Národní úřad pro kybernetickou a informační bezpečnost vydal na základě zjištění z bezpečnostní komunity dne 16. dubna 2020 varování před hrozbou v oblasti kybernetické bezpečnosti spočívající v realizaci rozsáhlé kampaně závažných kybernetických útoků na informační a komunikační systémy v České republice, zejména pak na systémy zdravotnických zařízení. Tomuto varování se dostalo rozsáhlé mediální pozornosti, mimo jiné i proto, že následovalo krátce po dvou velmi vážných bezpečnostních incidentech ve FAkultní nemocnici v Brně a v Psychiatrické nemocnici v Kosmonosích u Mladé Boleslavi.

Dnes NÚKIB toto varování ukončil, dokument je možné najít na jeho stránkách. Je to ale dobrá zpráva? Jak se to vezme.

Velmi kvituji, že NÚKIB přímo v dokumentu uvádí, že ukončení platnosti varování neuznamená, že by pominulo nebezpečí kybernetických útoků, a že by tedy mohla (nebo snad dokonce měla) polevit ostražitost všech, kdo nad kybernetickou bezpečnostní zdravotnických, nebo jakýchkoliv jiných – zařízení a organizací bdí. V článku 7 nařízení NÚKIB přímo uvádí:

Úřad však upozorňuje, že přestože dochází k ukončení účinnosti varování, jsou hrozby spojené s kybernetickými útoky především na povinné osoby ze zákona o kybernetické bezpečnosti běžnou součástí kybernetického prostoru a nelze očekávat náhlé a dramatické snížení jejich výskytu. Ukončení účinnosti varování nesmí vést k navození dojmu, že tato hrozba již není vůbec relevantní nebo že nemůže nastat.

Ukončení účinnosti varování, čj. 2601/2020-NÚKIB-E/350

Teď je důležité, aby se i k manažerům a dalším odpovědným osobám dostala tato informace celá, včetně tohoto upozornění na nutnost i nadále věnovat kybernetické bezpečnosti náležitou pozornost. Zdravotnická zařízení (ale nedělám si iluze, že jen právě ona) mají v oblasti bezpečnosti obecně, a kybernetické/informační bezpečnosti obzvláště, historický dluh. I přes ukončení účinnosti varování NÚKIB je tak zásadní, aby na jeho postupném umazávání nadále pracovali nejen “bezpečáci”, ale celá organizace s managementem v čele. Jinak se totiž velmi snadno může stát, že i v době “po varování” může jejich organizace padnout za oběť dalšímu z kybernetických útoků, které se již staly ne výjimečnou událostí, ale běžnou realitou, se kterou se musíme naučit žít a být na ni pokud možno připraveni.