Novinky

Více než 30 IDM realizací v České republice i zahraničí

AMI Praha Bude rok 2015 v IT ve znamení kybernetického zákona?
Bude rok 2015 v IT ve znamení kybernetického zákona?

Bude rok 2015 v IT ve znamení kybernetického zákona?

Všichni tedy mají rok na to se na zákon připravit a mít své procesy a kybernetickou bezpečnost v souladu s ním.

Můžeme se tedy těšit, že velké firmy a orgány veřejné moci, budou investovat velké peníze do zvýšení jejich kybernetické bezpečnosti, aby vyhověli novému zákonu?

Koho se nový zákon vlastně týká?

Kybernetický zákon se se týká všech správců kritické infrastruktury a významných informačních systémů. Do konce minulého roku byl však trochu spor, kdo to vůbec je a do jaké míry se to týká i komerčních subjektů.

Kritická infrastruktura

Kritická infrastruktura je definovaná v zákoně č. 432/2010 Sb., který určuje kritéria kritické infrastruktury dle odvětví a dopadu při výpadku či napadení takové infrastruktury. Tedy nerozlišuje, zda je jedná o komerční subjekty nebo veřejnou správu. V současné době je předložen návrh novely, který přidává některá nová kritéria.

  1. Kritéria z první skupiny (body a, b) se týkají toho, co již je vybráno jako součást kritické infrastruktury (například konkrétní elektrárna, konkrétní nemocnice, konkrétní letiště apod.), a jako svou přímou či nepřímou součást to „má“ i nějaký informační či komunikační systém (např. systém řízení letového provozu, řídící systém elektrárny).
  2. Kritéria druhé skupiny v zásadě říkají, že příslušný systém „spadne“ pod nový zákon, pokud je jeho ochrana „nezbytná pro zajištění kybernetické bezpečnosti“.
  3. Konečně třetí skupina nových kritérií se týká takových systémů, které dosud nejsou zařazeny do kritické infrastruktury, ani v odvětví „VI: Informační a komunikační systémy“, ani v jiném. Právě zde se jedná kritéria na bázi počtu osob a přenosové rychlosti:
  • informační systém spravovaný orgánem veřejné moci obsahující osobní údaje o více než 300 000 osobách,
  • komunikační systém, zajišťující připojení nebo propojení prvku kritické infrastruktury, s kapacitou garantovaného datového přenosu nejméně 1 Gbit

U třetí skupiny kritérií je však podmínka, že správcem je právě orgán veřejné moci, což vylučuje správce ze soukromého sektoru. To tedy vylučuje například informační systémy spravující databázi zákazníků nejrůznějších poskytovatelů služeb z privátního sektoru.

Významné informační systémy

Významné informační systémy upravuje vyhláška č. 317/2014 Sb., která vylučuje jako správce obce a soukromý sektor. Týká se tedy pouze orgánů veřejné moci, které splňují dopadová (například v případě nefunkčnosti nebo napadení oběti na životech, dopad na více než 50 000 osobo apod.) nebo oblastní kritéria (konkrétní orgány jako ministerstva, VZP či Úřad vlády) vyjmenovaná ve vyhlášce.

Shrneme-li to, tak potenciální zákazníky můžeme hledat zejména u orgánů veřejné moci a komerčních subjektů, které již nyní spadali pod zákon 432/2010 Sb.

Co budou muset správci Kritické Infrastruktury vylepšit?

Podle zákona se firmy a organizace, na které se bude nový zákon č. 181/2014 Sb. vztahovat, musí připravit na rozsáhlá organizační i technická opatření, zahrnující především zavedení systému řízení bezpečnosti informací a rizik, řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému a především také zvládání kybernetických bezpečnostních incidentů.

Firmy a organizace splňující požadavky na systém řízení bezpečnosti informací dle norem řady ISO/IEC 27000 budou na požadavky nového zákona o kybernetické bezpečnosti pravděpodobně připraveny, jelikož většina opatření tohoto zákona vychází právě z těchto norem. A stejně jako ISO normy je tento zákon vykládán pouze jako soubor obecně definovaných požadavků, u nichž není definováno, jak je konkrétně naplnit. Jejich interpretace a míra naplňování bude asi hodně různá. Dokonce i konkrétně stanovené požadavky nemusí být dle vyhlášky č. 316/2014 splněny, ale musí být zajištěno jinými postupy stejné nebo vyšší úrovně bezpečnosti.

