Novela zákona o kybernetické bezpečnosti a GDPR

Ivan Svoboda, 24. červen 2017 09:30 1 komentářů
Novela zákona o kybernetické bezpečnosti a GDPR

Novela zákona o kybernetické bezpečnosti přináší výrazné rozšíření tzv. povinných subjektů, které budou mít zákonnou povinnost řešit kybernetickou bezpečnost a přijmout odpovídající kroky, aby zabránily bezpečnostním rizikům. Proč je novela ZKB důležitá a pro ČR přínosná?

Novela zákona o kybernetické bezpečnosti přináší výrazné rozšíření tzv. povinných subjektů, které budou mít zákonnou povinnost řešit kybernetickou bezpečnost a přijmout odpovídající kroky, aby zabránily bezpečnostním rizikům:

  • Tuto povinnost vnáší nově do celé řady důležitých sektorů, jako např. zdravotnictví, a dalších, které poskytují kritické „základní služby“ typu utility apod.

  • Jednou z nejdůležitějších povinností je u všech těchto společností monitorovat dění ve vlastní síti a informačních systémech, umět vyhodnotit bezpečnostní útoky a včas je oznámit bezpečnostnímu úřadu.

Tuto povinnost vnímáme jako klíčovou, neboť dnes většina společností bohužel neplní ani základní požadavky tzv. kybernetické hygieny, které spočívají mimo jiné právě ve schopnosti odhalovat útoky, odkrývat, analyzovat a řídit rizika, a sdílet informace o útocích napříč jednotlivými podniky, což jiným institucím pomůže se na případnou hrozbu lépe a včas připravit.

Nově vznikne také úřad, který bude hackerským útokům předcházet a navrhovat opatření při řešení bezpečnostních incidentů. Specializovaný orgán tak převezme část role Národního bezpečnostního úřadu. Za nesplnění nových povinností hrozí pokuta až pět milionů korun.

Riziko počítačových útoků celosvětově stoupá, v Česku to může být ročně až 1, 7 milionu kybernetických útoků s možnými ztrátami až 5, 4 miliardy korun, jak vyplývá z údajů České asociace pojišťoven. Veřejné zprávy informující o úspěšnosti kybernetických útoků jsou ale v českém prostředí ještě stále méně časté než v zahraničí, což je částečně zapříčiněno dvěma faktory:

  • Schopnost detekce (neboli schopnost si vůbec všimnout probíhajícího útoku) je v ČR v průměru poměrně slabá. Společnosti by tak měly v rámci prevence rizik využívat moderních detekčních nástrojů, jež jsou k odhalení moderních hrozeb nezbytné, a zajistit si kvalitní odborníky a bezpečnostní analytiky.

  • V případě, že ve firmě dojde k odhalení útoku, je nyní vcelku častou praxí „zatloukat“ a nedat nic najevo. Podle zákona o kybernetické bezpečnosti nyní mají dotčené společnosti povinnost incident nahlásit úřadu. Velmi podobně k této oblasti přistupuje i nařízení GDPR, které také obsahuje povinnost každý takový incident zaznamenat, a ty významnější pak nahlásit do 72 hodin.

Koho se novela primárně dotkne?

Nově se novela ZKB bude týkat velké skupiny společností, které jsou provozovatelem tzv. základních služeb, např. banky, nemocnice, dopravní podniky atd., nebo poskytovatelem tzv. služeb digitálních – platformy pro elektronické obchodování a vyhledávače (v dosavadní verzi platného zákona zůstaly tyto společnosti mimo jeho platnost).

Základní služba je přitom slovy zákona „služba, jejíž poskytování je závislé na sítích nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení klíčových společenských nebo ekonomických činností v některém z těchto odvětví: energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, dodávky a rozvody pitné vody, digitální infrastruktura, chemický průmysl a veřejná správa.“ Digitální službou se pak rozumí „služba informační společnosti, která spočívá v poskytování služby online tržiště, které spotřebitelům umožňuje online uzavírat s prodávajícím kupní smlouvu nebo smlouvu o poskytnutí služeb, internetového vyhledávače nebo cloud computingu, který umožňuje přístup k rozšiřitelnému a přizpůsobitelnému úložišti výpočetních zdrojů, jež je možno sdílet“.

Novelu zákona o kybernetické bezpečnosti uvítá snad každý, kdo má zdravý selský rozum, a ví, že dnes je opravdu životně důležité zajistit bezpečnost informačních systémů, zejména v uvedených kritických oborech jako jsou energetika, vodárenství, zdravotnictví atd. Právě zdravotnictví totiž dosud trpělo poměrně značnou neschopností zajistit si pro tyto účely potřebné zdroje, ať již finanční nebo lidské. Zákon by jim v tom měl nyní pomoci. Pro většinu podniků však bude včasné splnění požadavků ZKB vzhledem k vysokému stupni zanedbanosti a finančnímu podhodnocení v minulých letech velmi obtížné.

Jak do budoucna sladit pravidla novely ZKB s další legislativou v této oblasti, např. GDPR?

