Na redakční otázky odpovídá Robert Gogela, Information Security Senior Konsultant, Asseco Central Europe

1) Co je z hlediska ICT bezpečnosti v české legislativě nedostatečné?

Jsem přesvědčen, že hlavním problémem je nedostatečné právní vědomí informatiků a současně nedostatečné vědomí legislativců o informačních technologiích a bezpečnostních potřebách. V podstatě jde o určitý nezájem se potřebami bezpečnosti ICT systematicky zabývat. Zrušení ministerstva informatiky je jedním z mnoha příkladů. Dalším je existence této ankety. Pojem „legislativa“ znamená zákonodárný proces, tj. navrhování a schvalování zákonů. V této anketě by měl být spíše použit termín „právní předpisy“ nebo širší pojem „právní řád“. A co je z hlediska bezpečnosti ICT v právních předpisech ČR nedostatečné, to se pokusím vysvětlit v odpovědi na následující otázku.

2) Co by se obecně mělo v legislativě změnit?

Hlavním nedostatkem právních předpisů ČR v oblasti ICT bezpečnosti je absence kvalifikované ochrany spotřebitelů. Co tím mám na mysli? Technologie ICT nebo komplexní informační systémy tvořené těmito technologiemi si zákazníci pořizují úplně stejně jako jiné produkty a služby. Problém spočívá v tom, že technologie ICT nebo komplexní technologická řešení ICT mají vysokou míru složitosti a většina zákazníků není schopna kvalifikovaně posoudit úroveň jejich bezpečnosti. Jde o to, aby před tím, než se ICT technologie začne prodávat a komplexní informační systém provozovat, kvalifikovaný orgán ze zákona přezkoumal, zda produkt splňuje určitá kritéria a tvrzení výrobce o bezpečnostních vlastnostech produktu odpovídají skutečnosti. Tedy podobně, jako když technický zkušební ústav přezkouší strojní zařízení, že neohrozí zdraví jeho uživatele, nebo se provádí atest vozidel, zda splňují stanovená bezpečnostní kritéria.

3) Jsou dnešní tresty za prohřešky v ICT bezpečnosti adekvátní?

Domnívám se, že právní předpisy ČR poskytují dostatečné možnosti pro udělení sankcí osobám za porušení povinností spojených s bezpečností ICT. Většinu typických prohřešků lze sankcionovat v oblasti pracovního práva a v oblasti ochrany osobních údajů.

4) Jak by si měli rozdělit zodpovědnost stát, výrobci a uživatelé?

Nemůže být pochyb o tom, že stát by měl nést plnou odpovědnost za bezpečnost jím provozovaných informačních systémů, protože tyto systémy obsahují zpravidla informace o jeho občanech. K prosazení této odpovědnosti orgánů veřejné moci neposkytují právní předpisy dostatečně efektivní nástroje. V případě výrobců je to složitější, protože pokud není výrazná poptávka ze strany zákazníků, žádný výrobce nebude dobrovolně zvyšovat výrobní náklady svých produktů. Spoléhat na odpovědnost uživatelů je v případě technologií ICT téměř utopie. Složitost technologií ICT totiž neustále roste a to způsobuje, že znalosti jejich uživatelů, včetně profesionálů, neustále klesají. Jak má například běžný uživatel nést odpovědnost za správné nakládání s nástroji pro vytváření elektronického podpisu, když o technologické podstatě elektronického podpisu nemá znalosti ani většina profesionálních informatiků?

5) Je vůbec žádoucí vypracovávat speciální legislativu pro oblast ICT bezpečnosti? Nejde na ni vztáhnout již existující legislativa?

Myslím, že pozorný čtenář nalezl můj názor na tuto otázku v předchozích odpovědích. Přesto, že nejsem nakloněn nežádoucímu bujení právní řádu, tak v situaci, kdy zavádění některých informačních systémů je prosazováno vydáváním zákonů, by jeden zvláštní zákon o ověřování úrovně bezpečnosti informačních technologií a informačních systémů mohl prospět více.

Legislativa