Příklad:

Vyhláška č. 316/2014 Sb. §18 odst. 3. stanoví konkrétně složitost a délku hesla. Minimálně 8 znaků, jedno velké písmeno, jedno malé písmeno, jedna číslice a povinná změna hesla minimálně 1x za 100 dnů. Přesto může správce infrastruktury mít heslo například kratší nebo ho měnit po delší době, pokud zajistí bezpečnost hesla jinak. Například dvojitou autentizací, vyšší složitostí hesla nebo sledováním historie hesla. Konkrétní splnění úrovně bezpečnosti, tak musí posoudit auditor nebo NBÚ při kontrole.

Některé správce tedy nečekají téměř žádné změny, jiné při správném výkladu a argumentaci budou muset vytvořit jen hromadu dokumentů, které zákon a vyhlášky předpokládají. Větší problémy ovšem mohou mít správci, kteří bezpečnost svých informačních systémů dlouhodobě podceňovali. Postup uvedení stavu bezpečnosti do souladu s požadavky zákona nebude u těchto institucí vůbec snadný a může zabrat i 6-8 měsíců intenzivní práce. Za nesplnění povinností nového zákona může být uložena sankce do výše 100 000 Kč.

I ti, kteří splňují ISO/IEC/27000, budou muset přinejmenším nastavit elektronickou komunikaci s národním CERTem, jemuž budou muset hlásit všechny bezpečnostní incidenty a pokusy o kybernetické útoky. Elektronická komunikace s CERTem může probíhat i manuálně přes e-mail či datové schránky, ale lze předpokládat, že správci budou chtít tato hlášení automatizovat pomocí datového rozhraní CERTu.

Kdo se tedy může těšit na zajímavé zakázky?

Lobbisté již určitě domlouvají audity souladu bezpečnostních opatření s právními předpisy, které se navíc musí provádět každých 12 měsíců osobou, která má minimálně 3 letou praxi v pozici auditu bezpečnosti informací. Tyto firmy budou moci také správcům vypracovávat povinné dokumenty bezpečnostních politik a pravidel, kterých dle zákona opravdu není málo.

Další oblastí dobře odůvodnitelných výdajů bude datové napojení hlášení incidentů a kybernetických útoků na CERT. Vybrané „aletry“ z bezpečnostních systémů a správy logů se tak budou automaticky přenášet do CERTu, který je analyzuje, zpracovává a může například i vyhlásit stav kybernetického ohrožení.

Jako okrajové příležitosti pak můžeme považovat i další další projekty, které zvyšují kybernetickou bezpečnost a které mohou dostat díky kybernetickému zákonu podporu vedení. Jedná se především o systémy správy a ochrany dokumentů a dat:

  • DMS (document management systém),
  • DLP (data loss prevention).
  • SIEM (security information and event management)

Systémy centrální správy identit, rolí a přístupů:

a systémy, které zpracovávají a analyzují logy přístupů administrátorských zásahů apod.

Zajímavý potenciál vykazují také projekty MDM (Mobile Device Management), na které prozatím ve veřejné správě nebyl kladen větší důraz. V kybernetickém zákoně jsou zmíněny jen okrajově, ale implicitně je zmiňuje, že je potřeba hlídat i data na mobilních zařízeních a přístupy přes mobilní zařízení ke kritickým systémům a významným informačním systémům

Uvidíme tedy, jaká bude letos realita. Jak budou správci KI a VIS pospíchat, aby byli v souladu s novým zákonem, a jak budou kreativní při kontrolách NBÚ a národního CERTu, aby nic moc měnit nemuseli.

Zdroje:

  1. Lupa.cz – Jiří Peterka – Kdo (a co) bude spadat pod nový zákon o kybernetické bezpečnosti?
  2. Zákon č. 432/2010 Sb. o kritériích pro určení prvku kritické infrastruktury
  3. Zákon č. 181/2014 Sb. o kybernetické bezpečnosti
  4. Vyhláška č. 317/2014 Sb. o o významných informačních systémech a jejich určujících kritériích
  5. Businessinfo.cz – Nový kybernetický zákon: Jak se připravit?
  6. Vyhláška č. 316/2014 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
  7. iHned.cz – Firmy jsou zmatené: Není jasné, na které se vztahuje nový kybernetický zákon
Autor: Michal Čeřovský