TL;DR: NÚKIB nedávno informoval o rekordním počtu incidentů v roce 2023, nicméně jím udávaný počet se citelně lišil od počtu incidentů, o nichž v průběhu roku informoval v rámci svých vlastních pravidelných měsíčních reportů. Zpráva za leden 2024 zřejmě tento rozdíl vysvětluje, činí tak nicméně velmi nekonkrétním způsobem, přičemž současně zpětně citelně upravuje počty incidentů, které NÚKIB eviduje pro jednotlivé měsíce roku 2023. Platnost dat z reportů publikovaných v průběhu loňského roku, s nimiž bezpečnostní komunita, média i veřejnost pracovali, je tak přinejmenším omezená. Dozví se o tom však jen ten, kdo bude důsledně studovat zápatí úvodní stránky lednového reportu, neb nikde jinde tato informace uvedena není.
Na úvod tohoto krátkého článku si dovolím zmínit, že proti Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) nechovám žádnou zášť. Přestože některé jeho kroky a aktivity nepovažuji za zrovna šťastné, domnívám se, že jde o převážně rozumně efektivně fungující státní organizaci. Většiny jeho zaměstnanců, s nimiž jsem kdy přišel do styku, si velmi vážím a považuji je za kvalifikované odborníky, a některé z nich mám to štěstí počítat i mezi své přátele.
S tímto úvodem je pravděpodobně již každému čtenáři jasné, jakým směrem se bude další text ubírat. Stojím si nicméně za tím, že konstruktivní kritika jakékoli veřejné instituce je na místě, pokud tato instituce jedná zjevně neoptimálně. Jsem rovněž přesvědčen, že není nemístné takovou kritiku publikovat otevřeně, zejména ve chvíli, kdy daná instituce nereaguje na opakované pokusy o přímou komunikaci jinými kanály. Ale o tom více až za později…
Pro kontext je nejprve vhodné uvést, že NÚKIB začal již v roce 2014, kdy zveřejnil relevantní data k druhé polovině roku 2013, publikovat pravidelné roční zprávy o stavu kybernetické bezpečnosti České republiky za předchozích 12 měsíců. V nich vždy uvádí mj. počty a typy evidovaných kybernetických bezpečnostních incidentů, a to buď přes jednotlivé měsíce daného roku, nebo alespoň souhrnně, za celý rok. Počty incidentů jsou přitom v každé ze zpráv vždy uvedeny buď v rámci textu, nebo jsou patrné z některého z grafů.
Drobnou výjimkou je v tomto ohledu jen zpráva za rok 2015, v níž se do žádné části zprávy informace o počtu incidentů z nějakého důvodu vůbec nedostala, a vývoj situace ve zmíněném roce v ní tak – lehce nešťastně – popisuje pouze níže uvedený graf bez konkrétních numerických hodnot.
Informace o počtech nahlášených a řešených incidentů publikované v každoročních souhrnných zprávách lze považovat za velmi zajímavé, neb do jisté míry odráží situaci stran útoků na české organizace, a řada organizací je také využívá při řízení bezpečnosti ve svém prostředí na strategické a taktické úrovni – mj. při tvorbě modelů hrozeb pro svá prostředí nebo při vyhodnocování rizik spojených s různými typy incidentů.
Pro úplnost je vhodné uvést, že vedle těchto souhrnných celoročních zpráv publikoval NÚKIB na GitHubu po dobu několika měsíců také detailnější seznam incidentů, které evidoval v letech 2021 a 2022. Tento seznam však nebyl aktualizován od srpna 2022.
V čem však úřad pokračuje je publikace periodických měsíčních shrnutí nazvaných Kybernetické incidenty pohledem NÚKIB, s níž začal v říjnu 2021 a v níž pokračuje (s několika drobnými přestávkami) až do současnosti.
Tyto reporty jsou odbornou komunitou i populárními médii sledovány relativně detailně, a využívány podobně jako výše zmíněné souhrnné roční zprávy. Jsou v nich totiž uvedeny mj. počty a typy incidentů, které úřad v konkrétních měsících evidoval, přičemž je vždy uveden i graf vývoje počtu nahlášených incidentů v posledních 12 měsících.
