Zatímco Legislativní radě vlády zbývá něco přes dva týdny ze lhůty na projednání návrhu nového kybernetického zákona z pera Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), z vládních kuloárů mezitím prosakují informace potvrzující naše dřívější předpoklady, že transpozice směrnice NIS2 do českého právního řádu nebude mít zákonodárnou cestu umetenou. Už na první zastávce norma zřejmě narazí, byť zřejmě z trochu jiného důvodu, než by operátorská lobby šikující se před úřadem vrcholných politiků chtěla.
Tuzemským operátorům, jak víme, nejvíce leží v žaludku mechanismus prověřování dodavatelského řetězce. Naproti tomu ministrům vadí koncentrace moci v rukou jediného státního úředníka. Logika jejich uvažování je taková, že sílu zákonů neprověřují pokojné doby, ale až časy turbulentní. V době, kdy v čele NÚKIBu sedí osoba příčetná a kompetentní, mnoho rozdílů v odlišném modu takového rozhodování nenajdeme. Zásadní kroky jako vyloučení jedné značky z inventáře hardwaru velké trojky by se určitě neobešly bez projednání na nejvyšší vládní úrovni, a v zásadě tak není důvod se obávat v tomto směru nějakých excesů.
Jenže takové časy nemusejí trvat věčně, přijdou volby a s nimi se velice snadno a rychle může osazenstvo na špici regulačních úřadů proměnit. Aniž bychom takový stav chtěli přivolávat, je potřeba se připravit i na hrozbu, že příští šéf kybernetického regulátora nemusí být ochoten své zásadní kroky sdílet a konzultovat.
Zákazy ano, ale jako kolektivní rozhodnutí
Důvodem, proč z jednání v těchto dnech zástupci NÚKIBu odcházejí s hlavou svěšenou, tak není to, že by stát měl přijít o možnost diktovat, který dodavatel se bude moci podílet na výstavbě telekomunikačních sítí a kterých jejích součástí, ale že to nebude NÚKIB sám, kdo by takové rozhodnutí směl přijmout. Aktuálně se uvažuje o několika variantách odlišujících se od sebe tím, kolik a čí spolupodpisy budou na případném vyloučení čínských výrobců potřeba.
Vývoj kolem kyberzákona samozřejmě sledujeme i nadále. Od data jeho skutečné účinnosti, kde říjnový termín daný směrnicí NIS2 je s přihlédnutím k zádrhelům už v těchto počátečních fázích projednávání s pravděpodobností limitně se blížící jistotě vyloučen, se odvinou další povinnosti. Samoidentifikační, registrační, informační ohledně incidentů a další. Čas navíc je tak příjemným bonusem pro podniky, aby si začaly shánět potřebný personál.
Že je ho nedostatek, potvrzuje výkonná ředitelka Thein Security Irena Hýsková. Podle ní se v souvislosti s povinnostmi vyplývajícími z nařízení NIS2 čeká, že firmy budou poptávat stovky až tisíce nových odborníků na kybernetickou bezpečnost. Nedostatek je pak způsoben jejich náročným vzděláním a širokým spektrem znalostí, které si musejí osvojit. „I když je možné vyškolit zaměstnance na základní dovednosti, skuteční experti, kteří se dokáží úspěšně postavit hackerům, se musí učit celý život,“ vysvětluje Hýsková. Situaci podle ní komplikuje i to, že mnoho firem kybernetickou bezpečnost podceňuje a neřadí ji mezi své priority. „Z našich dosavadních zkušeností se nedá očekávat, že by se do počátku účinnosti kybernetického zákona podařilo vyškolit dostatek personálu,“ uzavírá.
Neziskovka školí zájemce o práci v kyberbezpečnosti
Hrozící nedostatek odborníků na pracovním trhu neunikl ani neziskové organizaci Czechitas, která loni ve spolupráci s Googlem spustila školicí program pro experty na kybernetickou bezpečnost. „Od září doteď jsme spustili 5 školicích běhů. V jejich rámci jsme distribuovali 369 licencí, celkem jich budeme distribuovat nejméně 500,“ popisuje Jan Schönbauer z Czechitas.
Celková úspěšnost studentů je jen lehce nad 23 %. Během kurzů se frekventanti naučí používat různé nástroje a platformy, jako jsou Python, Linux, SQL, nástroje pro správu bezpečnostních informací a událostí (SIEM), včetně Chronicle a Splunk, a také systémy detekce narušení. Na konci kurzu obdrží profesní certifikát.
„Absolventi mohou najít uplatnění jako analytik kybernetické bezpečnosti, bezpečnostní analytik nebo analytik kybernetické obrany,“ vyjmenovává nejčastější pracovní pozice absolventů Schönbauer. Studium kompletně platí Google, uchazeči nesou jen drobný náklad v podobě registračního poplatku. Licence k prohloubení kvalifikace má pevná pravidla. Neaktivním studentům může být stipendium odebráno a přiděleno dalšímu zájemci.
Podle dva roky starých údajů z Bruselu chybí v Evropské unii až půl milionu expertů v kyberbezpečnost. A mezi těmi, kteří se problematice věnují, poměrem 9 : 1 převažují muži. Czechitas si od programu slibuje i nalákání většího počtu žen do IT oborů. V tuzemském srovnání mají ženy průměrně pouze jedenáctiprocentní zastoupení. Neziskovka na ně proto cílí v rámci Digitální Akademie Kyberbezpečnost.
Lekce je možné přes týden absolvovat online. Jednou za měsíc jsou doplněny o víkendové bootcampy v hybridním formátu. Czechitas všem absolventům akademie jednou ročně pošle formulář s dotazy na vývoj kariéry v IT. „Poskytnuté informace nám pomáhají prokázat dopad našich kurzů a udržet je cenově přijatelné,“ vysvětluje Schönbauer.
Pokud se firmám včas nepodaří dostatek odborníků přilákat do svých řad, mají možnost část povinností, které jim na bedra položí nový kyberzákon, outsourcovat. „Například bezpečnostní dohledové centrum jako služba od externího dodavatele (SOC as a service) může být pro mnoho regulovaných subjektů ideálním a nejméně nákladným řešením,“ říká Irena Hýsková.
Poohlížet se po výpomoci ze zahraničí ale výkonná ředitelka Thein Security příliš nedoporučuje. „Naděje do zahraničních expertů bych nevkládala, neboť NIS2 bude platit po celé Evropě, a napříč Sedmadvacítkou tak bude patrná zvýšená poptávka po těchto znalostech a odbornících,“ dodává. Dlouhodobé zlepšení by podle ní mohly přinést jen systémové změny ve vzdělávání mladé generace, aby školství nabízelo více takto zaměřených oborů.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU