ZKB pozvedl úroveň informační bezpečnosti

Na začátek uvedu, že existenci zákona o kybernetické bezpečnosti hodnotíme vesměs kladně. Významně přispěl k navýšení bezpečnostního povědomí a „uvědomění“ ve státních úřadech. Často byl impulsem pro zavedení, zlepšení nebo minimálně revizi systému řízení bezpečnosti informací v organizaci. Mnohde podpořil zavedení podpůrných technických nástrojů, zejména nástrojů pro bezpečnostní monitoring a pokročilou detekci hrozeb. Jinými slovy ZKB pozvedl celkovou úroveň informační bezpečnosti zejména ve státní správě, což bylo snad jeho hlavním cílem. V důsledku přinesl také více obchodních příležitostí IT firmám.

Diametrálně odlišný přístup jednotlivých organizací

V čem je tedy přístup organizací k naplňování požadavků zákona o kybernetické bezpečnosti tak diametrálně odlišný? Pojďme uvést nějaké příklady.

• Exponovaný úřad, který nespadá pod působnost ZKB, se proaktivně rozhodl přizpůsobit svůj systém řízení bezpečnosti informací, strukturu bezpečnostní dokumentace a metodiku provádění analýzy rizik, sotva zaschl inkoust na doprovodné vyhlášce k ZKB.
   
• Na ministerstvu, které je správcem několika významných informačních systémů („významných“ dle ZKB), se stal ZKB impulzem pro celoplošné zavedení log management systému a bezpečnostního monitoringu. Je vhodné doplnit, že toto ministerstvo se o své informační systémy dlouhodobě pečlivě stará, provozuje i rozsáhlý informační systém pro zpracování utajovaných informací, a se striktním řízením informační bezpečnosti mají tedy bohaté zkušenosti. I k naplnění jednotlivých stanov ZKB přistupují odpovědně.
   
• Ministerstvo, které je správcem několika významných i kritických informačních systémů, dělá minimálně ve dvou případech mrtvého brouka. Provozovatel těchto IS provedl ze své iniciativy „gap“ analýzu a upozornil správce na zjištěné (zjevné) nesoulady s požadavky zákona. Proběhla velmi formální a velmi povrchní analýza rizik bez jakýchkoli praktických přínosů pro informační bezpečnost. Nic dalšího se nejspíš nyní nechystá a požadavek na zajištění souladu se ZKB bude zanesen až do výběrového řízení na provozovatele těchto systémů v dalším období.

ZKB se nestal bičem na lajdáky

Trochu zjednodušeně se dá konstatovat, že k naplňování požadavků ZKB přistupují povinné subjekty s takovou pečlivostí, s jakou dlouhodobě řídí provoz svých informačních systémů. ZKB se nestal bičem na lajdáky. V některých případech byl motivací pro zlepšení stavu, ale ještě úspěšněji je používán jako odůvodnění pro investice. Návratnost investic do informační bezpečnosti se všeobecně počítá těžko, protože kalkulujete s nejasnou výší fiktivních ztrát, pokud se investice neuskuteční a úroveň zabezpečení zůstane nízká. Argument „potřebujeme to, protože nám to nařizuje zákon“ má u manažerů úplně jinou váhu než argument „potřebujeme to, protože jinak odhadujeme až takovéto ztráty (finanční i nefinanční)“ nebo dokonce „potřebujeme to, protože to je obvyklá praxe“.

Zaznamenali jsme také zvýšený zájem o informační bezpečnost i u firem, které nespadají pod působnost ZKB přímo, ale ZKB se jich nějakým způsobem dotýká. Nejčastěji se jedná o dodavatele technologických prvků nebo celých bloků do významných nebo kritických informačních systémů. Zájem je proaktivní, finální rozhodnutí k provedení investice do informační bezpečnosti je ale u těchto subjektů nezřídka spojeno až s konkrétním tlakem na prokázání souladu.

Trendy v oblasti bezpečnostních technologií

Pokud nyní odhlédneme od organizační bezpečnosti a soustředíme se na požadavky zákona v oblasti technických opatření, největší boom nastal rozhodně v oblasti nástrojů pro bezpečnostní monitoring – log management a SIEM systémů, a v pokročilejší navazující oblasti nástrojů pro řízení privilegovaného přístupu. Tj. nástrojů, které navyšují možnost kontroly nad činnostmi administrátorů, ať už se jedná o zaměstnance, nebo pracovníky dodavatelských firem. Nejspíš je to tím, že nástroje pro ověřování identity uživatelů a řízení přístupových oprávnění, nástroje pro ochranu před škodlivým kódem či pro ochranu integrity komunikačních sítí a nějaký ten systém monitoringu dostupnosti služeb už organizace vesměs mají. Sice třeba ne v úplně „zdravém“ stavu, ale mají. Na rozdíl od bezpečnostního monitoringu, což je úloha kontrolní, pro řízení informační bezpečnosti naprosto nepostradatelná, ale pro mnohé manažery rozhodující o investicích bohužel úloha donedávna nedůležitá a postradatelná.

Pozitivní vliv na otevřenost výběrových řízení

Ve výběrových řízeních na bezpečnostní řešení jsme v posledním roce také zaznamenali větší reálnou otevřenost. Technické požadavky v zadávací dokumentaci nejsou tak často šité na míru nějakému konkrétnímu, již vybranému produktu. Vysvětlujeme si to tím, že cílem výběrového řízení je skutečně funkčně pokrýt některou z oblastí řízení informační bezpečnosti a nejedná se o konkrétním výrobcem lobbisticky motivované výběrové řízení. Větší reálná otevřenost výběrových řízení je však celkem jistě celospolečensky pozitivní trend, takže další kladné body pro ZKB. Jaké budou dlouhodobé praktické dopady ZKB, to zjistíme až v dalších letech.

Mgr. Pavel Štros, Ph.D.