facebook LinkedIN LinkedIN - follow
IT řešení pro veřejný sektor a zdravotnictví , IT Security , Veřejný sektor a zdravotnictví

Zákon o kybernetické bezpečnosti – nevyřízená záležitost



AECO zákonu o kybernetické bezpečnosti bylo napsáno mnoho článků a proběhla řada více či méně bouřlivých diskuzí. Pojďme si shrnout známá fakta a povinnosti s datem červenec 2015. Organizace, které tušily či věděly, že se jich Zákon týká, již měly provést nezbytné kroky a nyní se věnují implementaci bezpečnostních opatření, které jim Zákon ukládá.


Důležité termíny a povinnosti:

  • nahlásit kontaktní údaje do 31. 3. 2015 pro KII (kritická informační infrastruktura) i VIS (významné informační systémy), u VIS uvedených ve vyhlášce č. 317/2014 to bylo již 31. 1. 2015
  • zavedení bezpečnostních opatření nejpozději do 1. 1. 2016 se týká pouze VIS uvedených ve vyhlášce č. 317/2014, termín pro neuvedené VIS se odvíjí od data posouzení kritérií správcem VIS např. 1. 3. 2015 a poté je rok na implementaci tj. do 1. 3. 2016
  • začít hlásit kybernetické bezpečnostní incidenty nejpozději k 1. 1. 2016 u VIS uvedených ve vyhlášce č. 317/2014, ostatní VIS a KII k 1. 3. 2016.

Dalších celkem 9 povinností se liší dle toho, zda jde o orgán či osobu s KII či VIS – tyto povinnosti jsou popsány v souvisejících vyhláškách č. 315, 316 a 317/2014 Sb. a přehled 9-ti povinností lze nalézt na odkazu [1]

Určitě se vás Zákon o kybernetické bezpečnosti netýká?

Největší vášně budily a budí nejasnosti ohledně toho, koho se Zákon týká a koho ne, organizace to řešily různými způsoby pomocí nákladných analýz nebo i rozhodnutím managementu, že zákon dle výkladu interních právníků se jich netýká. Pojďme si shrnout, jak ověřit, zda organizace je vůči Zákonu odpovědná či ne:

  1. Organizace jsou ve vyhlášce 317/2014 určeny, že mají VIS.
  2. Organizace jsou určeny, že mají KII – zde je nejnovější informace z Usnesení vlády České republiky ze dne 25. května 2015 č. 390, kde určení prvku kritické infrastruktury, jehož provozovatelem je organizační složka státu v odvětví komunikační a informační systémy, byly aktualizovány. Spadly sem registry a agendy ministerstev, ČNB, ČSÚ, ČUZK, Policejního prezidia, ÚOOÚ, ČSSZ, NBÚ ale i budova GSA pro systém Galileo, vyjmenované stanice HZS, vyjmenované finanční a celní úřady.
  3. Oblast organizací, které nejsou vyjmenovány a musí samy sebe identifikovat jako VIS či KII budí zmíněné nejasnosti. NBÚ přispělo k objasnění rozhodnutí, zda Zákon pro organizaci platí či ne pomocí celkem použitelných rozhodovacích diagramů zvlášť pro VIS i KII. Viz odkazy [2] a [3].

Zákon se nás týká – kdo se o to bude starat?

Implementace organizačních a technických opatření z vyhlášky č. 316/2014 včetně zpracování bezpečnostní dokumentace je pouze startovní povinností, která zajistí, aby organizace měly co ukázat NBÚ, pokud přijde na kontrolu a splnily tak svoji zákonnou povinnost. Spojitou nádobou je rovněž dostat kybernetickou bezpečnost z ICT oddělení do každodenní praxe mezi běžné uživatele organizace. Kybernetická bezpečnost ve smyslu Zákona je v kostce o hlášení kybernetických incidentů a o reakci na reaktivní a ochranná opatření, která vydává NBÚ. Jak nastavit organizační strukturu je popsáno v příkladu viz odkaz [4].

Dle velikosti organizace a povahy IS (VIS či KII) bude nastavení bezpečnosti v každé organizaci trochu jiné. Nutné je zajistit oddělení rolí kybernetické bezpečnosti od běžné provozní správy IS. Zákon proto vyžaduje obsazení specifických rolí manažer, auditor a architekt kybernetické bezpečnosti a dále roli garant aktiva. Potíž mohou mít ti zaměstnanci organizace, kteří jsou v rolích v rámci ISMS (Information Security Management System) dle ISO/IEC 27001 krátce a neplní požadovanou praxi v délce 3 let v gestované bezpečnostní roli. Popis rolí manažera, auditora i garanta aktiva je poměrně jasná a konzistentní s ISMS, kde garant je starý známý vlastník aktiva. U role architekta kybernetické bezpečnosti je situace proti ISMS nová, je vyžadována praxe 3 roky, nicméně kvalifikace není příliš popsána. V materiálu NBÚ [4] se vyskytuje pojem Enterprise architektura a zmínka o využití vhodné metodiky. Metodik pro Enterprise architekturu je celá řada, nejznámější je TOGAF a i kurzy pro získání kvalifikace na pozici Architekt kybernetické bezpečnosti prvky TOGAFu obsahují a lze tedy předpokládat širší využívání tohoto architektonického frameworku.

Plnit požadavky Zákona nebo přejít na certifikaci ISO/IEC 27001 (ISMS)?

