„Kybernetická bezpečnost v posledním desetiletí získala na významu a stala se tak jednou z hlavních priorit v mnoha národních politikách. Je tomu zejména díky přesahu do jiných bezpečnostních sfér a taktéž díky incidentům, které tento pojem nechvalně proslavily a přiměly i širokou veřejnost přemýšlet o potřebě zabezpečení v kyberprostoru. S tím souvisí potřeba chránit kyberprostor tak, aby v nejvyšší možné míře byla zachována komplexní bezpečnost České republiky a zároveň práva jedinců na informační sebeurčení.“[1]

Vymezení pojmu kybernetická bezpečnost může být do určité míry problematické. Pro řadu lidí představuje kybernetická bezpečnost oblast, kterou se zabývají de facto výhradně oddělení informačních a komunikačních technologií.

Tato premisa je od počátku chybná, neboť kybernetická bezpečnost se týká každého z nás, kdo využívá jakékoliv prvky ICT ve svém každodenním životě. Pokud si sami neuvědomíme, že jsme klíčovým, a v mnoha případech stěžejním prvkem kybernetické bezpečnosti (ať už ve svém soukromí či v práci), tak vlastně zvyšujeme pravděpodobnost úspěchu kybernetických útoků.

Kybernetickou bezpečnost nelze v současné době ani podceňovat ani bagatelizovat. Je to oblast, která je pro řadu organizací, ale i jedinců samotných klíčová, a proto by měla být řešena dlouhodobě a systematicky.

„Management organizací by měl pochopit a akceptovat, že řízení kybernetické bezpečnosti spadá mnohem více k dalším oblastem bezpečnosti a krizového managementu. Vždyť i dnešní sofistikované útoky jsou často multidisciplinární a kombinují v sobě oblasti ICT, sociálního inženýrství, personální a objektové bezpečnosti.“[2]

Vrátíme-li se k vlastnímu pojmu kybernetická bezpečnost, je vhodné vyjít z rozboru tohoto sousloví. Slovo kyber reprezentuje provázanost s prvky informačních a komunikačních technologií a kyberprostorem jako takovým.

Bezpečnost

Definic pojmu bezpečnost (security)[3] existuje celá řada, avšak neexistuje žádná jednotná, obecně akceptovaná definice. Většina definic pojmu bezpečnost je uváděna spíše v odborné literatuře, než v legislativě samotné.[4]

Mareš definuje bezpečnost jako „stav, kdy jsou na nejnižší možnou míru limitovány hrozby pro objekt (zpravidla národní stát, popř. i mezinárodní organizace) a jeho zájmy a tento objekt je k eliminaci stávajících i potenciálních hrozeb efektivně vybaven a ochoten při ní spolupracovat.“[5]

Požár definuje „bezpečnost jako vlastnost nějakého objektu nebo subjektu, která určuje stupeň, míru jeho ochrany proti možným škodám a hrozbám.“[6]

Tato definice pak byla dále upřesněna ve Výkladovém slovníku kybernetické bezpečnosti:

Bezpečnost (Security)

Vlastnost prvku (např. informační systém), který je na určité úrovni chráněn proti ztrátám, nebo také stav ochrany (na určité úrovni) proti ztrátám. Bezpečnost IT zahrnuje ochranu důvěrnosti, integrity a dosažitelnosti při zpracování, úschově, distribuci a prezentaci informací.[7]

Je třeba si uvědomit, že bezpečnost není v současné době jen otázkou státu, který však v oblasti zajištění bezpečnosti stále hraje primární roli, ale že jde o proces realizovaný i jinými subjekty (právnické a fyzické osoby), které byly v poslední době nuceny se stále více zabývat právě otázkou bezpečnosti, respektive zabezpečení svých aktivit před útoky.

Díky tomuto rozšiřování okruhu bezpečnosti, je nezbytné se zabývat mimo jiné následujícími otázkami:

• O čí bezpečnost se jedná (mezinárodní organizace, stát, organizace, jednotlivec aj.)?
• Jaké hodnoty jsou chráněny (organizace, osoby, data aj.)?
• Před čím jsou (mají být) tyto hodnoty chráněny (fyzické, kybernetické, kombinované útoky aj.)?
• Jaké prostředky je třeba vynaložit k ochraně těchto hodnot? [8]

Ideálním cílem bezpečnosti je vytvoření stavu „absolutního bezpečí“. Tento stav je ale utopií, protože jej není možné reálně dosáhnout,[9] neboť vždy bude existovat hrozba či riziko, které nebylo do konceptu tvorby bezpečnosti zahrnuto, nebo bylo záměrně opomenuto.

Smyslem bezpečnosti však není za všech okolností postihnout všechna reálná, méně reálná či zcela nepředpokládatelná a nepravděpodobná rizika, neboť by takovouto implementací vznikl zcela nefunkční moloch, který by ve své podstatě aplikaci a implementaci bezpečnosti popíral, nebo i zcela eliminoval.

Příklad: Také se vám v běžném životě stane, že si například zabouchnete klíče uvnitř bytu. Pokud jste s touto variantou počítali, máte nejspíš náhradní klíče u rodiny, známých, či jinde. Pokud však nemáte náhradní klíče, zavoláte zřejmě zámečníka, nebo vyrazíte dveře.

Kybernetická bezpečnost

Stejně jako u pojmu bezpečnost, ani kybernetická bezpečnost nemá jednotnou obecně uznávanou definici. Kybernetická bezpečnost představuje podmnožinu bezpečnosti jako takové.

