Typickým příkladem může být zdravotnictví. Pokud lékař předepisuje léčbu, je logické, že tomu předchází prohlídka pacienta a stanovení diagnózy. Národní strategie informační bezpečnosti (NSIB) však z žádné analýzy stavu informační bezpečnosti v České republice nevychází, respektive žádná taková analýza nebyla provedena a není ani součástí materiálu. V takovém případě NSIB stanovuje priority bez jakéhokoliv ukotvení v realitě. V podstatě si je paní ministryně sype z rukávu. Není tedy jisté, zda priority a opatření navržená NSIB reagují na skutečné potřeby a slabá místa v informační bezpečnosti ČR, nebo zda řešíme problémy, které vlastně ani problémy nejsou, a ty opravdové necháváme bez povšimnutí. Použijeme-li pokračování našeho příkladu ze zdravotnické praxe, nastává proces stanovení léčebné metody a aplikace léků. Ale bez receptu a alespoň zběžné prohlídky pacienta. Pravda, existuje jakási pravděpodobnost, že se pacient částečně uzdraví. V oblastech, o kterých ani nevíme, nezjištěná a neléčená choroba bují dál.
NSIB je v podstatě kompilát finské a americké (USA) strategie národní bezpečnosti. Pro kvalitu strategie může být samozřejmě prospěšné, pokud se v některých aspektech inspiruje ze zahraničních zkušeností, ale model Finska a USA nejde bezhlavě aplikovat na české prostředí. A to zejména pokud nebyla provedena již výše zmiňovaná analýza.
Cíle v NSIB jsou přehledně strukturovány do priorit, jednotlivé priority se rozpadají na cíle, ty potom na opatření a opatření dále na jednotlivé akce. Formálně je tato struktura určitě správná, protože začíná velmi obecnými oblastmi priorit a ve čtvrté úrovni končí konkrétními akcemi. Pokud se však podíváme na jednotlivé akce, kde by už měly být stanoveny konkrétní kroky k dosažení stanovených cílů, setkáme se jenom s množstvím obecných frází. Tyto fráze půjdou jen ztěžka změřit na nejnižší úrovni, natož na úrovni priorit. Jeden příklad za všechny:
Příloha č. 1 aktivity Ministerstva informatiky: „Šířit znalosti je nejlepší praxe v oblasti informační bezpečnosti.
Přestože se považuji za člověka s velkou představivostí, tak tady opravdu nevím. Jak mám změřit to, zda ministerstvo šíří správné informace, ve správném rozsahu a obsahu, v definovaných periodách a specifikovanými informačními kanály? Bude ministerstvu stačit, že se účastní různých seminářů, kde bude přítomné informovat? Proč strategie nestanoví konkrétné kroky, které je potřeba provést? Proč se zde ukládají resortům úkoly, které nejsou specifikovány? Dalším nedostatkem strategie je neexistence časových horizontů plnění u jednotlivých úkolů a průběžné kontroly plnění.
Národní strategii informační bezpečnosti rozhodně podporuji. Vzhledem ke všem výše uvedeným argumentům mohu však jen říci, že připravený návrh je kus popsaného papíru, který nespecifikuje žádné konkrétní kroky, nedá se kontrolovat a v podstatě ani aplikovat. Jenom škoda, že už stál daňové poplatníky 300.000 korun za úvodní studii. Věřím, že z meziresortního připomínkování bude strategie doplněna o stejné argumenty a bude vrácena k přepracování.
ČLÁNKY DO MAILU