Univerzitní projekt Národního centra kompetence pro kyberbezpečnost označovaný zkratkou NC3 (National Cybersecurity Competence Centre) se totiž dostal do skupiny asi 40 vyvolených subjektů, které budou bezpečnostní pravidla v Unii nastavovat.
Aktuální kroky plynou z toho, že Evropská komise loni přijala nařízení s názvem Cyber Security Act překládaný jako „akt o kybernetické bezpečnosti“, což znamená hlavně dvě věci. „Unijní agentura ENISA, která má tuto oblast na starost, tím dostává větší pravomoci. Současně v rámci nařízení vzniká rámec pro certifikace produktů a služeb z hlediska kybernetické bezpečnosti. Znamená to, že když bude mít výrobce či poskytovatel nějakou službu či produkt a bude chtít prokázat, že má dobře ošetřené zabezpečení, bude si ji moct nechat certifikovat,“ vysvětluje Václav Stupka, manažer NC3 z Fakulty informatiky MU, který univerzitu v orgánu reprezentuje.
Co se právě teď diskutuje, to je samotná certifikace. Postupně mají vznikat certifikační schémata, která budou upravovat, jak má být určitý typ technologie zabezpečený, co je pro to třeba udělat a jak se bude ověřovat, že příslušný produkt nebo služba podmínky splňuje.
V současnosti existuje návrh prvního obecného schématu (EU Common Criteria). Pro posuzování tohoto i všech dalších, která teprve vzniknou, si Evropská komise zřídila dva poradní orgány. Jeden se skládá ze zástupců jednotlivých členských států, kteří se řadí do kategorie státní správa, a Česko tam reprezentuje Národní úřad pro kybernetickou a informační bezpečnost. Druhý tvoří zástupci z firem, nezávislí odborníci a zástupci vědeckých a vzdělávacích institucí. Právě mezi ně se dostalo univerzitní centrum NC3.
„ENISA vyhlásila výzvu, na základě které se o místo v poradním sboru přihlásily stovky subjektů. Oni si vybrali nejrelevantnějších čtyřicet, přičemž akademických institucí je tam nakonec zastoupeno jenom pět. Zbytek tvoří hlavně reprezentanti průmyslu nebo obchodní sdružení,“ vyzdvihuje Stupka.
Vyhrává multioborovost
NC3 je projekt Masarykovy univerzity, na kterém se ovšem podílejí i další instituce jako CESNET, který zabezpečuje a vyvíjí českou výzkumnou infrastrukturu, Vysoké učení technické, České vysoké učení technické v Praze nebo komerční firmy.
„Při výběru hrálo v náš prospěch právě to, že už teď jsme byli aktivní v různých poradních skupinách, takže nás na evropské úrovni znají, a máme také podporu národních institucí. Navíc je naše centrum výrazně multioborové – kromě informatiků zahrnuje i právníky, sociology nebo ekonomy,“ odhaduje Stupka, co pomohlo NC3 do vybrané skupiny poradců.
Jejich práce by měla zahrnovat hodnocení navržených certifikačních schémat a tvorbu dalších. Počítá se s tím, že svoji speciální bezpečnostní úpravu budou mít například cloudové technologie nebo 5G sítě, o kterých se tolik mluví, a proto chce Unie nastavit bezpečnostní kritéria, aby nemohlo dojít k jejich zneužití.
Česko je napřed, patří k průkopníkům
Ve chvíli, kdy vzniknou na celoevropské úrovni, začne se s uplatňováním jednotlivých certifikačních schémat na úrovni každé ze členských zemí. Aktuálně je situace taková, že někde už se testování používá, zatím ale jenom v rámci národních nebo komerčních certifikačních schémat.
„V jednotlivých členských státech budou vznikat certifikační autority, které budou ověřování provádět. Naše výhoda spočívá v tom, že my v tuzemsku už jednu takovou v rámci jednoho z projektů budujeme teď, a to právně na půdorysu centra NC3“ naznačuje Stupka, že Česko by tak s přejímáním norem v této oblasti nemělo mít problém. Odborníci sdružení kolem Ústavu práv a technologií Právnické fakulty MU v minulosti stáli už za zákonem o kybernetické bezpečnosti, který Česko přijalo jako jedno z prvních na světě, a obecně patříme jako země k průkopníkům v této oblasti.