Vztah novely ZKB, jejíž účinnost lze očekávat ke konci léta, případně začátkem podzimu, s evropským nařízením GDPR, které bude platné od 25. 5. 2018, je dvojsečný. Na jedné straně se shodují především ve dvou oblastech, a to v: 1) nutnosti umět včas detekovat a správně vyhodnotit nejrůznější typy kybernetických útoků, hrozeb a rizik, a umět na tato rizika rychle a účinně reagovat (povinnost incidenty včas hlásit), 2) potřebě věnovat kybernetické a informační bezpečnosti větší pozornost a prostředky.

Velké rozdíly pak vnímáme mezi smyslem a obsahem obou legislativ, za upozornění přitom stojí zvláště cíl ochrany a přístup k výběru bezpečnostních opatření.

ZKB si klade za cíl především ochránit funkčnost a dostupnost základních služeb, například aby byla k dispozici pitná voda, fungovala elektřina, jezdily dopravní prostředky, fungovaly státní orgány, banky apod. Cílem GDPR je pak zejména ochrana soukromí a práv fyzických osob z pohledu ochrany zpracování jejich osobních údajů – aby nikdo neukradl, nezveřejnil, nezměnil či nevymazal jejich osobní data. V přístupu k výběru bezpečnostních opatření je pak novela zákona o kybernetické bezpečnosti jasnější, neboť přesně stanovuje konkrétní seznam bezpečnostních opatření, která musí každá společnost, na niž se ZKB vztahuje, přijmout. Jde například o ochranu přístupu do sítě, zajištění bezpečného přihlašování jejích uživatelů, využití šifrovacích technologií, pravidelný monitoring apod. U evropského nařízení GDPR je přístup založený na individuálním hodnocení rizik. To znamená, že je na každém správci dat, aby si sám vyhodnotil, kolik osobních údajů zpracovává, jaké mají tyto údaje hodnotu nejen pro něj, ale i pro případné útočníky, jak rozsáhlé jsou systémy, v nichž údaje zpracovává, kolik uživatelů má do těchto systémů přístup a jak jsou jednotlivé systémy zranitelné. Dle úvodní analýzy si tak každý vyhodnotí konkrétní rizika a přijme adekvátní bezpečnostní opatření (např. šifrování dat, jejich anonymizaci, monitoring atd.).

Autor je poradce pro informační a kybernetickou bezpečnost ve společnosti Anect.


Komentáře

Bořek #0
Bořek 27. červen 2017 11:49

Otázka která mě napadla jako 1. - kde vezmou dostatečně kvalifikované lidi? Otázka 2. kdo je zaplatí? Platová třída 14 s 10-ti lety praxe => 26tis... Pěkné - když člověk sedí v Dolní-Polní možná. Ale IT specialista z jednoho z nejlukrativnějších pod-oborů? Soudruzi, kdo to dneska v Praze má? :) Jsem si jist, že celá státní správa je nastavena špatně, velmi špatně.
Bř.

RSS 

Komentujeme

Virtuální realitou proti strachu ze smrti

Pavel Houser , 18. červenec 2017 07:00
Pavel Houser

Lidé, kteří reportují „zážitky blízké smrti“, pak mnohdy mají ze smrti menší strach. Nedalo by se to...

Více






Kalendář

22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
27. 08.

31. 08.
VMworld 2017
RSS 

Zprávičky

V Praze se instalují první chytré lavičky připojené přes síť LoRa

Pavel Houser , 20. červenec 2017 13:28

Lavička TreeSmart nabízí wi-fi připojení, nabíjení mobilních zařízení a senzory snímající vlhkost, t...

Více 1 komentářů

SUSE a Supermicro uzavírají globální partnerství

Pavel Houser , 20. červenec 2017 10:00

Firmy poskytnou řešení pro kritickou infrastrukturu, softwarově definovaná datová centra a integrova...

Více 0 komentářů

Chytrou domácnost vzdáleně řídí 17 % Čechů

Pavel Houser , 20. červenec 2017 09:00

Řízení chytrých domácností v ČR láká hlavně kvůli kontrole nákladů za energie. Ve světě je hlavní mo...

Více 0 komentářů

Starší zprávičky

PayPal a Visa budou nabízet debetní karty v Evropě

ČTK , 20. červenec 2017 08:00

PayPal svou bankovní licenci dosud využíval především k pokladním službám....

Více 0 komentářů

Dell uvádí servery PowerEdge 14. generace

Pavel Houser , 19. červenec 2017 14:19

Nové servery PowerEdge 14. generace přinášejí podle dodavatele architekturu, optimalizovanou pro sof...

Více 0 komentářů

Zoot vydá čtyřleté veřejně obchodovatelné dluhopisy s úrokem 6,5 %

ČTK , 19. červenec 2017 13:59

Největší tuzemský internetový obchod s módou Zoot vydá podřízené dluhopisy v celkovém objemu 150 mil...

Více 0 komentářů

Atari představuje novou herní konzoli Ataribox

ČTK , 19. červenec 2017 11:51

Francouzský výrobce videoher Atari ukázal herní konzoli Ataribox, která je první novou konzolí firmy...

Více 1 komentářů