V loňském roce jsem se v jednom z předchozích blogů zmínil, že zákon o kybernetické bezpečnosti tak, jak je navrhován nestačí a problémy současného prostředí ICT nevyřeší. Když pozoruji úsilí okolo tohoto zákona, tak existuje reálné riziko, že by zákon a navazující vyhlášky mohli zůstat na mnoho dalších let jediným příspěvkem vlády, poslanců a senátorů k řešení počítačové bezpečnosti. „Máte zákon, tak už konečně udělejte v počítačích a Internetu pořádek“ to by mohl být názor běžného uživatele po přijetí zákona o kybernetické bezpečnosti.
Pokud by zákon v současné podobě měl být opravdu na delší dobu jediným příspěvkem k řešení počítačové bezpečnosti, tak by bylo lepší přidat ustanovení o ICT do zákonů zaměřených na krizové řízení.
Pokud by po zákonu a s ním spojených vyhláškách nenásledovaly další kroky, tak se všechny s ním spojené aktivity minou účinkem a počítačová bezpečnost se bude dalších několik let točit v začarovaném kruhu.
Stačí si letmo přečíst návrh zákona o kybernetické bezpečnosti a najdete v něm postupy velmi podobné s činností hygienické služby nebo dalším kontrolním orgánů. Pokud se má situace v prostředí počítačů, Internetu, ale i průmyslových systémů skutečně změnit, tak bude potřeba udělat více než pouze schválit a uvést do života navrhovaný zákon a s ním spojené vyhlášky. To je třeba si uvědomit již teď, když návrh zákona prošel v poslanecké sněmovně prvním čtením.
V případě potravin, dětských hraček a v dalších oborech se za desítky let vytvořila jasná pravidla a podmínky, které musí plnit výrobci, distributoři a co musí znát a dodržovat zákazníci. Stejně tak v těchto oborech existují národní i mezinárodní kontrolní orgány. To znamená, že například koňské maso v salámech je odhaleno a má z toho problém distributor a producent.
V prostředí počítačů taková pravidla neexistují. Přesněji, v posledních 10-15 letech se prosazoval názor, že uživatel si má zabezpečit svůj počítač. Nikdo jim, ale neukázal jak to mají udělat v době, kdy se objevují stále sofistikovanější počítačové viry. Někteří „odborníci“ tvrdili, že si uživatelé do svých počítačů, tabletů nebo mobilů nainstalují cokoliv. Možná to skutečně někteří dělají, ale nikdo ze zmíněných „odborníků“ neukázal uživatelům jak mají poznat důvěryhodný instalační soubor od toho, který upravili počítačoví podvodníci. Další absurditou je, že počítačové programy jsou dodnes posuzovány jako umělecká díla a jejich tvůrci za nic neručí. Tyto tři názory prosadili zástupci velkých SW firem a jejich spolupracovníci a doplácejí na to všichni uživatelé. Změnit tento názor nebude jednoduché, ale musí se to udělat a tato změna v postojích k ICT bude důležitější než zákon o kybernetické bezpečnosti. Na změnách by vydělali všichni a přispělo by to i k dalšímu rozvoji ICT v soukromé sféře i ve státním sektoru. Odhodlání k prvním krokům nebude jednoduché, vždyť zkušenosti není možné nikde opsat a nejsou obsažené ani v současném návrhu zákona o kybernetické bezpečnosti. Ani nastavování pravidel v potravinářství nebo při výrobě dětských hraček nebylo jednoduché a dodnes dochází k jednotlivím excesům, ale systém na národních i mezinárodní úrovni funguje a neustále se zdokonaluje. V těchto souvislostech je vidět, že navrhovaný zákon o kybernetické bezpečnosti je pouze jedna část celého systému, který je třeba uvést do praxe.
Počítače, Internet a programové aplikace ovlivňují dnes životy všech lidí. Bez jasných pravidel a zodpovědností se neobejdeme. Druhou možností je zůstat u současných zvyklostí, operační systémy posuzovat jako umělecké dílo a kritizovat uživatele, že si nedokáží uhlídat své počítače. Situace není jednoduchá. Bezpečnost ICT se již mnoho let točí v kruhu a uživatelé čekají na změnu.
Co tedy udělat se zákonem?
Zákon o kybernetické bezpečnosti nevyřeší vše co je spojené s počítačovou bezpečností. Je to jeden z důležitých kroků, který by ale neměl zůstat osamocený. Jinak se celá iniciativa mine účinkem.
