Iluze kybernetické bezpečnosti

Termín kybernetická bezpečnost zní téměř každému hrozivě. Jednak si většinou neumí představit, co si má představit pod tímto termínem, za druhé si není jist, jaké nebezpečí mu může hrozit. Situace je navíc zkomplikována tím, že s kybernetickou bezpečností je to jako s UFO – kdekdo o ní mluví, ale málokdo ji viděl. Některé omyly jsou proto v oblasti této problematiky tak běžné, že se nad nimi snad ani nepozastavujeme.

První iluzí kybernetické bezpečnosti je domněnka, že je najisto postaveno, co je předmětem ochrany v rámci zmíněné kybernetické bezpečnosti. Ubezpečuji čtenáře, že tomu tak není. Řada odborníků nadaných pravomocí a působností v tomto oboru mi odpovídala zcela odlišně – jeden tvrdil, že je třeba chránit data před zničením a zneužitím zločinnými hackery, jiný činovník mne ujistil, že prioritou je ochrana osob, jichž se data týkají. Nejlepší odpovědí bylo, že předmětem kybernetické bezpečnosti je zabezpečit bezpečí v kyberprostoru (když jsem se plaše zeptal, jak chápe definici či vymezení kyberprostoru, dotyčný se omluvil, že musí na náhlou schůzku).

Druhou iluzí je, že kybernetická bezpečnost je záležitostí především technickou. Většina rizik hrozícím informačním systémům nepochází od hackerů, kteří se snaží škodlivými kódy proniknout k systému a k tam uloženým datům, aby tam provozovali své perverzní rejdy, ale od konkurence, vlastních zaměstnanců, zákazníků nebo obchodních partnerů. Aktivní a moderní zabezpečovací softwarové bariéry a ochranné programy jistě v něčem pomohou, nezabrání však aby, například konkurence znemožnila provoz systému právní cestou byt pod falešnou záminkou a jen na omezenou dobu (než spravedlnost zvítězí).

Třetí iluzí je, že z hlediska kybernetické bezpečnosti jsou všechny klíčové zásady a pojmy právně jasné. Nic není vzdálenějšího pravdě. Právnická akademická obec rozvoji práva informačních technologií příliš nepřeje (o čemž svědčí fakt, že na žádné z universit není katedra práva informačních technologií) a v plánu legislativních počinů se nějaký pokrok objeví jen, pokud jsme k tomu dotlačeni povinností implementace nějaké evropské normy, nebo nutností realizace určitého projektu, jako jsou například tolik diskutované datové schránky. V právních vztazích se tudíž důležité pojmy definují v rámci konkrétní smlouvy a také s platností výlučně uvnitř takového právního vztahu a bez toho, aby takové definice měly obecnou platnost. Proto je také obtížné dovolávat se v rámci informačních technologií jak obchodních zvyklostí, tak definovat zásady poctivého obchodního styku.

Čtvrtou iluzí je, že si s kybernetickou bezpečnosti ví Evropská komise, vláda, příslušná ministerstva nebo odborná veřejnost rady. Jsou samozřejmě známy pokusy dosáhnout pokroku v určitých oblastech, Nicméně pokud se na kybernetickou bezpečnost nebude pohlížet komplexně, budeme nadále v situaci, kdy řešíme otázku péče o chodidla a přední zuby, zatímco pacient zemře na neléčenou cukrovku, kterou se lékař nezabýval. Každá iluze pramení do značné míry z nevědomosti.

Přejme si, abychom se všichni věděli více a na kybernetický svět pohlíželi s realistickým očekáváním a bez falešných představ.

JUDr. Martin Maisner