facebook LinkedIN LinkedIN - follow
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Compas automatizace
IT SYSTEMS 12/2016 , IT právo

Dopady zákona o kybernetické bezpečnosti

JUDr. Jiří Matzner, Ph.D., LL.


kybernetická bezpečnost, MatznerPřed bezmála dvěma lety začal v České republice platit zákon o kybernetické bezpečnosti. Jaké jsou po jeho praktické dopady?


Zákon č. 181/2014 Sb. primárně směřuje k vynucenému zvýšení bezpečnosti kritické infrastruktury státu a nejdůležitějších informačních systémů (provozovaných státem i komerčními subjekty), ve kterých jsou spravovány osobní údaje velkého množství lidí. Smyslem nových pravidel stanovených zákonem je předcházení závažným bezpečnostním hrozbám a připravenost k okamžitému řešení. Dohledem nad kybernetickou bezpečností ČR byl pověřen Národní bezpečnostní úřad (NBÚ) společně s Národním centrem kybernetické bezpečnosti. V případě závažného bezpečnostního incidentu (nebo pokud existuje jeho reálná hrozba) může NBÚ vydat reaktivní nebo ochranné opatření pro zabezpečení klíčové infrastruktury, a dokonce i vyhlásit stav kybernetického nebezpečí.

Zákon o kybernetické bezpečnosti se týká především poskytovatelů telekomunikačních služeb (tedy i internetového připojení), ale i dalších provozovatelů významných IT infrastruktur z oblasti veřejné správy, zdravotnictví, dopravy, energetiky, finančních služeb nebo provozovatelů dalších komunikačních a informačních systémů, definovaných předpisem č. 432/2010 Sb. Firmy a organizace, na které se zákon č. 181/2014 Sb. vztahuje musely zavést systém řízení bezpečnosti informací a rizik, řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému i zvládání kybernetických bezpečnostních incidentů. Vedle fyzického zabezpečení bylo nutné nasadit rovněž nástroje na ochranu integrity komunikačních sítí, ověřování identity uživatelů, řízení přístupových oprávnění a rovněž i ochranu před škodlivým kódem. Součásti kritické informační infrastruktury a významné informační systémy musejí být nepřetržitě monitorovány a musí být zaznamenávána činnost jejich administrátorů a uživatelů. Nelehkou podmínkou je i detekce kybernetických bezpečnostních událostí a jejich a vyhodnocování.

Náklady na zabezpečení

Jelikož většina požadavků zákona o kybernetické bezpečnosti vychází z norem řady ISO/IEC 27000, měly firmy a organizace s certifikací dle těchto norem výhodnější výchozí pozici. Přesto se ale ukazuje, že i ve vysoce zabezpečených systémech lze vždy najít skuliny. Svědčí o tom například široce medializovaný případ odcizení osobních dat 1,2 milionu zákazníků českého T-Mobilu jedním ze zaměstnanců. Úřad pro ochranu osobních údajů posoudil situaci tak, že T-Mobile nedostatečně zabezpečil své systémy, a udělil telekomunikačnímu operátorovi pokutu 3,6 milionu korun.

Náklady na zabezpečení systémů a dat obecně představují velký podíl z rozpočtů firem na IT a splnění požadavků zákona o kybernetické bezpečnosti je v mnoha dotčených firmách a organizacích spojeno se zásadní investicí. Nejvíce problémů mají samozřejmě firmy, které si zatím se zabezpečením příliš nelámaly hlavu. Sice si mohou najít konzultanty a dodavatele z oblasti bezpečnosti IT systémů, nebo si zajistit řízení bezpečnosti svých IT systémů formou služby, ovšem odpovědnosti za plnění požadavků zákona se tím samozřejmě nezbavují. Za neplnění povinností zákona č. 181/2014 Sb. přitom může být uložena sankce do výše 100 000 Kč. Nesplnění požadavků zákona může představovat i nehlášení bezpečnostních incidentů nebo chybějící bezpečnostní dokumentace.

Koncentrace dat

Jelikož si ne všechny firmy a organizace mohou dovolit splnění všech požadavků na ochranu svých systémů a dat dle zákona o kybernetické bezpečnosti, je možné, že jedním z jeho důsledků bude koncentrace obrovského množství osobních dat pod správou velmi omezené skupiny firem a státních organizací. Zatímco jsme si už celkem zvykli, že nadnárodní firmy sbírají gigantická množství dat za účelem tvorby a udržování profilů svých zákazníků pro cílení reklamy, dalším velkým sběračem dat se v ČR postupně stává státní správa. V poslední době jde především o rozbíhající se projekt elektronické evidence tržeb a připravovaný centrální registr bankovních účtů. Nároky zákona č. 181/2014 Sb. samozřejmě musí plnit i organizace státní správy, ale to neznamená, že by k uchovávaným datům nemohly získat přístup bezpečnostní složky, tajná služba a další orgány, které najdou vše hezky na jednom místě.

Je nasnadě, že koncentrace dat do několika centrálních databází pod rouškou zajištění ochrany před kybernetickými útoky příliš bezpečné není. Naopak se ukazuje, že právě centralizované datové sklady jsou primárním cílem útoků, využívajících celé spektrum prostředků – od zneužití chyb v softwaru a zabezpečení, přes phishing až po sociální inženýrství.

Jistě není na škodu, že je Česká republika jednou z mála zemí, které mají zákony týkající se kybernetické bezpečnosti. Nicméně, poměrně přísná dikce zákona č. 181/2014 Sb. a jeho striktní vymáhání může do budoucna vést k soustředění dat do rukou malé skupiny velkých společností a státní správy, což zvyšuje riziko pro tato data nejen ze strany kybernetických útoků, ale i možnost jejich zneužití.

JUDr. Jiří Matzner, Ph.D., LL.M. JUDr. Jiří Matzner, Ph.D., LL.M.
Autor článku je zakladatelem advokátní kanceláře MATZNER et al.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Žádný systém sám o sobě nic nevyřeší

IT Systems 4/2021V aktuálním vydání IT Systems opět najdete spoustu novinek ze světa informačních technologií a inspirace, jak je využít pro rozvoj vaší firmy nebo organizace. Mapujeme aktuální trendy v digitalizaci stavebnictví, vybavení pro kontaktní centra a service desky. Věnujeme se řízení práce na dálku a onboardingu zaměstnanců v době covidu, řízení projektů a hybridnímu cloudu. Významným tématem je jako vždy zajištění kybernetické bezpečnosti – konkrétně zabezpečení ICS, důsledky kauzy Exchange, DDoS útoky a bezpečnost mobilních zařízení.

Helios
- inzerce -