Útokům počítačových pirátů čelí i samosprávy měst a obcí v Olomouckém kraji. Nová bezpečnostní IT opatření musejí zavést především obce s rozšířenou působností, od poloviny roku pro ně totiž začne platit nový zákon o kybernetické bezpečnosti vytvořený dle požadavků evropské směrnice NIS2.
Jen Prostějov do kyberbezpečnosti investuje letos 40 milionů korun, peníze město získalo z dotace. Na jaká konkrétní opatření je využije, aktuálně upřesňují odborníci. Měly by však přispět především k posílení vnitřní infrastruktury městských systémů.
Prostějov je zároveň jedním z měst, která musejí naplnit podmínky stanovené novým zákonem, opatření proto musejí zohledňovat i zákonná kritéria.
Samozřejmě to různí podvodníci zkouší, mailové adresy úřadu jsou veřejné, některé e-maily tak raději vůbec neotevíráme a rovnou je smažeme.
Jaroslav Střelák (nez.)starosta Krumsína na Prostějovsku
„Dotace bude využita na opatření, která mají dlouhodobý charakter. Neustálé zlepšování a rozšiřování zabezpečení je nezbytné pro ochranu citlivých dat a udržení spolehlivého fungování veřejných služeb. Novinky zajistí zvýšení dostupnosti a bezpečnosti datového centra města,“ uvedla za prostějovský magistrát referentka komunikace Alena Vrtalová.
Hackeři na počítačích magistrátu zašifrovali data a žádali dva miliony |
O tom, jak bude vypadat série změn, mají jasno v Konici na Prostějovsku. Do opatření, která musejí zavést, investuje město přes šest milionů korun.
Na projekt, který Konice začala připravovat už v roce 2023, půjdou peníze z dotace ministerstva vnitra.
„Veřejnou zakázku, která byla vyhlášena loni na podzim, získala firma Aricoma Systems. Letos dojde mimo jiné k dodávce infrastruktury nutné k provozu bezpečnostních technologií, kontrole bezpečnosti e-mailových zpráv nebo bezpečnostnímu auditu,“ poznamenal konický starosta Michal Obrusník (STAN).
Hodnota na černém trhu
Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), který podobu nového zákona připravil, jsou obce pro útočníky výhodným cílem.
„Spravují data se zajímavou hodnotou na černém trhu, ta jsou také důležitá pro jejich provoz. Útočníci zároveň spoléhají na to, že samosprávy mohou být méně zabezpečené než jiné organizace se srovnatelně hodnotnými daty. I to je jedním z důvodů, proč obce s rozšířenou působností, což je 205 největších sídel v České republice, budou zahrnuty do nového zákona o kybernetické bezpečnosti,“ uvedla vedoucí oddělení regulace veřejného sektoru Daniela Procházková.
Expertka upozorňuje, že největším rizikem pro samosprávy je takzvaný ransomware (vyděračský software, pozn. red.), který se do obecních počítačů dostane nejčastěji prostřednictvím elektronické pošty.
„Společným znakem prvotní kompromitace bývá nepozornost uživatele, který otevře škodlivou přílohu například v e-mailu. Následně malware (škodlivý program, pozn. red. ) zašifruje v síti obce všechna data a právě za jejich odblokování žádají útočníci výkupné. V takové chvíli je daná instituce ve stavu, kdy se nedostane k žádným svým datům, a jak bylo vidět na minulých útocích, obce mohou své služby občanům bez fungujícího IT poskytovat jen ve velmi omezeném režimu,“ popsala Procházková.
Nekliknout na nic podezřelého
Na školení zaměstnanců se na konci uplynulého roku zaměřil šumperský městský úřad.
„Děláme od loňského roku z dotace na kyberbezpečnost celou řadu opatření k zabezpečení sítě, včetně nových serverů, aktivních prvků a sledování uživatelů. V rámci toho probíhaly i různé kontroly a phishingové testování, které prověřuje to, jak jsou zaměstnanci bdělí. Navzdory dvouměsíčnímu školení se jich ale část nechala nachytat. V souvislosti s novou směrnicí budeme opatření ještě rozšiřovat,“ informoval vedoucí oddělení informatiky Pavel Kouřil.
Zatímco velká města, jako je například Olomouc, kyberbezpečnost zahrnují do výdajů rozpočtu již řadu let a mají k dispozici mimo jiné i manažery bezpečnosti či konzultanty, malé obce, jež nemají vlastní IT zaměstnance, spoléhají na služby externích firem a opatrnost vlastních úředníků.
„Pracujeme s rozvahou, nejvíce řešíme příchozí poštu, vždy kontrolujeme odesílatele a nikdy neotvíráme podezřelé přílohy. Také neplatíme žádné faktury, o kterých nevíme, že mají přijít. Pokud si někdy nejsme jistí, raději vše ověříme telefonicky. Jednou za měsíc také zálohujeme všechny počítače a kopii disku ukládáme do trezoru, abychom v případě nějaké události nepřišli o všechna data,“ popsal starosta Krumsína na Prostějovsku Jaroslav Střelák (nez.).
S podvodnými e-maily a falešnými fakturami se podle starosty setkávají malé obce do šesti set obyvatel pravidelně.
„Samozřejmě to různí podvodníci zkouší, mailové adresy úřadu jsou veřejné, některé z nich raději vůbec neotevíráme a rovnou je smažeme,“ dodal Střelák.
„Zákon je potřeba doladit“
Podle zkušeností Svazu měst a obcí České republiky (SMO) je kyberbezpečnost stále významnějším tématem nejen pro samosprávy bez ohledu na velikost, zákon přinese novinky i pro obcemi zřizované instituce, jako jsou například školy, vodárenská zařízení a další.
Obce proto upozorňují na některé nejasnosti, které změna přinese. „Náš postoj k novému zákonu o kyberbezpečnosti se odvíjí i od toho, že neobsahuje řadu náležitostí, například důkladně propracovanou dopadovou studii, vysvětlení dopadů na obecní úřady či objasnění, jak bude řešeno případné vyloučení firem z dodavatelského řetězce,“ poznamenala mluvčí SMO Alexandra Kocková.
Virus, který chodil do e-mailů nemocnic, vznikl pomocí ruského nástroje |
Kyberútoky na systémy krajských institucí se v minulých letech opakovaly. Například v roce 2020 čelila v rámci masivního plošného útoku na česká zdravotnická zařízení Fakultní nemocnice Olomouc, útok se díky včasnému zásahu podařilo odrazit.
V roce 2021 pak hackeři úspěšně ochromili datové systémy olomouckého magistrátu a na celý den tak agendy úřadu vyřadili z provozu.
