Místostarosta Solenic: Pokud nevíme o případném nebezpečí, nemáme šanci se na něj připravit

Lukáš Kornfeld je místostarostou obce Solenice na Příbramsku, ve které žije na čtyři sta obyvatel. Zároveň se v profesně pohybuje v oblasti informačních technologií. Díky propojení obou působišť může sledovat přístup samospráv k IT a jejich zabezpečení zblízka. A nevidí ho příliš nadějně. „Mají dům, ale už u něj chybí plot, nemá branku a vchodové dveře jsou sice zamčené, ale čas od času někdo nechá otevřené okno v přízemí. Reálně provozují malé obce IT v nejnutnějším rozsahu, který většinou sestává z jednoduchých plochých sítí, několika málo počítačů a tiskáren,“ dává Lukáš Kornfeld příměr k aktuální situaci. V následujícím rozhovoru hovoří nejen o rizicích, ale i možnostech, jak ji řešit.

S jakými požadavky či riziky by se mohly malé obce v budoucnu potkávat v rámci digitalizace?
Požadavků je a bude celá řada. Už dnes v obcích fungují spisové služby, mají přístupy do různých státních registrů a nakládají s osobním údaji občanů. Toto všechno s sebou nese rizika spojená primárně se zabezpečením systému a dat. Různé obce disponují různou technologickou infrastrukturou, kterou si mohou, ale nemusí provozovat sami. Jedná se například o čističky odpadních vod nebo úpravny pitné vody. Ty jsou z pravidla kritickou infrastrukturou státu, která podléhá různým nařízením, k nimž se řadí zákon o kybernetické bezpečnosti, vyhláška o kybernetické bezpečnosti nebo evropská nařízení jako směrnice NIS2 (aktualizovaná evropská směrnice Network and Information Security – pozn. red). Malé obce dosud vždy dostávaly v této oblasti výjimku a problematika se jich nedotýkala. Tento stav může setrvat, ale také ne.

Co může nastat, pokud budou i malé obce nuceny zajistit vyšší zabezpečení této infrastruktury?
Pokud by dnes byly aplikovány zákon a vyhláška o kybernetické bezpečnosti plošně, tedy s dopadem na malé obce, pak by musely investovat do IT infrastruktury. To není vždy levné. Když provedu jednoduchý odhad, máme v ČR 6250 obcí. V případě, že by se situace týkala pouze 3000 z nich s investicí půl milionu korun, což je podle mého názoru velmi střízlivý odhad, pak bude celková výše investice z rozpočtu dotčených obcí v součtu 1,5 miliardy korun.
Další věcí je snaha státu o digitalizaci agend a služeb, kterou nelze zavést bez připravené infrastruktury. Ta je z mé zkušenosti bohužel pouze na vyšších úrovních státu (ministerstva, kraje, obce s rozšířenou působností). Co se týká malých obcí, vidím vážné nedostatky, které sice nejsou v rámci digitalizace státu v současné době zásadní, ale v dohledné době se jimi mohou stát.

V čem vidíte aktuální nedostatky samospráv ve vztahu k informačním a komunikačním technologiím?
Stručně v bodech je to chybějící infrastruktura, nízká digitální gramotnost, nedostatečný důraz na kybernetickou bezpečnost a finanční omezení. Dnes jsou na obecních úřadech malých obcí, ať už v zastupitelstvu nebo v dalších funkcích, lidé, kteří IT moc nerozumí. Je to pochopitelné a nikdo jim to nemůže mít za zlé, ale v tomto vidím největší riziko a nedostatek. Pokud někdo neví o případném nebezpečí nebo plně nechápe danou problematiku, pak nemá šanci se na nějaké nebezpečí připravit.

Pojďme si tedy osvětlit, co hrozí.
Pokusím se v jednoduchosti vysvětlit případné požadavky a rizika na příkladu rodinného domu stojícího na pozemku. První, na co ve většině případů narazíme, je plot a branka. V IT tomuto místu říkáme perimetr infrastruktury. Je to tedy samotný okraj toho, o co se staráme a co zabezpečujeme. Stejně jako v normálním životě, tak ani tady nechceme, aby nám někdo chodil po pozemku. Pokud by tam nebyl plot, snadno se stane, že bude – v lepším případě – koukat oknem do kuchyně. V IT se perimetr infrastruktury zabezpečuje různými způsoby, nejčastěji jako „plot a branku“ používáme firewall. Filtruje všechen provoz, který v perimetru mít nechceme a propustí jen to žádoucí.
Další místo, na které typicky narazíme u domu, jsou vchodové dveře. K těm dáváme klíče pouze lidem, kteří mají mít k domu přístup. V IT to můžeme nazvat řízením přístupů. Zpravidla znamená identitu uživatelů, jejich přihlašovací údaje a další formy ověření, díky nimž přistupují k různým částem infrastruktury a do různých systémů. „Dovnitř" pouštíme pouze oprávněné osoby, a ty pak mají možnost přistupovat k různým částem domu.
Jedna z posledních věcí, které vnímám jako důležité je segmentace dané infrastruktury. Tedy fyzické nebo virtuální oddělení jednotlivých částí sítí, systémů a podobně. Pro příměr použijme místnosti v domě. Každá má svoje zdi a v ideálním případě i protipožární dveře. Pokud by tedy začalo v domě hořet, máme čas ostatní místnosti opustit, případně izolovat tu, ve které hoří a řešit požár lokálně pouze v tomto místě. V IT je to velmi podobné, pokud máme aplikovanou segmentaci, pak jsme schopni jakýkoliv škodlivý element, který se do infrastruktury dostal, izolovat a vypořádat se s ním v omezené části této infrastruktury. Pokud bychom ho neměli, může škodit všude. Stejně jako kdybychom neměli v domě zdi a začalo v něm hořet.
Moje zkušenost s IT v malých obcích je taková, že aktuálně mají dům, ale už u něj chybí plot, nemá branku a vchodové dveře jsou sice zamčené, ale čas od času někdo nechá otevřené okno v přízemí. Reálně provozují malé obce IT v nejnutnějším rozsahu, který většinou sestává z jednoduchých plochých sítí (chybí segmentace), několika málo počítačů a tiskáren. Není zabezpečen perimetr, moc dobře nefunguje řízení přístupů a je zde totální absence segmentace. Neznamená to, že malé obce nemohou aplikovat služby, které stát chce digitalizovat. Ovšem části těchto služeb – v lokální infrastruktuře dané obce – zřejmě nebudou dostatečně bezpečné.