Problémem je, že tato data jsou (nebo alespoň v průběhu roku 2023 byla) zřejmě citelně nepřesná.
Počty incidentů uváděné v jednotlivých měsících, které na první pohled rovněž odpovídají hodnotám vyobrazeným v grafech publikovaných v dílčích reportech za rok 2023, jsou následující: v lednu 21, v únoru 13, v březnu 28, v dubnu 14, v květnu 19, v červnu 22, v červenci 13, v srpnu 27, v září 21, v říjnu 27, v listopadu 10 a v prosinci 12.
Vzhledem k tomu, že NÚKIB publikoval tyto reporty vždy až v měsíci následujícím po tom, k němuž se vztahují, dalo by se rozumně předpokládat, že budou pokrývat všechny relevantní incidenty, k nimž v daném měsíci došlo, vzhledem k tomu, že §8 zákona 181/2014 Sb. požaduje po organizacích, které jsou povinny incidenty ohlašovat, aby tak činily bezodkladně. Pro citelnější pozdější modifikace počtů incidentů evidovaných v jednotlivých měsících by tak ze strany úřadu neměl být důvod.
Lze si nicméně představit situaci, kdy by mohly být určité malé počty incidentů, k nimž došlo na konci měsíce, nahlášeny například s týdenním zpožděním, v důsledku čehož by byla určitá drobná pozdější korekce nezbytná. K něčemu takovému v průběhu roku 2023 zjevně došlo minimálně v reportu za září, přičemž byl upraven počet incidentů evidovaných v srpnu, neb jak je vidět z následujících obrázků, graf publikovaný v zářiovém reportu zjevně ukazuje v srpnu vyšší počet, než graf z předchozího měsíce, v němž hodnota odpovídala původně avizovaným 27 incidentům.
Změna je patrná zejména při porovnání s hodnotou za březen, kdy NÚKIB evidoval 28 incidentů – v prvním grafu je srpnová hodnota pod březnovou, v druhém citelně nad ní.
Je otázkou, proč se k této úpravě počtu incidentů evidovaných pro srpen NÚKIB v textu zářijového reportu nijak explicitně nevyjádřil, přestože graf (resp. jeden ze dvou grafů) změnu jednoznačně ukazuje a nějaké vysvětlení by tak bylo zcela jistě na místě. To však není zdaleka největší úprava historických hodnot, k níž v rámci informování o počtech incidentů ze strany úřadu v posledních měsících došlo.
Ve středu 31. ledna 2024 totiž NÚKIB publikoval na svých stránkách zprávu, v níž informoval, že v roce 2023 zaznamenal rekordní počet kybernetických bezpečnostních incidentů, kterých bylo údajně celkem 262. Přinejmenším matoucí však bylo, že počty incidentů, které NÚKIB uváděl v jednotlivých měsíčních reportech za rok 2023, v součtu dávaly pouze 227 incidentů. I pokud bychom připočetli několik incidentů vzhledem k výše zmíněné zjevné pozdější změně srpnových dat, stále bychom byli citelně vzdáleni 35 incidentům, o které se hodnota publikovaná v prohlášení úřadu lišila od dat vycházejících z dílčích měsíčních reportů.
NÚKIB v rámci samotného prohlášení tento rozdíl nijak nekomentoval a jeho bližší zkoumání se možná může zdát až přehnaně malicherné, je však třeba zdůraznit, že – jak již bylo uvedeno – stejně jako z každoročně publikovaných souhrnných zpráv, i z dílčích měsíčních reportů vychází řada organizací při vyhodnocování aktuálních rizik a řízení vlastní bezpečnosti, a závažnější nepřesnosti v nich tak jsou přinejmenším nežádoucí. Rozdíl 35 incidentů přitom odpovídá cca 15 % počtu vycházejícího z měsíčních reportů, což rozhodně za závažnější nepřesnost považovat lze.
