Informační kriminalita je jednou z nejrychleji se rozvíjejících forem kriminality – v roce 2014 zaznamenala Policie ČR nárůst trestné činnosti spáchané s pomocí výpočetní techniky o téměř 50%. I proto je od 1. ledna 2015 účinný zákon 181/2014 Sb., o kybernetické bezpečnosti, jehož cílem je především ochrana významných informačních a komunikačních systémů státu včetně systémů kritické infrastruktury. Lze totiž očekávat, že právě tyto systémy budou přitahovat kybernetické útoky.

Souhrnně řečeno nám kybernetický zákon:

• Definuje pojmy a systémy zajištění kybernetické bezpečnosti, bezpečnostních opatření v oblasti zabezpečení informačních a komunikačních systémů a tím, které subjekty je mají plnit;
• Stanovuje, co je to kybernetické nebezpečí a jak na ně mají jednotlivé povinné subjekty reagovat;
• Popisuje výkon státní správy, to znamená, co má v této oblasti dělat NBÚ, co a jak má kontrolovat, jaká nápravná opatření má nařizovat, jaké jsou správní delikty a pokuty za ně;
• Ukládá pěti typům povinných subjektů celkem 5 zákonných povinností: hlásit kontaktní údaje, detekovat kybernetické bezpečnostní události, hlásit kybernetické bezpečnostní incidenty, zpracovávat bezpečnostní dokumentaci a zavádět bezpečnostní opatření a rovněž provádět opatření vydaná NBÚ.

V související vyhlášce o kybernetické bezpečnosti (§29) se říká, že povinný subjekt může svůj soulad s požadavky kybernetického zákona na bezpečnostní opatření prokázat certifikátem podle ISO/IEC 27001 - Systém řízení bezpečnosti informací (ISMS). Uvedená norma byla a priori vytvořena pro soukromý sektor a vychází z britských standardů. Jako norma ISO byla přijata v roce 2005. Norma ISO 27001 jde v některých ohledech nad rámec zákona o kybernetické bezpečnosti, a proto bych ji doporučil pro implementaci všem organizacím.

Jak správně zavést systém řízení bezpečnosti informací?

Hlavní je se rozhodnout a začít! Důležité je sestavit implementační tým a získat podporu napříč organizací. Jde o systémovou změnu, jiný pohled na věc, změnu firemní kultury. Zásadní chybou je se domnívat, že se ISMS týká jen IT managementu. Problematika je mnohem širší. Subjekty musejí nejprve provést vstupní analýzu informačního systému - jde o analýzu 14 bezpečnostních zón a prověření více než 114 bezpečnostních kontrol. Dále je potřeba stanovit s ohledem na aktiva a organizační bezpečnost rozsah a hranice systému řízení bezpečnosti informací, ve kterém určí, kterých organizačních částí a technických prvků se systém řízení bezpečnosti informací týká.

Základní organizační opatření jsou vytvoření a schválení bezpečnostní politiky v oblasti systému řízení bezpečnosti informací, identifikace a hodnocení aktiv a s nimi spojených rizik (hrozby, zranitelnosti), určení bezpečnostní rolí uvnitř organizace atd.

K nejdůležitějším opatřením technického charakteru patří zajištění fyzické bezpečnosti a implementace správných technických nástrojů (pro ověřování identity uživatelů, pro řízení přístupových oprávnění, pro ochranu před škodlivým kódem, pro ochranu integrity komunikačních sítí, pro detekci kybernetických bezpečnostních událostí apod.), aplikační bezpečnost, užíváni kryptografických prostředků a bezpečnost průmyslových a řídicích systémů.

Následuje fáze analýzy rizik a definice metod („safeguards“) řízení rizik, po níž je možné přistoupit k identifikaci všech bezpečnostních protiopatření a kontrolního mechanismu pro správu bezpečnostního systému. A tak dále.

Jak vypadá bezpečnostní audit

Když přijdeme do firmy na bezpečnostní audit, začínáme vstupním pohovorem s vedením. Potom procházíme veškerou dokumentaci, kde je popsána bezpečnostní politika a krizový plán, podíváme se do počítačového systému a dotazujeme se lidí, abychom zjistili, jak se bezpečnostní politika dodržuje v praxi. Potom se soustředíme na největší rizika, která si firma na základě své analýzy stanovila, a zjišťujeme, jak jsou zvládnuta, případně dáváme doporučení, jak situaci zlepšit. V případě zásadních neshod s normou, např. když firma pravidelně nemění přístupová hesla, dáváme lhůtu třiceti dní na to, aby firma problém odstranila a mohla auditem úspěšně projít. Když jsou neshody s normou odstraněny, můžeme firmě vydat certifikát.

Nečastější chyby v oblasti kybernetické bezpečnosti

Ze zkušenosti mohu říci, že hlavním rizikem je selhání lidského faktoru nejčastěji plynoucí z nedostatečného bezpečnostního povědomí uživatelů. Zaměstnanec ztratí USB s citlivými údaji, omylem přepošle řetězový e-mail s důvěrnou přílohou, špatně volí heslo, užívá programového vybavení v rozporu s licenčními podmínkami, neinformuje o chybě nadřízeného apod. A velmi často hrozbu představují (sub)dodavatelé, na které se úplně zapomíná. Jestliže informace uniknou při přenosu mezi firmou a jejím dodavatelem nebo poskytovatelem služeb, poškodí to vždycky dobré jméno obou subjektů, přestože se prokáže, že vina je jen na jedné straně. Proto musí firma vždy věnovat pozornost i tomu, s kým spolupracuje a zda jsou její informace u spolupracujícího subjektu v bezpečí.

Jakub Kejval Autor článku je generálním ředitelem společnosti Bureau Veritas, která se zabývá udělováním certifikátů managementu bezpečnosti informací.