Cesta ke kybernetické bezpečnosti (bude ještě dlouhá)

Tak už se chystá další nový úřad. Už se ví, že bude sídlit v Brně, a měl by mít rozpočet kolem 60 milionů ročně. Ale zatím se ještě neví, jak přesně bude fungovat. Je to známo jen rámcově: bude pomáhat při ochraně před kybernetickými útoky. Mělo by se jednat o Národní centrum kybernetické bezpečnosti, jak ho pojmenovává vládní usnesení, které jeho vznik požaduje. Ale s jakými pravomocemi bude fungovat, co konkrétně si bude moci dovolit a co ne, či za co bude odpovídat, musí nejprve vymezit zákon (o kybernetické bezpečnosti). A ten musí teprve vzniknout.

To, že se takový zákon připravuje, je samo o sobě potřebným krokem vpřed. Protože dosud se o kybernetickou bezpečnost mělo starat ministerstvo vnitra - ale fakticky moc nestaralo. Sice rozjelo určité přípravné kroky, ale nebylo schopné je dotáhnout do zřízení orgánu, který by se systematicky staral o kybernetickou bezpečnost systémů, spadajících pod státní správu. Což mi vzhledem k elektronizaci stále většího počtu klíčových agend a jejich přesouvání na Internet (namátkou: datové schránky, CzechPointy, KIVS, nově základní registry) přijde více než na pováženou. A jako štěstí pak to, že se do takovýchto "terčů" dosud nikdo pořádně "nestrefil".

Ministerstvo vnitra se ale své "kyberneticko-bezpečnostní horké brambory" nedávno úspěšně zbavilo, když celou problematiku předalo Národnímu bezpečnostnímu úřadu (NBÚ). A ten dostal za úkol vybudovat nový úřad (ono Národní centrum), aktualizovat dosavadní Strategii pro oblast kybernetické bezpečnosti, a připravit věcný záměr zákona o kybernetické bezpečnosti, který by (mimo jiné) nastavil základní mantinely pro fungování nového úřadu i celého systému kybernetické bezpečnosti v ČR.

NBÚ záhy udělal první, a z mého pohledu velmi rozumný krok: svolal si zástupce většiny významných hráčů z veřejné i privátní sféry, a začal se ptát na jejich představy a názory. Jeho lidé ale moc neuměli kočírovat vzniklou diskusi, takže ta se brzy rozjela do ztracena. Ale i tak ukázala na několik nepříjemných problémů.

Třeba na to, že se začíná jakoby "na zelené louce". Jako kdyby dosud neexistovalo vůbec nic, na co by mělo smysl navázat - vůbec žádné zkušenosti a vůbec nikdo, kdo by se kybernetickou bezpečností dosud nějak zabýval. Také se začalo úplně od základů linkovat celé hřiště, neboli zvažovat, jak vlastně řešit bezpečnost systémů v působnosti veřejné správy a jak těch v soukromé sféře, i v čem a jak se mají lišit. Má vzniknout vládní CERT (Computer Emergency Response Team), sloužící veřejné správě a fungující podle striktnějších pravidel, zakotvených přímo v zákoně? A vedle něj národní CERT, pro soukromou sféru a nejširší veřejnost, fungující na konsensuálním základě? Tedy na bázi dobrovolné spolupráce? Nebo to koncipovat nějak jinak?

Dalším problém vidím v tom, že nový zákon začíná vznikat stylem "od právníků k praxi". Tedy že právníci nejprve něco připraví, a pak teprve se ptají na názor lidí z praxe, jejichž činnost by se tímto návrhem měla řídit. To už se párkrát vymstilo a ukázalo jako neschůdné. Jak to dopadne zde, se teprve ukáže.

Ale jedno výrazné pozitivum na celé věci vidím už dnes: snad všichni aktéři příprav nového zákona, včetně politiků, se velmi bojí toho, aby nebyli nařčeni z pokusů nějak regulovat Internet. To bychom jim rozhodně neměli vyvracet! Protože strach je asi to jediné, na co dnešní politici a "lidé u kormidla" opravdu dají