NKÚ: Spolupráce úřadů v kyberbezpečnosti funguje, ale nemá schéma

NKÚ prověřoval působení Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a ministerstva vnitra v zajištění kybernetické bezpečnosti Česka za roky 2015 až 2019. "Kontrola ukázala, že se podařilo splnit většinu z prověřovaných úkolů Akčního plánu k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020," uvedla mluvčí kontrolorů.

Kybernetická bezpečnost v ČR: stát má před sebou řadu výzev. Jejich podceňování může mít v budoucnu vážné dopady. Více informací zde: https://t.co/OVU1iA2EUf pic.twitter.com/zC2Tv6ZyMu

Výhrady má ale NKÚ k formě spolupráce institucí. "Spolupráce Národního úřadu pro kybernetickou a informační bezpečnost a ministerstva vnitra sice funguje a v nedávné době významně pomohla při řešení útoků na zdravotnická zařízení, je ale nastavena jen na neformální úrovni a probíhá ad hoc," oznámili kontroloři. Spolupráce mezi NÚKIB, vnitrem a dalšími státními orgány stojí podle NKÚ především na osobních vazbách. Také se podle kontrolorů nepodařilo dokončit automatizovanou platformu pro sdílení informací o kybernetických hrozbách a incidentech.

Spolupráce s NÚKIB je podle vnitra velmi dobrá a pomohla při řešení kyberútoků na nemocnice i dalších incidentů. "NÚKIB v takových případech například poskytuje metodickou podporu, která výrazně pomáhá při přijímání opatření. Stejně tak předávání informací ze strany NÚKIB na ministerstvo vnitra dosud probíhá naprosto bez problémů. Velmi dobře fungující spolupráci budeme v souladu se zjištěními NKÚ dále formalizovat," sdělil ČTK mluvčí vnitra Adam Rözler. "Na řadě oblastí, které NKÚ označil za problematické, už intenzivně pracujeme. Například kybernetická bezpečnost ve zdravotnictví patří aktuálně k našim prioritám a stejně tak posílení komunikace s partnery," uvedl pro ČTK mluvčí NÚKIB Jiří Táborský.

Chybí podle NKÚ i přesnější finanční plán. NÚKIB zaznamenal podle kontrolorů od roku 2017 do poloviny roku 2020 celkem 916 hlášení kybernetických incidentů, z toho téměř třetinu jen v první polovině letošního roku. "Tato situace ukazuje, že kybernetická bezpečnost v ČR bude vyžadovat odpovídající finance. Stát ale nemá přehled o tom, kolik peněz se na ni skutečně vynakládá. K dispozici jsou totiž pouze odhady od jednotlivých resortů," sdělila Gabrielová. "Složitost specifikace prostředků vynaložených na kyberbezpečnost je stejná u celé státní správy. Jednotlivé projekty totiž většinou nejsou zaměřeny pouze na kyberbezpečnost, ale řeší i další úpravy a nové služby," uvedl mluvčí vnitra.

Informace o výdajích na kybernetickou bezpečnost v Česku získává NÚKIB jen prostřednictvím dotazníků. Podle nich za roky 2015 až 2019 vydala ministerstva na tento účel 2,8 miliardy korun, ale potřebovala by další stovky milionů. Vnitro, jehož výdaje na kybernetickou bezpečnost dosáhly v daných letech přibližně 750 milionů korun, podle NKÚ odhadlo, že by k letošnímu roku potřebovalo dalších 309 milionů.

Kromě nedostatku financí se úřady při zabezpečování sítí potýkají s nedostatkem odborníků. "Do budoucna tak hrozí, že pokud se objeví několik incidentů současně, ministerstvo vnitra a NÚKIB nebudou mít dost kapacit, aby mohly pomoci i subjektům, které nespadají pod zákon o kybernetické bezpečnosti," uvedla mluvčí NKÚ. Dotklo by se to podle ní třeba části zdravotnických zařízení, která podle zákona nespadá do kritické infrastruktury státu. "Kontroloři proto NÚKIB doporučili, aby prověřil, jak jsou nastavena kritéria, která určují poskytovatele tzv. základních služeb ve zdravotnictví, a případně tato kritéria upravil," doplnila.