Jak by se situace dala podle vás řešit?
Jediné rozumné řešení je podle mě edukační kampaň cílená právě na menší obce. Někdo by jim měl vysvětlit, že IT infrastrukturu potřebují, a to včetně jejího zabezpečení. Požadavky na IT totiž už nikdy nebudou menší, právě naopak budou v čase přibývat. Občas přijde nějaká konsolidace, ale trend je neúprosný. Do hry by měla vstoupit buď Digitální a informační agentura nebo Národní úřad pro kybernetickou a informační bezpečnost, případně v přenesené odpovědnosti výbory na jednotlivých krajích. Jakmile budou obce s problematikou seznámeny a budou jí alespoň na omezené úrovní rozumět, bude potřeba obcím pomoci s její aplikací. Tady vidím prostor buď pro ministerstvo vnitra nebo pro jednotlivé kraje, aby se zasadily o vznik rámcových smluv s potenciálními dodavateli a umožnily obcím nakupovat produkty a služby za výhodných podmínek.

Jsou obavy o kyberbezpečnost v malých obcích opravdu tak zásadní?
Jak již bylo řečeno výše, kybernetická bezpečnost se dotýká všech a není možné ji ignorovat ani na úrovni malých obcí. Jedná se hlavně o případné incidenty na kritické infrastruktuře, úniky osobních údajů z nedostatečně zabezpečených systémů nebo celkovou nedostupnost služeb v případě zvlášť zásadního útoku, který může znamenat i ztrátu veškerých dat. Malých obcí se podle mě nejvíce dotýká riziko úniku dat nebo úplná ztráta dat například kvůli ransomware útokům. Dopady jsou pak velmi zásadní, především z ekonomického pohledu a v důsledku ztráty důvěry veřejnosti právě při úniku osobních údajů.

Panuje v malých obcích také obava z přílišné závislosti na dodavatelích IT řešení, takzvaný vendor lock-in?
Tato obava určitě panuje nejen v malých obcích, ale i u velkých firem a velkých státních institucí. Zde je potřeba si v první řadě uvědomit rozdíl mezi dodavatelem produktů a služeb a jejich výrobcem. Ve většině případů jde o dva odlišné subjekty. Pokud zvolíme spolehlivého dodavatele, který pomůže navrhnout danou infrastrukturu a vybere vhodné výrobce, pak se tomu dá poměrně jednoduše vyhnout diverzifikací jednotlivých technologií. Tedy nemít celou infrastrukturo od jednoho výrobce, případně zvolit i více dodavatelů a rozdělit jejich agendu kupříkladu na kancelářskou část a technologickou část – úpravny vody, kotelny, čističky odpadních vod.

Sledujete příklady dobré praxe ve větších sídlech, která by se dala přenést na úroveň menších obcí – jak v přístupu k IT u samotných samospráv, tak třeba v širším konceptu smart cities?
Příkladů dobré praxe je na trhu spousta, bohužel však hlavně ve větších institucích, kde mají na IT interně či externě najaté odborníky. Město Příbram před několika lety provádělo modernizaci IT infrastruktury v rámci evropských fondů. Dobrým příkladem mohou být i některé kraje, které uzavřely rámcové dohody s výrobci na nákup infrastruktury do jednotlivých školských zařízení. Co se konceptů smart cities týká, pak zmíním pár zajímavých projektů z Prahy, kde lze díky senzorům na jednotlivých velkoobjemových kontejnerech na odpad řídit svoz odpadu efektivně podle plnosti nádob. Dalším je senzorické sledování hustoty dopravy a následné úpravy objízdných tras při rekonstrukci Barrandovského mostu.
Příkladů mohu jmenovat celou řadu, bohužel nás však vrací na začátek. Tím je fakt, že není možné budovat jakékoliv smart projekty bez toho, aniž by obce měly alespoň základní IT infrastrukturu. A tu nezískají bez pomoci státu, který by dokázal vysvětlit, co a proč potřebují, a následně jim pomohl s financováním.