Když minulý týden útočníci napadli weby několika bank, omezil se Národní bezpečnostní úřad (NBÚ) na strohé prohlášení: požádal banky, ať mu ve vlastním zájmu nahlásí, co se vlastně stalo.
V nově sepisovaném zákoně o kybernetické bezpečnosti již NBÚ vidí svoji roli jinak. Při útocích na banky by mohl premiérovi navrhnout vyhlásit stav nebezpečí a jeho programátoři by převzali pravomoci, které má dnes jen policie. Poskytovatelům internetu by pak pod hrozbou pokut mohli nařídit, aby problémy ve své síti vyřešili.
Stav nebezpečí
V případě rozsáhlých útoků by NBÚ mohl premiérovi navrhnout, aby vyhlásil stav kybernetického nebezpečí. Pokud by jej následně schválila vláda, mohl by trvat až sedm dní.
Firmy pod drobnohledem
Po IT firmách, které pomáhají se zajišťováním takzvané kritické infrastruktury, by stát vyžadoval technologii na předepsané úrovni a aby NBÚ pravidelné hlásily incidenty na síti.
Centrum pro kyberválku
NBÚ buduje také Národní centrum kybernetické bezpečnosti, které má dohlížet na důležité informační systémy státu.
Programátor s odznakem
Představy úřadu o takovéto situaci jsou vcelku konkrétní. Hackeři by například museli soustavně napadat tři největší banky v zemi, tedy Českou spořitelnu, Komerční banku a ČSOB, které obhospodařují většinu vkladů. "Velká část plateb dnes již probíhá bezhotovostně. Pokud by tedy lidé náhle nemohli platit kartou nebo posílat peníze přes internet, rychle by se vyčerpaly hotové peníze, což by zasáhlo celé hospodářství," vysvětluje náměstek ředitele NBÚ Jaroslav Šmíd.
Nebo jiný scénář: stav nebezpečí se vyhlásí v momentě, když hackeři vyřadí důležité systémy v energetice. "Šlo by o situaci, kdy útočníci napadnou třeba rozvody elektřiny a hrozil by dlouhodobý back-out," dodává Šmíd.
Největší banky v Česku napadli hackeři. Vyřadili jim z provozu internetové bankovnictví - čtěte ZDE
Stav kybernetického nebezpečí by premiér mohl vyhlásit nejvýše na sedm dní. NBÚ by během této doby mohl tlačit provozovatele sítí, které hackeři k útokům zneužili, aby problémy vyřešili. I za cenu odpojení napadených počítačů.
V současnosti přitom podobné pokyny může vydávat jen policie. Ta by však podle odborníků, kteří se na přípravě zákona podílejí, nemusela rozsáhlý kybernetický útok zvládnout. "Mluvíme tady o krizi, kdy je potřeba najednou vyhodnocovat informace z různých sítí a vmžiku koordinovat akce ve spojení s firmami. Na něco podobného není policie připravena," říká právník Radim Polčák z Masarykovy univerzity.
NBÚ proto za tímto účelem také zřizuje jednotné centrum kybernetické bezpečnosti, kde má pracovat třicítka expertů. K těm se budou sbíhat informace od tajných služeb, vojáků i obdobných center v zahraničí, aby mohli na útoky reagovat.
Bezpečnostní experti už vědí více o kyberútocích. Detaily ale zatím tají - čtěte ZDE
Po poskytovatelích internetu, kterých je dnes v Česku zhruba 1500, pak NBÚ bude rovněž žádat, aby mu nahlásili číslo na svého člověka, jehož by úředníci mohli v případě krizové situace kontaktovat.
Sankce za 50 milionů?
Chystaný zákon, který má začít platit v roce 2015, se pak nejvíc dotkne firem, které přímo pro stát zajišťují důležité IT služby - například těch, které obhospodařují rozvodné sítě, pomáhají s řízením dopravy nebo spravují klíčové registry. Od těchto společností by NBÚ i v době "míru" vyžadoval, aby mu průběžně hlásily, co se v jejich sítích děje, a také aby disponovaly softwarem na předepsané úrovni.
"Velké firmy, na které by se zákon vztahoval, již tyto standardy splňují, takže v tomto směru by ke komplikacím docházet nemělo," komentuje návrh Andrea Kropáčová ze sdružení CZ.NIC, které spravuje českou národní doménu.
Za neuposlechnutí pokynů by NBÚ mohl ukládat pokuty. Prozatím počítá maximálně s půlmilionem korun při opakovaném pochybení, objevují se však i návrhy na mnohem vyšší tresty. "U velkých firem by pokuta v řádech stovek tisíc neznamenala žádný trest. Uměl bych si proto představit i sankci na úrovni 50 milionů, pokud by kvůli jejich selhání došlo k rozsáhlým škodám," říká právník Polčák.