Při vlastním definování kybernetické bezpečnosti je vhodné vycházet z již ustálených definic. Uvedu několik takto ustálených definic:

1.          Kybernetická bezpečnost představuje soubor opatření, která jsou přijata, aby byl ochráněn počítačový systém před neoprávněným přístupem či útokem.[10]

2.          Oxford dictionary uvádí, že kybernetická bezpečnost představuje stav, kdy dochází k ochraně před kriminálním či neautorizovaným užitím elektronických dat. Do kybernetické bezpečnosti je pak třeba zahrnout i opatření, která je třeba přijmout k dosažení tohoto stavu.[11]

3.          Dle Jiráska a kol. představuje kybernetická bezpečnost (Cyber Security) „souhrn právních, organizačních, technických a vzdělávacích prostředků směřujících k zajištění ochrany kybernetického prostoru.“[12]

4.          Relativně obdobně je kybernetická bezpečnost definována i v Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020. V této strategii je uvedeno, že: „Kybernetická bezpečnost představuje souhrn organizačních, politických, právních, technických a vzdělávacích opatření a nástrojů směřujících k zajištění zabezpečeného, chráněného a odolného kyberprostoru v České republice, a to jak pro subjekty veřejného a soukromého sektoru, tak pro širokou českou veřejnost.“ [13]

Tyto definice se sice snaží vymezit pojem kybernetické bezpečnosti, ale dopouští se určitých nepřesností.

První definice se zaměřuje jen na počítač a počítačový systém a jejich ochranu před dvěma typy kybernetických útoků, přičemž spektrum jak cílů útoků, tak především útoků samotných je značně rozmanitější.[14]

Druhá definice pak chrání pouze elektronická data, a ne počítačové systémy jako takové.

Třetí definice se zaměřuje na přijetí prostředků, které mají sloužit k ochraně prvků ICT v rámci kyberprostoru. Tato definice je relativně přesná, avšak její omezení pouze na kyberprostor může být zavádějící, neboť kybernetickou bezpečnost lze aplikovat i na prvky ICT, které nejsou zapojeny do kyberprostoru, či si vytváří svůj vlastní „off-line kyberprostor“.[15]

Poslední z definic se pak explicitně omezuje pouze na kyberprostor v České republice, přičemž zcela pomíjí možnost ochrany zájmů občanů ČR či dalších subjektů, kteří nejsou usídleni v ČR. Domníváme se, že zúžení kybernetické bezpečnosti pouze na kyberprostor ČR je sice z pohledu implementace zákona o kybernetické bezpečnosti pochopitelné, avšak z pohledu implementace kybernetické bezpečnosti nevhodné.

Další definici kybernetické bezpečnosti je možné nalézt například v dokumentu Definition of Cybersecurity - Gaps and overlaps in standardisation[16] Evropské agentury ENISA[17]: „Kyberbezpečnost se vztahuje na bezpečnost kyberprostoru, kde samotný kybernetický prostor odkazuje na soubor vazeb a vztahů mezi objekty, které jsou přístupné prostřednictvím všeobecné telekomunikační sítě, a na samotnou sadu objektů, jejichž rozhraní umožňující jejich dálkové ovládání, vzdálený přístup k datům, anebo jejich zapojení do řídících akcí v rámci kyberprostoru. Kyberbezpečnost bude zahrnovat paradigma ‚CIA‘ triády pro vztahy a objekty v rámci kyberprostoru a zároveň bude toto paradigma rozšiřováno z důvodu zajištění ochrany soukromí subjektů (fyzických a právnických osob) a odolnosti [‚zotavení se‘ (recovery) z útoku].“

Vzhledem ke snaze o definování pojmu kybernetické bezpečnosti je vhodné vycházet i z právních norem, které se kybernetické bezpečnosti věnují.

Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii[18] v čl. 4 odst. 2 uvádí, že „bezpečnost sítí a informačních systémů představuje schopnost těchto sítí a informačních systémů odolávat s určitou spolehlivostí veškerým zásahům, které narušují dostupnost, autenticitu, integritu nebo důvěrnost uchovávaných, předávaných nebo zpracovávaných dat nebo souvisejících služeb, které tyto sítě a informační systémy nabízejí nebo které jsou jejich prostřednictvím přístupné.“

Výše uvedené definice se různými způsoby snaží vymezit okruh vztahů, zájmů a subjektů, vůči kterým dochází k uplatňování kybernetické bezpečnosti. Současně je v nich vymezován i kyberprostor, jakožto prostředí, ve kterém je kybernetická bezpečnost aplikována.

Díky určité nejednotnosti v názorech na to, co vše je a co není kybernetická bezpečnost, je vhodné představit vlastní definici kybernetické bezpečnosti, která vznikla jak na základě analýzy definic předchozích, tak na základě vlastních zkušeností.

Kybernetickou bezpečnost je možné vymezit jako:

§  souhrn právních, organizačních, technických a vzdělávacích prostředků, které směřují k zajištění ochrany počítačových systémů a dalších prvků ICT, aplikací, dat a uživatelů,

§  schopnost počítačových systémů a využívaných služeb reagovat na kybernetické hrozby či útoky a jejich následky, jakož i plánování obnovy funkčnosti počítačových systémů a služeb s nimi spojených.

Kybernetická bezpečnost je realizována jak v rámci kyberprostoru, tak mimo něj. Není vhodné aplikaci výše uvedených prostředků a principů, jakkoliv geolokačně (ať již na území daného státu, Unie či kyberprostoru samotného) omezovat.