Neb patřím mezi ty, kteří s daty publikovaným úřadem aktivně pracují, a výše uvedeného rozporu jsem si tak všimnul, požádal jsem NÚKIB v reakci na jím publikovanou zprávu na síti LinkedIn o jeho vysvětlení. Vzhledem k tomu, že jsem se ani po několika dnech nedočkal žádné reakce, zaslal jsem na NÚKIB toto pondělí, 5. 2. rovněž e-mailovou zprávu, jejíž relevantní část uvádím zde:
"Dobrý den, vážení,
Chtěl bych Vás touto cestou požádat o vysvětlení rozdílu mezi Vámi nedávno publikovaným „rekordním“ počtem incidentů evidovaných v roce 2023 (262 – viz https://nukib.gov.cz/cs/infoservis/aktuality/2073-nukib-v-roce-2023-zaznamenal-rekordni-pocet-kybernetickych-incidentu/) a počtem, který vyplývá z Vámi publikovaných každoměsíčních přehledů. Ty totiž za rok 2023 dávají v součtu „pouze“ 227 incidentů (v lednu 21, v únoru 13, v březnu 28, v dubnu 14, v květnu 19, v červnu 22, v červenci 13, v srpnu 27, v září 21, v říjnu 27, v listopadu 10 a v prosinci 12). Bez ohledu na zdroj tohoto rozdílu Vám budu vděčný za reakci.
Současně si v kontextu periodicky publikovaných reportů dovolím zmínit, že standard TLP explicitně zakazuje, aby TLP štítky obsahovaly mezeru (viz https://www.first.org/tlp/). V souladu se standardem by tedy mělo být užíváno např. „TLP:RED“, nikoli „TLP: RED“, a v tomto kontextu bych Vám tak doporučil upravit závěrečnou část měsíčních reportů, v nichž je TLP klasifikace popsána. Pro úplnost si rovněž dovolím zmínit, že popis TLP úrovní v měsíčních reportech není zcela korektní – např. u TLP:AMBER+STRICT neuvádí potřebu „need to know“, ale popisuje situaci tak, jako kdyby bylo možné šířit informaci v organizaci, jíž byla poskytnuta, bez omezení, což rozhodně neplatí. Doporučil bych tedy zvážit úpravu i pokud jde o texty vysvětlující jednotlivé úrovně TLP, případně převzít oficiální překlad standardu ze stránek FIRST."
Na tuto zprávu jsem – stejně jako na onu prosbu na síti LinkedIn – v době publikace tohoto článku stále neobdržel ze strany úřadu žádnou reakci. Zmínku přitom zaslouží, že výše uvedený e-mail prokazatelně do NÚKIB nejen dorazil, ale dokonce se dostal na místa, která mají s publikací reportů co do činění.
Ve středu 7. 2. totiž úřad publikoval měsíční report za leden, v němž je textace spojená se standardem Traffic Light Protocol (TLP) upravena v souladu s doporučeními, která jsem ve e-mailu uváděl.
To však není to podstatné, absenci odpovědí na své všetečné dotazy bych byl ochotný tiše – byť přiznávám, že ne nezbytně nadšeně – ignorovat. Co mě však přimělo napsat tento článek bylo nenápadné vyjádření NÚKIB v zápatí úvodu zprávy a graf ukazující počty incidentů za posledních 12 měsíců, který byl ve zprávě obsažen.
NÚKIB v zápatí úvodu reportu uvedl: „Některá data uvedená v tomto přehledu se mohou lišit od přehledů z minulých měsíců. NÚKIB na přelomu roku přistoupil k některým změnám v rámci evidence incidentů, které mírně pozměnily dosavadní statistiky evidovaných incidentů“.
Sám si po pravdě úplně neumím představit k jak významným změnám mohl úřad přistoupit, pokud stále využívá stejnou taxonomii typů bezpečnostních incidentů i klasifikaci jejich závažností, a již dříve uváděl v reportech nejen incidenty ohlášené organizacemi, které jsou z jeho strany regulované, ale i těmi, které regulované nejsou, nicméně bez kontextu nám nezbývá, než výše uvedené vyjádření přijmout.
