Kybernetická bezpečnost již minimálně několik posledních let není tématem pouze pro banky, velké nadnárodní korporace či světové sportovní kluby. S ohledem na rozšíření využívání informačních technologií (IT) i ve veřejné správě se však kybernetické útoky čím dál častěji orientují i na ni, neboť právě při výkonu veřejné správy vzniká obrovské množství citlivých dat (zejména o adresátech veřejné správy – občanech, obchodních společnostech atd.) a dat nezbytných pro fungování dané veřejnoprávní korporace.

Riziko kybernetického útoku se tedy netýká jen online klientských účtů (v této rovině můžeme připomenout jeden z nejznámějších úniků dat vůbec, který zaznamenala v roce 2014 společnost Sony), ale také IT veřejnoprávních korporací – ministerstev, dalších ústředních orgánů státní správy, krajů, obcí, nemocnic či vysokých škol.

Statistika Národního úřadu pro kybernetickou a informační bezpečnost je v tomto ohledu neúprosná – za rok 2021 došlo v České republice k desítkám kybernetických incidentů, přičemž ústředním tématem se stal ransomware, respektive malware obecně.

Mezi odvětví, která jsou kybernetickými útoky nejvíce zasažená, patří stavebnictví, právní služby, IT, zdravotnictví a doprava. Zejména zdravotnictví se pak v době vrcholící koronavirové krize stalo nejzranitelnějším, neboť je na jedné straně počítačovými technologiemi doslova prorostlé, na straně druhé je fungování nemocnic zcela zásadní a výpadek chodu nemocnice (byť v řádu hodin či dnů) by byl katastrofou. Uvedené si uvědomují i kybernetičtí útočníci, kteří předpokládají, že nemocnice v případě zasažení ransomwarem raději zaplatí za dešifrování dat, než aby riskovala reinstalaci všech systémů, na což zpravidla není připravena.

Terčem takového kybernetického útoku se stala například nemocnice v Pelhřimově, kde se díky mezeře v zabezpečení přístupu podařilo ransomwaru proniknout na tamní mail server – výsledkem byly zašifrované e-maily. Nemocnice neměla správně nastavené zálohování, a tak i přesto, že se podařilo obnovit data, ztratili zaměstnanci poslední dva týdny e-mailové komunikace.

Kybernetický útok však může mít ve zdravotnickém prostředí i mnohem závažnější dopady. Při zasažení Fakultní nemocnice v Brně-Bohunicích (rovněž v době pandemie) došlo k celkové odstávce, kdy lékaři kvůli útoku nemohli provádět operace a akutní případy bylo nutné převážet do jiných zařízení. Paralýza systémů tak přináší ohrožení životů pacientů.

Jednou z posledních významných obětí kybernetických útoků se stalo Centrum pro regionální rozvoj, do jehož dikce spadá významná oblast administrace a kontroly čerpání evropských dotací (IROP). Jde tedy o orgán, na který jsou úzce navázány významné investice a případný úspěšný kybernetický útok tak zdaleka nezasahuje pouze do sféry jednoho subjektu. Ztráta dat může být navíc pro tyto instituce nenahraditelná. Ačkoliv dle Centra pro regionální rozvoj nedošlo k narušení těchto informačních systémů, došlo k výpadku e-mailové komunikace a interních systémů – to však v praxi takovéto organizace (s počet X zaměstnanců) znamená fatální ochromení (zastavení) její činnosti, což je samozřejmě krajně nežádoucí stav.

U všech těchto příkladů existje jeden společný jmenovatel, a to nedostatečný bezpečnostní standard. Naprostá většina kybernetických útoků by totiž neuspěla, pokud by byla zajištěna kybernetická bezpečnost na dostatečné úrovni. Druhou stranu mince samozřejmě představuje ekonomická stránka, kdy profesionální zabezpečení je pochopitelně finančně nákladné. Toto „vyvažování“ akceptace rizika a přijetí odpovídajících opatření si však mohou dovolit zejména soukromé podniky; ve veřejnoprávní sféře by mělo být zajištění (kybernetického) bezpečnostního standardu pravidlem.

Zajištění kybernetické bezpečnosti však pro subjekty z řady veřejnoprávních korporací bude nutné zajistit prostřednictvím veřejné zakázky. Pro zadavatele jsou nadto veřejné zakázky z oblasti kybernetické bezpečnosti nepopulární kvůli obavě z vysokých finančních nároků, realizaci bezpečnostního auditu či z důvodu absence dostatečné orientace v oblasti kybernetické bezpečnosti interními zaměstnanci. Vedle uvedeného však zadavatelé zpravidla naráží na řadu problému již při zajištění zákonnosti samotného zadávání takové specializované veřejné zakázky – mezi ně mohou patřit následující:

• Problematika požadavku na certifikaci dodavatelů – právnických osob, když zákon č. 134/2016 Sb., o zadávání veřejných zakázek (dále jen „ZZVZ“) takový požadavek v rámci technické kvalifikace fakticky neumožňuje stanovit (srov. § 79 ZZVZ). Zadavatel sice může požadovat, aby osoba, která bude realizovat veřejnou zakázku na IT služby disponovala příslušným certifikátem, avšak tyto certifikáty jsou vázané na fyzické osoby. V naší advokátní kanceláři uděláme maximum pro to, aby zadavatelé plně v souladu se ZZVZ získali profesionálního a odborně kompetentního (kvalifikovaného) dodavatele poptávaného plnění a aby byl zajištěn vysoký standard poskytování kybernetické bezpečnosti po celou dobu realizace předmětu veřejné zakázky.

• Dalším praktickým problémem může být vyhrazení změny závazku ve vztahu ke změnám v počítačové infrastruktuře zadavatele – tedy nastavení vhodného a funkčního mechanismu, který umožní reagovat například na nárůst počtu hardwaru u zadavatele či nutnost upgradu softwaru (operačního systému); jmenovaná nemocnice Pelhřimov měla v době kybernetického útoku desítky počítačů s operačním systémem Windows XP. Zadavatelům dokážeme pomoci vhodně a v souladu se zákonem naformulovat vyhrazenou změnu závazku tak, aby reflektovala skutečné potřeby zadavatele a výsledkem byl celistvý systém, který nepovede k vytváření bezpečnostních rizik.

• Specifickým řešením může být také zákaz využívání subdodavatelů. I toto však musí být odpovídajícím způsobem ošetřeno v zadávacích podmínkách i ve smlouvě na veřejnou zakázku. Díky naší pomoci lze dosáhnout optimálního nastavení, které povede k rovné hospodářské soutěži a zároveň minimalizuje bezpečnostní rizika, kterým bude zadavatel do budoucna čelit.