. To umožní posílit propagaci postoje ke kybernetickému prostoru založenému na evropských hodnotách.
Hlavní změna ve stávajícím přístupu Evropská komise ke kybernetické bezpečnosti spočívá v rozšíření subjektů, které mají za povinnost zajistit stanovenou úroveň bezpečnosti svých systémů. Vedle již zmiňovaných poskytovatelů elektronické komunikace se nově jedná i o takzvané tržní operátory a o správce kritické infrastruktury. Tržní operátoři jsou velké soukromé společnosti poskytující informační služby. V příloze k této směrnici se hovoří o službách spojených s: platformami pro elektronický obchod, platebními bránami, sociálními sítěmi, vyhledávacími programy, cloudem a aplikacemi. Do skupiny správců kritické infrastruktury pak mohou spadat například správci systémů rozvodných sítí pro elektřinu a plyn, letištních systémů nebo provozovatelé bankovních systémů.
Návrh směrnice předpokládá spolupráci jednotlivých států s Evropskou agentura pro síťovou a informační bezpečnost ( ENISA). Každý stát v souladu s touto direktivou vytvoří národní strategii a plán pro zajištění síťové a informační bezpečnosti. V členských zemích bude stanoven úřad s potřebnými pravomocemi pro kontrolu realizace bezpečnostních opatření stanovených v národní strategii. V každé zemi dále bude existovat dedikované pracoviště CERT (Computer Emergency Reponse Team). Sdílení informací a úzká spolupráce na úrovni pracovišť CERT umožní efektivní a koordinovaný postup pro obnovení kybernetické bezpečnosti v případě vážného incidentu.
Cena kybernetické bezpečnosti
Je diskutabilní, zda se Evropské unii podaří na mezinárodní úrovni prosazovat své pojetí kybernetického prostoru jako svobodné a volně přístupné platformy bez cenzury. Nicméně samotný návrh směrnice usilující o harmonizaci podmínek pro kybernetickou bezpečnost je bezesporu chvályhodný. Evropská komise se v této směrnici přiklání k regulaci, která je dosud tabu například ve Spojených státech. Otázkou je, jak se vyvine rozprava k tomuto návrhu a jaké budou praktické následky přijetí návrhu. Důležitým bodem diskuse budou náklady spojené se zajištěním kybernetické bezpečnosti. Kybernetický prostor, jeho využití i bezpečnostní rizika se totiž velmi rychle vyvíjejí. Implementovaná opatření se mohou záhy ukázat jako nedostatečná vzhledem k vývoji celého odvětví. Zajištění kybernetické bezpečnosti tak není jednorázová aktivita, ale dlouhodobý proces. V případě regulace se nechá očekávat, že společnosti tyto náklady promítnou do konečné ceny svých produktů a služeb. Navíc při současné ekonomické situaci hrozí, že zvýšení kybernetické bezpečnosti bude realizováno na úkor investic do systémů a technologií, které mohou přispět k ekonomickému růstu. Rovněž záleží, jakým způsobem bude regulace vykonávána. Je důležité, aby nenastala situace, kdy kvůli regulačním požadavkům na zajištění kybernetické bezpečnosti ztratí evropské společnosti konkurenceschopnost vůči zahraničním společnostem ze zemí, kde jsou tyto standardy na nižší úrovni.
Kybernetický prostor je stále důležitější pro ekonomiku i pro společnost jako takovou. Tím nabývá na významu i kybernetická bezpečnost. Jakkoliv se prokázalo, že na dobrovolné bázi se kybernetická bezpečnost dostatečně nezlepší, zůstává otázkou, zda se za aktuálních podmínek podaří prosadit regulační opatření zvyšující náklady, potenciálně i ceny pro konečné spotřebitele. Přitom přínosy plynoucí z vyšší úrovně kybernetické bezpečnosti v podobě růstu obchodu přes internet, úspor z využívání moderních technologií a další se projeví ve střednědobém až v dlouhodobém horizontu. A bude právě na Irsku vést debatu k tomuto návrhu a přesvědčit členské státy, že dlouhodobá investice do kybernetické bezpečnosti má smysl a je nezbytná pro stabilní ekonomický růst.
Zdroje
Evropská komise: Network and Information Security: Proposal for A European Policy Approach, 2001;
Evropská komise: Proposal for a Directive of theEuropean Parliament and of the Council, 2013;
Evropská komise: Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace, 2013;
Program of the Irish Presidency of the Council of the European Union;
Deloitte: Irish information Security and Cybercrime Survey, 2012.
O autorovi
Tomáš Rezek, Analytik Výzkumného centra Asociace pro mezinárodní otázky (AMO). V rámci doktorského studia na Univerzitě Karlově v Praze se věnuje problematice kybernetického terorismu.
tomas.rezek@amo.cz