NKÚ prověřoval působení NÚKIB a ministerstva vnitra.
Spolupráce státních úřadů v kyberbezpečnosti funguje. Chybí jí ale zatím jasné schéma a větší přehled o výdajích na zajištění bezpečnosti za jednotlivé úřady. Vyplývá to z výsledků prověrky Nejvyššího kontrolního úřadu (NKÚ), které dnes v tiskové zprávě oznámila mluvčí NKÚ Jana Gabrielová. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a ministerstvo vnitra ČTK sdělily, že na úpravě spolupráce pracují. Loni podle NÚKIB přibylo v Česku počítačových útoků, mezi které patří třeba podvodné e-maily, které pak častou vedou k vážnějšímu napadení sítí.
NKÚ prověřoval působení NÚKIB a vnitra v zajištění kybernetické bezpečnosti Česka za roky 2015 až 2019. „Kontrola ukázala, že se podařilo splnit většinu z prověřovaných úkolů Akčního plánu k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020,“ uvedla mluvčí kontrolorů.
Výhrady má ale NKÚ k formě spolupráce institucí. „Spolupráce Národního úřadu pro kybernetickou a informační bezpečnost a ministerstva vnitra sice funguje a v nedávné době významně pomohla při řešení útoků na zdravotnická zařízení, je ale nastavena jen na neformální úrovni a probíhá ad hoc,“ oznámili kontroloři. Spolupráce mezi NÚKIB, vnitrem a dalšími státními orgány stojí podle NKÚ především na osobních vazbách. Také se podle kontrolorů nepodařilo dokončit automatizovanou platformu pro sdílení informací o kybernetických hrozbách a incidentech.
Spolupráce s NÚKIB je podle vnitra velmi dobrá a pomohla při řešení kyberútoků na nemocnice i dalších incidentů. „NÚKIB v takových případech například poskytuje metodickou podporu, která výrazně pomáhá při přijímání opatření. Stejně tak předávání informací ze strany NÚKIB na ministerstvo vnitra dosud probíhá naprosto bez problémů. Velmi dobře fungující spolupráci budeme v souladu se zjištěními NKÚ dále formalizovat,“ sdělil ČTK mluvčí vnitra Adam Rözler. „Na řadě oblastí, které NKÚ označil za problematické, už intenzivně pracujeme. Například kybernetická bezpečnost ve zdravotnictví patří aktuálně k našim prioritám a stejně tak posílení komunikace s partnery,“ uvedl pro ČTK mluvčí NÚKIB Jiří Táborský.
Chybí podle NKÚ i přesnější finanční plán. NÚKIB zaznamenal podle kontrolorů od roku 2017 do poloviny roku 2020 celkem 916 hlášení kybernetických incidentů, z toho téměř třetinu jen v první polovině letošního roku. „Tato situace ukazuje, že kybernetická bezpečnost v ČR bude vyžadovat odpovídající finance. Stát ale nemá přehled o tom, kolik peněz se na ni skutečně vynakládá. K dispozici jsou totiž pouze odhady od jednotlivých resortů,“ sdělila Gabrielová. „Složitost specifikace prostředků vynaložených na kyberbezpečnost je stejná u celé státní správy. Jednotlivé projekty totiž většinou nejsou zaměřeny pouze na kyberbezpečnost, ale řeší i další úpravy a nové služby,“ uvedl mluvčí vnitra.
Informace o výdajích na kybernetickou bezpečnost v Česku získává NÚKIB jen prostřednictvím dotazníků. Podle nich za roky 2015 až 2019 vydala ministerstva na tento účel 2,8 miliardy korun, ale potřebovala by další stovky milionů. Vnitro, jehož výdaje na kybernetickou bezpečnost dosáhly v daných letech přibližně 750 milionů korun, podle NKÚ odhadlo, že by k letošnímu roku potřebovalo dalších 309 milionů.
Kromě nedostatku financí se úřady při zabezpečování sítí potýkají s nedostatkem odborníků. „Do budoucna tak hrozí, že pokud se objeví několik incidentů současně, ministerstvo vnitra a NÚKIB nebudou mít dost kapacit, aby mohly pomoci i subjektům, které nespadají pod zákon o kybernetické bezpečnosti,“ uvedla mluvčí NKÚ. Dotklo by se to podle ní třeba části zdravotnických zařízení, která podle zákona nespadá do kritické infrastruktury státu. „Kontroloři proto NÚKIB doporučili, aby prověřil, jak jsou nastavena kritéria, která určují poskytovatele tzv. základních služeb ve zdravotnictví, a případně tato kritéria upravil,“ doplnila. Vnitro i NÚKIB uvedly, že na nedostatek odborníků dlouhodobě upozorňují.