Přinese nový prezident Spojeným státům bezpečnější kyberprostor?

Vydáno 04.09.2012
V souvislosti se zaváděním ICT systémů do státní správy po celém světě se stále více dostává do centra pozornosti kybernetická bezpečnost. Internet a na něj napojené počítače, systémy, vnitřní sítě, to všechno tvoří kybernetický prostor. Rozsáhlé využívání kybernetického prostoru a moderních technologií zefektivnilo procesy od obsluhy klientů přes CRM systémy, odevzdávání daňových přiznání až po řízení letového provozu a rozvod elektrické energie.  

Na elektronických systémech je závislá americká armáda i ekonomika (ilustrační foto) | foto: Americké ministerstvo obrany

 Ve státní sféře v posledních letech tento přechod ještě uspíšila ekonomická krize a tlak na úspory v rozpočtech. Moderní technologie se tak dostaly i do kritické infrastruktury. Nicméně tato modernizace má i svou stinnou stránku, a tou je postupné vytváření závislosti na kybernetickém prostoru, respektive na konkrétních systémech. A tato závislost se bez adekvátních opatření může stát velkým bezpečnostním rizikem.

Úspory hybatelem pokroku

"Ve státní sféře v posledních letech tento přechod ještě uspíšila ekonomická krize a tlak na úspory v rozpočtech. Moderní technologie se tak dostaly i do kritické infrastruktury."

Barack Obama i Mitt Romney shodně prohlašují, že je třeba zvýšit úroveň kybernetické bezpečnosti Spojených států, a to co nejrychleji. Romney sice uznává, že současný prezident udělal první kroky pro zlepšení, ale zároveň kritizuje současnou administrativu za neschopnost plánované změny uskutečnit, například zrealizovat závěry z Národní strategie pro kybernetickou bezpečnost z roku 2003. Sám považuje kybernetickou bezpečnost za natolik důležitou, že toto téma zařadil jako osmé na seznam úkolů pro prvních sto dní, pokud by zvítězil ve volbách. Za první krok pro zajištění lepší kybernetické bezpečnosti považuje Romney formulování jednotné strategie napříč ministerstvy pro obranu, vnitřní bezpečnost, finance, obchod a bezpečnostní služby. Tato strategie by měla navazovat na zmiňovanou Národní strategii z roku 2003. Romney by rovněž chtěl zvýšit pravomoci NSA v této oblasti oproti současnému stavu, kdy je vliv bezpečnostních služeb a armády víceméně vyrovnaný.

Obama označil kybernetickou bezpečnost za jednu z největších hrozeb 21. století, se kterou se musí Spojené státy vypořádat. Poukazuje na strategie vypracované za jeho působení a deklaruje odhodlání na ně navázat. Jako důkaz uvádí právě projednávaný legislativní návrh označovaný jako Zákon o kybernetické bezpečnosti (Cybersecurity Act). Zákon zavádí definici systémů, které je možné označit za kritické. Tyto systémy by musely splňovat definované bezpečnostní standardy a podléhaly by kontrole nově zřízeného Národního centra pro kybernetickou bezpečnost a komunikaci a Ministerstva pro vnitřní bezpečnost. Zákon zpřísňuje podmínky pro nákup a správu vybavení a softwaru pro kritickou infrastrukturu a kritické systémy. Nicméně tento zákon je kritizován jak opozicí, tak zástupci soukromých společností, protože v něm vidí nejčastěji nástroj regulace soukromých společností nebo nepřípustné zasahování do soukromí v podobě monitorování kybernetického prostoru.

Je kybernetická bezpečnost ve Spojených státech opravdu tak palčivým problémem, že se objevuje jako jedno z témat prezidentských voleb vedle vojenských misí v zahraničí a ekonomické krize, nebo se jedná jen o politickou hru? Vzhledem k vysoké závislosti státních institucí ve Spojených státech na kybernetickém prostoru, která vznikla jako vedlejší produkt hromadného zavádění nových systémů do kritické infrastruktury v kombinaci s nízkými standardy kybernetické bezpečnosti, je stávající úroveň kybernetické bezpečnosti ve Spojených státech vážným bezpečnostním rizikem. O vážnosti situace svědčí i dramatický nárůst počtu kybernetických útoků.

Například vládní stránky jsou cílem 60 miliónů útoků denně. Národní centrum pro nukleární bezpečnost uvádí až 10 miliónů útoků na počítačové sítě za den. Ačkoliv pouze nepatrný zlomek představuje reálné ohrožení kybernetické bezpečnosti, jedná se o vážný problém nejen ve státním, ale i v soukromém sektoru. Odborníci odhadují, že v případě soukromých společností mohou škody z kybernetických útoků provádějících průmyslovou špionáž dosahovat až 250 miliard dolarů ročně. Na místě je proto otázka, jak je zajištěna obrana kybernetického prostoru.

