Ve středu 19. července 2023 schválila vláda České republiky „Zprávu o stavu kybernetické bezpečnosti České republiky za rok 2022“[1]. Z dokumentu, který připravil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), vyplývá, že ačkoli došlo v České republice k mírnému meziročnímu snížení celkového počtu kybernetických incidentů evidovaných NÚKIB, Policie ČR evidovala za stejné období téměř dvojnásobný nárůst kyberkriminálních aktivit. Dvojnásobný nárůst byl zaznamenán také v počtu kybernetických incidentů v rámci kritické informační infrastruktury, přičemž většinu z nich tvořily útoky na dostupnost služeb. Největší hrozbou pro českou kybernetickou bezpečnost jsou i nadále aktivity státem sponzorovaných kybernetických aktérů a činnost kyberkriminálních skupin. Zásadním počinem směřujícím ke zvýšení bezpečnosti České republiky bylo v minulém roce zahájení příprav návrhu nového zákona o kybernetické bezpečnosti, jehož součástí je mj. kyberbezpečnostní směrnice EU, tzv. NIS 2 a který se zabývá také bezpečností dodavatelského řetězce informačních a komunikačních technologií do strategicky významné infrastruktury. Účinnost nového zákona o kybernetické bezpečnosti se předpokládá v druhé polovině roku 2024.
Ze statistických dat zprávy vyplývá, že ačkoli došlo v České republice k výše zmíněnému meziročnímu mírnému poklesu celkového počtu kybernetických incidentů evidovaných NÚKIB ze 157 v roce 2021 na 146 za rok 2022, Policie ČR evidovala za totéž období nárůst kyberkriminálních aktivit na více než 18 tisíc trestných činů v dané oblasti. Z dalších dat ve zprávě lze vyčíst, že nejvíce kybernetických incidentů zaznamenal veřejný sektor, následovalo zdravotnictví a soukromý sektor. Nejčastější typy útoků představovaly v uplynulém roce různé druhy phishingu, spear-phishingu, vishingu a podvodných e-mailů či útoky na dostupnost (převážně formou DDoS útoků). Nejvíce incidentů bylo v loňském roce evidováno v dubnu a říjnu, na čemž se v obou případech významně podílely právě DDoS útoky. „Za jejich nárůst byly zodpovědné zejména ruskojazyčné hackerské skupiny. NÚKIB v roce 2022 vydal celkem 16 upozornění a 3 varování související s aktuální hrozbou či zranitelností, přičemž část varování přímo souvisela s riziky plynoucími z ruské invaze na Ukrajinu. Stejně tak s ruskou agresí na Ukrajině přímo souviselo i několik incidentů evidovaných NÚKIB. Je navíc téměř jisté, že tento konflikt bude ovlivňovat český kyberprostor i nadále,“ sdělil ředitel NÚKIB Lukáš Kintr.
Zpráva dále uvádí, že NÚKIB nově zaznamenal nárůst incidentů v sektoru dopravy. Zatímco v předchozích letech se pohybovaly pouze v řádu jednotek, v roce 2022 už jich bylo 14. Druhým rokem pak dochází k poklesu zaznamenaného počtu kybernetických incidentů kvalifikovaných jako velmi významné. Oproti tomu však došlo k nárůstu počtu významných incidentů. Pozitivním trendem, který započal již v roce 2021, je rostoucí počet organizací, které navyšují své rozpočty v oblasti zajišťování kybernetické bezpečnosti. Finance a nedostatek odborníků na trhu však přetrvávají jako jeden z hlavních problémů a výzev pro české instituce a organizace.
Významným krokem z pohledu kybernetické bezpečnosti naší země v roce 2022 bylo výše zmíněné zahájení příprav návrhu nového zákona o kybernetické bezpečnosti, který je důležitým pilířem pro zachování bezpečného českého kyberprostoru a jehož účinnost se předpokládá od října roku 2024. Nový zákon z pohledu kybernetické bezpečnosti obsahuje vše, co Česká republika nutně potřebuje. Je reakcí na dynamický vývoj v bezpečnostním prostředí a reflektuje praktické zkušenosti z téměř desetileté práce s aktuálním zákonem o kybernetické bezpečnosti. Zabývá se i dosud chybějícím mechanismem prověřování bezpečnosti dodavatelského řetězce u pro stát nejkritičtější infrastruktury. V neposlední řadě s tím úzce souvisí také nová evropská kyberbezpečnostní směrnice NIS 2, která je součástí připravované legislativy. Finální znění směrnice NIS 2 bylo přijato během českého předsednictví v Radě Evropské unie. Právě zmíněné předsednictví a povinnosti s tím spojené byly jednou ze stěžejních náplní činnosti nejen NÚKIB ve druhé polovině roku 2022. „Těší mě, že za šest měsíců pod naším vedením dosáhla EU v oblasti kybernetické bezpečnosti opravdu velikého posunu. Jsem rád, že jednotlivé české instituce prokázaly, že i během takto náročného období dokážou pracovat týmově. Nejen z pohledu kybernetické bezpečnosti mohu říci, že jsem hrdý na to, jak se Česká republika prezentovala a čeho všeho dosáhla,“ konstatoval ředitel Kintr.
Přestože značná část loňské agendy NÚKIB spočívala v podílení se na přípravách a realizaci českého předsednictví v Radě Evropské unie, pracoval úřad intenzivně i na dalším rozvoji spolupráce s partnery v rámci EU a NATO. Stejně intenzivní zůstala v loňském roce také osvětová činnost úřadu a jeho organizace kybernetických cvičení (7 tuzemských a 3 mezinárodní) s cílem zvýšit povědomí o současných kybernetických hrozbách a vytvářet podmínky pro vzdělávání budoucích expertů v oblasti kybernetické bezpečnosti. „Zúčastnili jsme se řady domácích a zahraničních akcí, organizovali jsme cvičení, školení, semináře či konference a soustavně pracovali na osvětě a vzdělávání veřejnosti i našich zaměstnanců. Volně dostupnými kurzy na našem vzdělávacím portálu osveta.nukib.cz prošlo více než 51 tisíc uživatelů. Cílem všech našich aktivit je vytvořit z České republiky bezpečnější místo pro život,“ uzavřel ředitel NÚKIB Lukáš Kintr.
Celý dokument naleznete zde: https://nukib.gov.cz/download/publikace/zpravy_o_stavu/Zprava_o_stavu_kyberneticke_bezpecnosti_CR_za_rok_2022.pdf
[1] Zpráva o stavu kybernetické bezpečnosti České republiky je hlavním dokumentem, který shrnuje dění v oblasti kybernetické bezpečnosti v zemi v uplynulém roce. Hlavním autorem je NÚKIB, který na začátku roku 2023 rozeslal dotazník se 77 otázkami, a to jak subjektům regulovaným zákonem o kybernetické bezpečnosti, tak i řadě dalších klíčových institucí a organizací, které zákonem o kybernetické bezpečnosti regulovány nejsou. Otázky se týkaly širokého záběru témat, například kybernetických útoků, nákladů na kybernetickou bezpečnost, personálních kapacit v oblasti kybernetické bezpečnosti, uživatelů, technologií i zavedených procesů. Dotazník vyplnilo celkem 317 subjektů, z toho 236 regulovaných a 81 neregulovaných. Ze získaných dat NÚKIB čerpal informace pro potřeby Zprávy o stavu kybernetické bezpečnosti České republiky za rok 2022 (dále také jen „Zpráva“). Veškeré údaje z dotazníků jsou anonymizovány.