Zmínku však zaslouží dopady provedených změn, které jsou dobře patrné v grafu ukazujícím historický vývoj počtu incidentů z nového reportu. Ten uvádím níže spolu s grafem z reportu prosincového.
Jak si můžete povšimnout, historické hodnoty v grafu z nově publikované zprávy se citelně liší od těch, které tvoří prosincový graf (a které převážně odpovídají i předchozím grafům publikovaným v průběhu roku 2023).
Aby byly rozdíly patrnější, hodnoty z obou grafů jsem vložil do jednoho grafu a upravil tak, aby odpovídaly stejnému rozsahu vertikální osy.
Jak je vidět, ve zprávě za leden provedl NÚKIB citelnou revizi počtu incidentů publikovaných ve většině měsíců loňského roku. A vzhledem k citelném navýšení hodnot ve vybraných měsících (zejména v září) je dobře možné, že součet „nových“ počtů incidentů za jednotlivé měsíce z tohoto grafu bude skutečně odpovídat avizovaným 262.
Problémem však je, že NÚKIB tímto postupem, kdy do záznamů z loňského roku najednou zpětně zahrnul (zřejmě) okolo tří desítek nových, dříve nepublikovaných incidentů, principiálně zanesl ~15% chybu do dat vyplývajících z měsíčních reportů publikovaných v uplynulém roce, a to s minimálním komentářem a bez jakéhokoli vysvětlení nově užívaných postupů, nebo dopadů na procentuální zastoupení různých typů incidentů v jednotlivých měsících…
Jaké byly ze strany NÚKIB důvody pro ony „změny v rámci evidence“ se aktuálně (mj. vzhledem k oné absenci reakcí na žádosti o vysvětlení souvisejícího počtu incidentů) můžeme pouze domnívat. Zvolený přístup k jejich implementaci však rozhodně nelze považovat za optimální, zejména vzhledem k tomu, že jediná informace o provedených změnách je uvedena v zápatí úvodu zprávy shrnující počty a typy incidentů za leden 2024, kde jí zcela jistě řada těch, pro které je relevantní, nezaznamená. Neb dopady zvoleného postupu nejsou zcela zanedbatelné, byla by tak zřejmě v souvislosti s ním žádoucí přinejmenším o něco transparentnější a širší komunikace – minimálně informování o „změně evidence“ i v rámci webových stránek úřadu. Pokud byla navíc do současnosti publikovaná data z nějakého důvodu nepřesná – a zdá se, že dle nového postupu evidence byla – bylo zřejmě vhodné tuto skutečnost okomentovat a vysvětlit.
NÚKIB má nezanedbatelnou moc ovlivňovat fungování českých organizací a jejich přístup ke kybernetické bezpečnosti, a to nejen s pomocí nástrojů, které mu do rukou dává legislativa, ale i z pozice „expertního subjektu“ v oblasti kybernetické bezpečnosti. Jakékoli informace, které úřad publikuje, tak má většina organizací tendenci přebírat jako důvěryhodné a přesné. Podobné kroky jako ten výše popsaný mají proto citelný dopad nejen na bezpečnostní komunitu, která publikované informace využívá, ale například i na populární média, která v době tvorby tohoto článku s odkazem na NÚKIB stále pracují s daty o počtech incidentů ze začátku roku, která jsou již zjevně neplatná…
Shrnuto a podtrženo (a s kapkou cynismu) - upřímně doufám, že ze strany NÚKIB nebyl vědomě zvolen postup „zpětně změníme čísla za většinu roku 2023, o kterých jsme posledních 12 měsíců tvrdili, že jsou správná, nebudeme to jakkoli vysvětlovat nad rámec jedné, nic neříkající větičky v zápatí reportu za leden, a budeme doufat, že si toho nikdo nevšimne“. Z pohledu externího subjektu - člověka, který nevidí do dění a rozhodování na úřadu - tak jeho chování nicméně působí. V každém případě nejde o postup hodný organizace typu NÚKIB – působí zmatečně, neprofesionálně a vybraným organizacím zcela zbytečně zkomplikuje život.