Ve čtvrtek došlo ke zdánlivě nepříliš významné události, kdy byli zákazníci UPC odpojeni od některých webů, například serveru Lupa.cz (viz. např. http://www.lupa.cz/clanky/proc-nebyla-lupa-vcera-dostupna-ze-site-upc/)

Na první pohled to může vypadat, že se to týkalo jen několika stránek, faktem však je, že tato událost má fatální význam pro kybernetickou bezpečnost. Je totiž důkazem naší závislosti. A to nejen na úrovni běžných uživatelů, ale hlavně na úrovni státu a provozovatelů prvků takzvané kritické infrastruktury (energetika, zdravotnictví apod.).

Státní instituce, které nějakým způsobem (např. připojením vzdálených pracovišť k "centrále") využívají spojení přes UPC a jejich partnery se dostaly do situace, kdy se také staly "rukojmím" v obchodním sporu. Zcela určitě jde o vážnou hrozbu z pohledu kybernetické bezpečnosti a já osobně to vnímám jako významný precedens toho, jak zdánlivě šířeji nesouvisející a banální událost ovlivní život celé společnosti.

Lze vymyslet celou řadu scénářů, do jakých důsledků může běžný obchodní spor vést a jak mohou být nevinní zákazníci postiženi. Z pohledu veřejné správy a provozovatelů prvků kritické infrastruktury mohou být důsledky až katastrofální.

Elektronizaci a informatizaci našeho života nejde zabránit, ale s jejím překotným růstem musí jít ruku v ruce zajištění bezpečnosti informačních a komunikačních systémů. Výše uvedená událost může významně zasáhnout do vztahu občan-stát. Je celá řada institucí, které od občanů, firem vyžadují plnění mnohdy i zákonných oznamovacích povinností. V pevně stanovených termínech a s povinným obsahem a také pod hrozbou správního řízení, event. pokuty při nedodržení těchto povinností. Ale když nefunguje komunikace z důvodu nějakého banálního sporu mezi dvěma poskytovateli? Škody mohou být nedozírné. V případě ohrožení nějakého prvku kritické infrastruktury tyto škody mohou být i výrazně hmatatelné - na životech, zdraví, kulturním dědictví, majetku.

Musíme si uvědomit, že informační a komunikační systémy jsou samy prvkem kritické infrastruktury, ale také i spojnicí mezi ostatními prvky kritické infrastruktury a také důležitým prvkem, ovlivňujícím řešení krizových situací, například komunikace v rámci integrovaného záchranného systému. V řadě zemí byl zaveden pojem kritická informační a komunikační infrastruktura. Nastal čas, aby i Česká republika takovouto definici měla.

Tato událost také potvrzuje význam ve Strategii kybernetické bezpečnosti ČR uvedené nutnosti dodržování bezpečnostních standardů a jejho vymáhání. A to u všech poskytovatelů takovýchto služeb, i u těch nejmenších. Z pohledu informačních a komunikačních systémů veřejné správy se nabízí otázka, jestli se při privatizaci těchto systémů někdo ptal ne bezpečnostní rizika nebo jestli šlo jen o cenu. Možná nastal čas zamyslet se nad možností provozování vlastní sítě veřejné správy. Riziko je příliš vysoké a jak se píše v jedné knize "Času je málo a voda stoupá".

Související