Zákon v organizačních opatřeních vychází z normy ISO/IEC 27001, takže organizace mající tuto certifikaci mají významný náskok a dle § 29 vyhlášky č. 316/2014 Sb. lze certifikací ISMS doložit plnění Zákona. Osobně se domnívám, že v oblasti prokazování plnění požadavků Zákona pomocí ISMS certifikace je u technických opatření neshoda a lze předpokládat doplnění dalších požadavků v již zmíněném §29. Malé organizace s VIS se pomocí certifikace ISMS vyhnou implementaci nákladných technických opatření, neboť v kontextu organizace v ISMS a rozsahu prohlášení o aplikovatelnosti ISMS (scope) nebude certifikace ISMS tak náročná, jako plnění požadavků Zákona.

Má to celé úsilí kolem Zákona smysl?

Při své praxi se potkávám s velmi rozdílnými názory na smysluplnost Zákona. Jednoznačně se přikláním k názoru, že kybernetickou bezpečnost je nutné řešit, abychom mohli jako stát fungovat i případě rozsáhlých kybernetických incidentů a útoků. Je třeba si uvědomit, že rychlost koordinovaného nasazení reaktivních opatření bude mít zásadní vliv na to, abychom jako občané měli dostupné služby, na které jsme denně zvyklí. V roce 2014 došlo k zásadnímu nárůstu kybernetických incidentů o 48% oproti roku 2013. Jejich celkový globální počet je více než 40 milionů. Více než 95% těchto incidentů je úspěšných z důvodů nedostatečné ochrany. V tomto světle pak má smysl chtít po největších bankách ČR, aby byly součástí KII, neboť objem platebního styku, které realizují, je obrovský a při delší nedostupnosti internetového bankovnictví je dopad zásadní. Banky již dávno reagovaly na přechod klientů na internet a pobočky by již tak silný nápor klientů nemusely stíhat papírově provizorně obsloužit. Celkový objem obchodu prostřednictvím Internetu neustále roste, ve státech G20 bude v roce 2016 tento objem činit více než 105 bilionů korun. Důsledky kybernetických útoků v energetice, státní správě (registry apod.) či ve zdravotnictví již pouze čekají na správnou motivaci kybernetických zločinců, neboť oproti bankovnímu prostředí je míra zabezpečení tradičně nižší.

Jak a kdy mě bude NBÚ kontrolovat, zda plním Zákon?

Kontrolu plnění Zákona bude zajišťovat NBÚ, teoreticky od 1. 1. 2016 u vyjmenovaných VIS, u ostatních od 1. 3. 2016. S ohledem na množství organizací a kapacity NBÚ pravděpodobnost kontroly připomíná možnost kontroly finančním úřadem ve firmě v Praze. I sankce do výše 100 000 Kč nahrávají do karet těm, kteří jako svoji strategii zvolí cestu nahlášení kontaktů NBÚ a tvorbu bezpečnostních šablon, kterou ochotně dodá poradenská firma. V současné době nejsou k dispozici informace, že by NBÚ kontrolní činnost přenesla formou akreditací či atestací na nezávislé orgány, které by NBÚ s kontrolní činností pomohly. Nejednalo by se o žádný precedens, již atestace Informačních systémů veřejné správy (ISVS) je v podstatě obdobou kontroly ověření plnění zákona o informačních systémech veřejné správy (č. 365/2000 Sb. ve znění č. 81/2006 Sb.) a VIS budou u řady organizací velmi podobné se systémy, které již jsou vedeny v rámci ISVS i když nejsou tyto VIS vyjmenovány ve vyhlášce.

Závěrem

Uvidíme, co přinese čas a zkušenosti se Zákonem, který má své dětské nemoci, nicméně stejně jako u nového operačního systému je dobré počkat na první Service pack, tak i u Zákona lze předpokládat posun k lepšímu s jeho první novelizací. Každá snaha o řešení kybernetické bezpečnosti na legislativní úrovni, je vítaná, dokonce si dovoluji tvrdit, že nezbytná a s naší každodenní závislostí na ICT je bezpečnost stále důležitějším faktorem. S nástupem Internetu věcí budou potenciální dopady kybernetických incidentů na náš každodenní život čím dál zřetelnější. Za pár let si tu přečteme článek nad novelizací Zákona v takovém rozsahu, který bude připouštět aktivní preventivní zásahy proti kybernetickým zločincům ještě dříve, než kybernetický útok provedou. Ve světle posledních zpráv uniklých z aktivit Hacking Teamu je vidět, že výkonná moc našeho státu se snaží bojovat všemi kybernetickými prostředky a že data jsou stále cennějším artiklem, které je stále obtížnější chránit.

Odkazy:
Martin Tobolka, AEC Ing. Martin Tobolka
Autor článku, Ing. Martin Tobolka, působí ve společnosti AEC a.s. Zabývá se Enterprise Security architekturou. Je lektorem kurzů kybernetické bezpečnosti a vedoucím auditorem ISO/IEC 27001 v celé řadě certifikačních orgánů v ČR i zahraničí.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Fortinet představil první bezpečné síťové řešení s podporou Wi-Fi 7

FortiAP 441KNový přístupový bod Wi-Fi 7 a 10gigabitový switch s podporou napájení PoE nabízí 2x vyšší rychlost a zvýšenou kapacitu v rámci integrovaného portfolia bezpečných pevných a bez­drá­to­vých řešení společnosti Fortinet.