Ministr zahraničních věcí Lubomír Zaorálek dnes na mimořádné tiskové konferenci oznámil, že se jeho úřad stal terčem kybernetického útoku na emailovou poštu. K útoku došlo na přelomu roku.
„Útočníkům se podařilo dostat do jedné vrstvy emailové komunikace. Nedostali se však k vnitřnímu systému, který obsahuje informace klasifikované podle Zákona o utajovaných skutečnostech,“ uvedl Zaorálek.
Ministr podotkl, že ihned po zjištění útoku byl informován Národní bezpečnostní úřad, který má kybernetickou bezpečnost na starosti a byla sestavena speciální pracovní skupina, kterou vede NBÚ a Národní centrum pro boj s kybernetickou bezpečností. Podle Zaorálkova vyjádření kybernetičtí experti řekli, že útok vykazuje prvky vysoké sofistikovanosti a pravděpodobně byl podniknut ze zahraničí. „Řekli mi, že útok vykazuje podobné znaky, které byly zachyceny v USA při předvolebním útoku na emailové servery demokratické strany,“ dodal Zaorálek.
O podrobnostech útoku bude informovat na dalším zasedání vlády, aby si všichni ministři uvědomili, že kybernetická hrozba je velmi reálná. „Musíme zjistit, jestli nejsou pod útokem i další ministerstva a státní úřady.“
Útok byl veden na emailové schránky na zaměstnance MZV, včetně náměstků a samotného ministra Zaorálka. „Celkový rozsah útoku bych nerad specifikoval do doby, než budeme mít přesná čísla od expert ní komise, která se situací zabývá,“ dodal Zaorálek, který doplnil, že systém, v němž kolují utajované skutečnosti, je zcela oddělen od emailových serverů a proto nemohla být klasifikovaná data zcizena.
Chystají se přísnější pravidla pro provoz kybernetických sítí
Zpřísněním pravidel pro ochranu důležitých informačních systémů veřejné správy se zabývá novela Zákona o kybernetické bezpečnosti, která je částečně vynucena nařízením EU (Směrnicí NIS), které musí jednotlivé členské státy tzv. transponovat (implementovat) do národní legislativy. V tomto případě je za transpozici zodpovědný Národní bezpečnostní úřad (NBÚ).
V důvodové zprávě pro meziresortní připomínkové řízení je uvedeno, že nad rámec transpozice směrnice jsou v novele zahrnuty následující body:
– Regulace chemického průmyslu, který byl identifikován jakožto bílé místo kybernetické bezpečnosti ČR.
– Náležitosti smlouvy uzavírané mezi orgány a osobami uvedenými v § 3 písm. c) až g), které jsou orgány veřejné moci, s poskytovateli služeb cloud computingu. Smlouvy s dodavateli obecně totiž představují problematický aspekt při zajišťování kybernetické bezpečnosti, přičemž uvedený výčet má subjektům napomoci v dostatečném vymezení smluvních náležitostí.
– Možnost informovat veřejnost o probíhajícím incidentu byla rozšířena nad povinnosti stanovené směrnicí, a to pro provozovatele základní služby.
– Navýšení horních hranic pro uložení pokut.
“ Zcela mimo režim transpozice směrnice jsou pak zavedeny povinnosti pro některé skupiny subjektů podléhající zákonu o kybernetické bezpečnosti. Správci informačních a komunikačních systémů kritické informační infastruktury a správci významných informačních systémů budou mít nově uloženou informační povinnost vůči provozovatelům informačních systémů a vůči subjektům zajišťujícím přímé připojení uvedených informačních nebo komunikačních systémů do sítě elektronických komunikací,“ uvádí se v materiálu.
Navíc bude upraven také zákon o svobodném přístupu k informacím tak, že nebude možno sdělit např., který subjekt se stal obětí kybernetického útoku. „Informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti nebo účinnost opatření vydaného podle tohoto zákona, nebo informace, které jsou vedené v evidenci incidentů, ze kterých by bylo možné identifikovat orgán nebo osobu, která kybernetický bezpečnostní incident ohlásila, se podle předpisů upravujících svobodný přístup k informacím neposkytují,“ uvádí se v návrhu novely zákona o kybernetické bezpečnosti.
Podle informací NBÚ se novela bude týkat tzv. „provozovatelů základních služeb“, což je „služba, jejíž poskytování je závislé na sítích nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení činností v některém z těchto odvětví“:
| 1. Energetika | 5. Zdravotnictví |
| 2. Doprava | 6. Vodní hospodářství |
| 3. Bankovnictví | 7. Digitální infrastruktura |
| 4. Infrastruktura finančních trhů | 8. Chemický průmysl |
O tom, kteří konkrétní provozovatelé nemocnic, chemiček, vyhledávačů a dalších služeb, „spadnou“ pod novelu zákona o kybernetické bezpečnosti, rozhodne Národní bezpečnostní úřad. Kritéria hodnocení nastavuje s odborníky z daných oblastí. „Cílem je nastavit kritéria tak, aby regulace pokryla pouze systémy nezbytné pro zajištění služeb (ne fakturační, marketingové systémy ani např. bankomaty),“ uvádí mluvčí NBÚ Radek Holý.
Jiří Reichl