Armádní kybernetické jednotky se soustředí na kybernetické útoky a na bezpečnost vlastních armádních systémů. Zajištění kybernetické bezpečnosti zastřešuje Ministerstvo pro vnitřní bezpečnost, které se věnuje především zajištění bezpečnosti takzvané "dot gov", tedy vládních systémů, serverů a webových stránek. Zbylá část státního sektoru je odkázána na federální nebo národní obecné bezpečnostní standardy. V případě soukromého sektoru často neexistují záložní systémy nebo alternativní řešení kvůli nákladům, které představují. Z pohledu velké většiny společností je pravděpodobnost úplného výpadku systému natolik nízká, že neodpovídá nákladům na úplnou eliminaci tohoto rizika. Klíčový problém tedy představují systémy, které tvoří kritickou infrastrukturu, ale jsou ve správě soukromých společností. Dobrovolné zvýšení bezpečnostních standardů je vzhledem k nákladům nepravděpodobné. Jinou možnost představuje zavedení přísných standardů, nicméně tato regulace je pro zástupce společností jako je Microsoft, Cisco, IBM nebo Oracle jen velmi těžko přijatelná.

USA mají problém

"Americké vládní stránky jsou cílem 60 miliónů útoků denně. Národní centrum pro nukleární bezpečnost uvádí až 10 miliónů útoků na počítačové sítě za den. Ačkoliv pouze nepatrný zlomek představuje reálné ohrožení kybernetické bezpečnosti, jedná se o vážný problém nejen ve státním, ale i v soukromém sektoru."

Z hlediska mezinárodní spolupráce, která je pro kybernetickou obranu klíčová, se Spojené státy spoléhají na tradiční partnery. Velmi úzce spolupracují s Velkou Británií a s Japonskem. Hlavní styčný bod pro spolupráci s dalšími evropskými státy představuje NATO, respektive specializované Centrum pro spolupráci v oblasti kybernetické obrany (NATO CCD COE). Toto středisko představuje vedle vládní sítě dedikovaných pracovišť (CERT) a poradního centra NATO (NC3A) hlavní kooperační platformu pro státy Evropské unie. Spojené státy rovněž aktivně jednají o spolupráci v této oblasti s Čínou a s Ruskem, ale zatím bez zásadních výsledků.

Přečtěte si související text na natoaktual.cz:

Otázkou tak zůstává, zda po prezidentských volbách budou kandidáti i nadále tak odhodláni při reálném prosazování politiky zvyšování kybernetické bezpečnosti i navzdory významným společnostem, které mnohdy finančně podporovaly jejich volební kampaň.

Není snadné uvést, jaké finanční částky světové mocnosti vynakládají na kybernetickou ochranu. U zemí jako Čína nebo Rusko prakticky neexistují oficiální informace o výši těchto nákladů a v případě zemí jako je USA je zase nutné rozlišovat výdaje na útočný potenciál, výdaje na řešení kybernetického zločinu a konečně samotné výdaje na zajištění ochrany kritických systémů. USA na rok 2013 do rozpočtu plánují na rok 2013 do rozpočtu plánují na zabezpečení systémů a infrastruktury částku mezi cca 750 milionů a 1 miliardou USD.

Ačkoliv míra zapojení moderních systémů do kritické infrastruktury v České republice je podstatně nižší než ve Spojených státech, je otázka kybernetické bezpečnosti aktuální i pro nás.

Ochranu kybernetického prostoru má na starosti Národní bezpečností úřad, který tuto úlohu převzal od Ministerstva vnitra v loňském roce. Operativní řešení možných problémů zajišťuje vládní CERT pracoviště (GOVCERT.CZ) zřízené Ministerstvem vnitra a CSIRT.CZ. V souladu s Bezpečnostní strategií České republiky byl vládou schválen věcný záměr zákona o kybernetické bezpečnosti, který má napravit nedostatečný právní základ pro efektivní zajištění ochrany kritických systémů a infrastruktury. Rozhodující ale bude, zda se pro konečnou realizaci najdou ve státním rozpočtu prostředky, protože například činnost CSIRT.CZ zajišťují čtyři externí pracovníci, a to ještě ne na plný úvazek.

Tomáš Rezek
autor působí v Asociaci pro mezinárodní otázky (AMO)

natoaktual.cz