Z důvodu nedostatku ICT odborníků přistupuje stát i na rizikový outsourcing služeb

NBÚ předkládá pravidelně vládě tzv. analýzu „bílých míst“, podle které veřejná správa nedokáže získat specialisty v oblasti kybernetické bezpečnosti především kvůli jejich nedostatečnému ohodnocení. Podle odborníků z Centra kyberbezpečnosti ale řešení v podobě outsourcingu služeb u klíčových agend přináší velká rizika.

„Stát nedokáže získat ani absolventy po vysoké škole. Důvodem je nedostatečné finanční ohodnocení a absence benefitů. Státu tak nezbývá nic jiného, než využít externích dodavatelů informačních a komunikačních služeb, kteří specialisty zaměstnávají. Správci pak ale nemají systémy a sítě pod technickou kontrolou,“ shrnula Lenka Čílová z MIIA SE.

Outsourcing bývá sice finančně efektivní, ale České republice podle NBÚ chybí bezpečnostní standardy pro zakázky v oblasti ICT. „Výsledkem je, že správci nemají technickou nebo právní možnost dostát základním požadavkům zákona o kybernetické bezpečnosti,“ konstatuje se ve zprávě NBÚ.

„Představte si, že bezpečnost státního informačního systému zajišťuje nadnárodní firma s neprůhlednou vlastnickou strukturou, která disponuje znalostí systému i přístupy a k jejíž činnosti neexistuje žádná efektivní kontrola ze strany klienta, tedy státu. Vnímám to jako velké riziko,“ dodává ICT specialista se zkušenostmi z implementace finančních systémů pro Ministerstvo financí, který si nepřál být jmenován.

Čím menší instituce, tím větší benevolence a rizika

Největší benevolence v oblasti bezpečnosti ale vzniká na komunální úrovni a u firem, jejichž jsou stát nebo veřejné instituce vlastníky. Menší subjekty totiž často doslova tříští agendu v oblasti ICT mezi velké množství dodavatelů. Je velmi časté, že jeden dodavatel provozuje webové stránky města, jiný externí dodavatel spravuje účetní agendu, další dodavatel spravuje WiFi síť.

„V případě konkurenčního prostředí je to dokonce pozitivní stav, který pomáhá k úsporám, neboť ne všichni umí všechno. Problém je ale v tom, že v obci se každé 4 roky mění politické vedení i zaměstnanci, na IT odboru pak chybí specialisté, kteří by dokázali všechny dodavatele účinně kontrolovat.,“ vytýká předseda bezpečnostní komise Prahy 10 Lukáš Rázl. I podle dalších zastupitelů je po volbách běžné, že na obec chodí měsíční faktury za agendu, u které si nikdo není přesně jistý, co vše má zajišťovat.

Podle Centra kyberbezpečnosti je i v případě outsourcingu nutné disponovat všemi právy k poskytovanému systému, definovat funkční postupy pravidelné kontroly a investovat do vlastních zaměstnanců.

„V minulosti se ukázalo, že je naprosto nevhodné, aby například městská část provozovala vlastní síť bezdrátového připojení pro občany. Taková služba pak nestandardně zatěžuje městský rozpočet, nedosahuje požadované kvality a rychle zastarává. Je ale důležité spolupracovat s takovým partnerem, který je schopen prokázat znaleckým posudkem splnění nového zákona o kybernetické bezpečnosti a umožní přístup ke správě vlastní sítě odborníkům přímo z veřejné instituce. Bohužel ne každý provozovatel sítě toto dokáže splnit,“ uvedl Martin Medvěd, ředitel společnosti MIIA, která dodává systém zabezpečení a logování uživatelů právě institucím provozujícím WiFi sítě.