Správci informačních systémů, které jsou klíčové pro fungování státu, budou muset zabezpečit své e-maily. Národní úřad pro kybernetickou a informační bezpečnost NÚKIB proto vypracoval sérii opatření, která musejí správci systémů zajistit. V tiskové zprávě to dnes uvedl mluvčí úřadu Jiří Táborský. Opatření se týká širokého spektra institucí, mezi které patří hlavně ministerstva, významné úřady a kraje včetně hlavního města Prahy.

„E-mail je z pochopitelných důvodů velmi rozšířený a v podstatě nezastupitelný, ale obecně nepatří k nejbezpečnější formě komunikace. Proto jsme vypracovali sérii opatření, která výrazně komplikují odposlouchávání této komunikace či její podvržení. Zavedení těchto opatření je pro většinu správců a provozovatelů systémů, které spadají pod náš zákon, povinné, ale samozřejmě je doporučujeme i těm, kteří pod naši regulaci nespadají, ale chtějí mít svou poštu v bezpečí,“ uvedl ředitel NÚKIB Karel Řehka.

Na dotaz ČTK uvedl, že opatření se netýká konkrétní hrozby, ale má obecně zvýšit bezpečnost elektronické pošty. Opatření se může dotknout i subjektů soukromého sektoru, u nichž by fungování elektronické pošty mohlo mít vliv na řádné poskytování jejich služeb.

Způsoby zabezpečení obsahuje text ochranného opatření, které NÚKIB vydal. Cílem je podle mluvčího hlavně zabezpečení komunikace mezi orgány veřejné moci navzájem, pro jejich komunikaci interní, případně mezi orgány veřejné moci a takzvanými povinnými osobami ze soukromého sektoru. Mluvčí uvedl, že kdyby opatření zavedla jen část subjektů, bude komunikace probíhat v neadekvátně zabezpečené podobě nebo bude náchylná na útoky, kdy je útočník mezi odesílatelem a příjemcem pošty a může ji cestou číst či měnit její obsah.

Na zavedení opatření mají úřady a firmy různě dlouhé lhůty. U státních orgánů závisí tyto lhůty i na tom, zda se budou podílet na českém předsednictví EU v příštím roce. Státní instituce budou muset některá opatření zavést k 1. lednu příštího roku, další k začátku předsednictví do 1. července 2022. Povinné osoby ze soukromého sektoru mají lhůtu až od prvního ledna 2023.

Mezi subjekty, kterých se opatření týká, patří například Nejvyšší státní zastupitelství či Úřad pro ochranu hospodářské soutěže (ÚOHS). „Pokud jde o elektronickou e-mailovou komunikaci v rámci Nejvyššího státního zastupitelství, činíme postupně všechny kroky potřebné k tomu, abychom do konce kalendářního roku 2021 splnili veškerá opatření Národního úřadu pro kybernetickou a informační bezpečnosti (NÚKIB), která jsou kladena na významné informační systémy. Předpokládáme, že požadavky uvedené v dnešním ochranném opatření NÚKIB naplníme v předepsaných termínech,“ odpověděl dnes na dotaz ČTK mluvčí zastupitelství Petr Malý.

„Musím nejprve předeslat, že opatření NÚKIB o rozsahu několika desítek stran jsme obdrželi teprve dnes před polednem a nemáme je podrobně prostudované. S touto výhradou můžeme říci, že velkou část opatření již máme implementovánu, zavádění zbývajících náš IT tým poměrně výrazně zatíží díky personálnímu podstavu, nicméně stanovený termín určitě dodržíme, jako vždy když jde o problematiku kybernetické bezpečnosti,“ napsal ČTK mluvčí ÚOHS Martin Švanda.

Požadavky na zabezpečení nyní řeší i Krajský úřad Jihomoravského kraje. „Systémy krajského úřadu už nyní část požadavků splňují. První část je potřeba zavést nejpozději do 1. ledna 2022, druhou část nejpozději do 1. července 2022. V daném čase je podle nás reálné provést úpravy dle požadavků. Problém však zřejmě mohou mít některé organizace, které sice nespadají pod zákon o kybernetické bezpečnosti, ale komunikují s krajským úřadem,“ uvedla Markéta Chumchalová z tiskového oddělení úřadu.

Brno 11. října (ČTK)