Blog

Kybernetická hrozba v době pandemie

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) nařídil v návaznosti na nedávný kybernetický útok na Fakultní nemocnici Brno vybraným nemocnicím, aby lépe zabezpečily své informační systémy. Vůbec poprvé k tomu využil institut tzv. reaktivního opatření.

Kybernetický útok na FN Brno dne 13. března 2020 přišel nikoliv zcela překvapivě v době, kdy je bezproblémový chod zdravotnických zařízení zásadní. Dnes, kdy celý svět sužuje koronavirová pandemie, nelze dopustit ochromení informačních systémů zdravotnických zařízení, zejména pokud jde o klíčové nemocnice. NÚKIB proto podle § 13 odst. 1 zákona č. 181/2014 Sb., o kybernetické bezpečnosti (ZoKB) vydal rozhodnutí, ve kterém uložil provést reaktivní opatření s cílem minimalizovat riziko dalších podobných incidentů.

Tímto reaktivním opatřením nařídil vybraným subjektům z oblasti zdravotnictví podniknout nezbytné kroky, které povedou k zabezpečení důležitých informačních a komunikačních systémů před kybernetickým bezpečnostním incidentem. Reaktivní opatření vydal pouze vůči konkrétním subjektům, nikoliv plošně. Z důvodu zachování bezpečnosti NÚKIB nesdělil, jaké konkrétní povinnosti dotčeným subjektům uložil.

Kromě reaktivního opatření NÚKIB zároveň zaslal vybraným subjektům doporučení k zabezpečení informačních a komunikačních systémů, které je ale na rozdíl od vynutitelných reaktivních opatření dobrovolného charakteru.

Historicky první rozhodnutí, ve kterém NÚKIB uložil provést reaktivní opatření, je dle ustanovení § 13 odst. 1 ZoKB možné vydat ve dvou případech – k řešení kybernetického bezpečnostního incidentu, anebo k zabezpečení informačních systémů nebo sítí a služeb elektronických komunikací před kybernetickým bezpečnostním incidentem.

Předmětem reaktivního opatření může být jakákoliv povinnost, která je v souladu s jeho účelem, tj. řešení reálně nastalého nebo probíhajícího kybernetického bezpečnostního incidentu. Vedle účelové restrikce musí být konkrétní povinnosti zároveň vnímané ve smyslu ústavní doktríny omezeného testu proporcionality.

Z dikce ustanovení § 13 ZoKB se nabízí, že reaktivní opatření jsou zákonem zakotvena k okamžitému a vysoce efektivnímu řešení závažných bezpečnostních hrozeb. S tím koresponduje i jejich teoreticky neomezený rozsah, velice omezené podmínky pro jejich vlastní užití a zároveň také jejich procesní konstrukce.

Standardně (jako i v s uvedeném případě) jsou totiž vydávána ve formě správního rozhodnutí jako první úkony ve věci (vůči blíže neurčenému okruhu orgánů nebo osob lze vydat i formou opatření obecné povahy), přičemž případné podání opravného prostředku (rozkladu) nemá odkladný účinek. Z procesního hlediska se v rámci českého správního práva jedná o nejrychlejší možný způsob reakce na kybernetický bezpečnostní incident, jaký má NÚKIB k dispozici. Prostřednictvím oznamovací povinnosti zakotvené v ustanovení § 13 odst. 4 ZoKB může navíc efektivně monitorovat provedení reaktivního opatření a jeho výsledek.

S ohledem na často zastaralé informační systémy subjektů ve zdravotnictví je vydání reaktivního opatření vítané. Zároveň je nutné souhlasit s názorem NÚKIB, že podniknuté kroky nesmí za žádnou cenu ohrozit poskytování zdravotnické péče a jiných důležitých služeb. Nezbývá než doufat, že podobné kybernetické útoky se nebudou v této, ani v jiné době opakovat, a pokud ano, tak ohrožené subjekty budou připraveny.