O tej bezpečnosti vážně i humorně – 3. díl

Richard Jan Voigts, 18. březen 2015 07:00 4 komentářů
Rubriky: Security

Zákon o kybernetické bezpečnosti nabyl účinnosti v lednu tohoto roku. Otázky ohledně tohoto zákona, co má naplnit a koho se bude týkat, odpovídá Jaroslav Techl, nezávislý odborník na bezpečnost.

Jaroslav Techl
Jaroslav Techl
Tento zákon primárně dopadá na státní správu, která hledá, jak významným způsobem splnit jeho podmínky. Vytváří velké týmy, které mají vyřešit soulad kritických a významných informačních systémů státní správy v souladu se Zákonem o kybernetické bezpečnosti, neboť některé systémy, považované za významné a kritické, jsou velmi dlouho provozovány a ne všechny tento soulad splňují. Navíc financování bezpečnosti IT obecně, a teď nehovořím jen o státní správě, nebylo nikdy na vysoké úrovni. Všichni administrátoři byli tlačeni do úspor a snižování nákladů a bezpečnost byla vždy první popelkou, která to odnesla. Jak v komerční, tak ve státní sféře, vždy padla otázka „Potřebujeme to?“ „Je to nutné?“ „Co nám to přinese za peníze?“ „Co se stane, když budeme bez zabezpečení IT?“ Administrátoři tím byli zhusta donuceni, aby projekty zabezpečení neuskutečňovali nebo významně omezovali. Zákon o kybernetické bezpečnosti toto však velmi významně řeší, minimálně ve vztahu ke kritickým a významným státním systémům, a nařizuje nějakou úroveň jejich zabezpečení. Podstatným problémem je, že nejde jen o systém jako takový, ale o všechny systémy a technologie, které ho obklopují, komunikují s ním, anebo mu komunikaci umožňují. Takovéto analýzy soustav jsou časově i odbornostně velice náročné, a mnohdy už třeba ani nejsou dostupní lidé, kteří jádra těchto systémů tvořili. Navíc, počet odborníků na tuto oblast je velice omezený, a jsou proto v současnosti nedostatkovým zbožím. To zároveň zvyšuje jejich cenu. Kvůli tomu se organizace občas dostávají do situace „prostého nákupu“ bezpečnostních technologií, které mají všechny problémy vyřešit, a může tak dojít k utracení prostředků bez výrazného efektu na bezpečnost.

Toto samozřejmě je a bude pastva pro dodavatele bezpečnostního softwaru a hardwaru do státní správy. Pojďme se pobavit, jak vypadá naplnění Zákona o kybernetické bezpečnosti u komerčních subjektů.

Zákon o kybernetické bezpečnosti samozřejmě dopadá i na některé komerční subjekty. V zákoně jsou řečeny podmínky, za nichž je nějaký systém považován za významný a i komerční sféra musí splnit jeho podmínky. Nedá se přímo říci, že by šlo o nějakou pastvu pro dodávky bezpečnostního hardwaru a softwaru. Někdo je totiž také musí nainstalovat a nastavit, někdo musí říci, co vlastně se má nakoupit, jaké technologie, nebo jaká jiná opatření přijmout pro zabezpečení. Termín k naplnění Zákona o kybernetické bezpečnosti je krátký, systémy mají být uvedeny do souladu v začátku příštího roku a odborníků na tuto oblast je strašně málo, nedostává se jich. Navíc bohužel zdaleka ne každý, kdo se za odborníka v této oblasti vydává, jím opravdu je. Lidé obeznámení s problematikou se proto bojí, co se nakonec vlastně stane. Zda se naplňování zákona stane černou dírou na peníze, a nejen ve státní správě ale i v komerční sféře, a zda vůbec bude zamýšleného cíle dosaženo, ve smyslu zvýšení bezpečnosti. Zda nepůjde jen o nákup technologií, odškrtnutí fajfky odpovídajícího logu výrobce sportovní obuvi a tepláků Niké znamenající „splnili jsme“, protože samotný nákup technologií nic neřeší. Jak jsme již diskutovali dříve, žádná bezpečnostní technologie bez správné integrace a údržby vlastní bezpečnost neřeší. Je potřebný neustálý dohled, vyhodnocování a úpravy, a to nejen jako reakce na probíhající útoky, ale i jako reakce na nově objevené zranitelnosti.

Samozřejmě, toto říkal Aleš Špidla, odborník na Zákon o kybernetické bezpečnosti na konferenci v Praze pod záštitou IDC a Cisco Systems už před rokem. Vraťme se ke komerční sféře, ke středně velkým až velkým podnikům, ať už jde o Mountfield, Škodu Auto apod.

Takovýchto firem se Zákon o kybernetické bezpečnosti prakticky netýká. Ve hře jsou spíše banky, pojišťovny a podobné organizace. Běžných společností a jejich IS se vůbec týkat nebude. Tím nechci říci, že by nebylo dobré, aby alespoň elementární bezpečnostní postupy nezavedli všechny společnosti a nesnažili se tomuto minimu v zákoně obsaženém alespoň přiblížit. Jen to po nich zákon nevyžaduje. Jinak tento zákon se v obecné rovině dá říci, že je částí bezpečnostní normy ISO 27001. Není to tedy nic úplně nového, s čím by nikdo z oblasti bezpečnosti ICT nepřišel do styku. Pokud má společnost implementovány požadavky normy ISO 270001 do svého ICT, velice pravděpodobně splňuje i požadavky zákona o kybernetické bezpečnosti. Samozřejmě s výjimkou hlášení incidentů do Brna .

Komerční organizace si ale vyměňují informace se státem i mezi sebou?

To ano, ale Zákon o kybernetické bezpečnosti o tomto příliš nehovoří. To, že organizace poskytují státu nějaké informace, nebo je od něj získávají, není předmětem tohoto zákona. Každá organizace v tomto státě je z pozice různých zákonů povinna čerpat elektronické informace, například při vystavovaní faktur, při verifikacích důvěryhodnosti plátce, nebo je státu poskytovat. Zákon však v tomto případě nepožaduje, aby na straně společnosti byli v souladu s požadavky zákona o kybernetické bezpečnosti. To, že by to bylo vhodné a užitečné, je samozřejmě pravda. Z mého úhlu pohledu je nosným důvodem tohoto zákona dát státu za povinnost alespoň u důležitých systémů alespoň na základní úrovni řešit jejich bezpečnost a věnovat se jí. Zároveň je, alespoň částečně, aby byly předepsány požadavky na úroveň požadované ochrany, požadované procesy a jejich fungování. To pak doufám povede ke zvýšení úrovně bezpečnosti informací.

Hovoří však o informační povinnosti ohledně incidentu.

Hovoří, ale nemá stanovenu žádnou sankci. A pokud organizace žádný incident nezjistí, pak ani nemá co hlásit, tj. nemá-li technologie a techniky není žádná informace o incidentu a není tedy co hlásit. Pravdou je, že by z pohledu mého utopistického přání bylo hezké, aby se všichni alespoň na nějaké úrovni museli všichni vzdělat pro práci s prostředky ICT, a měli alespoň nějaké povědomí o bezpečnost. Takové pokusy i u nás již byly. Je to však chiméra, jakou není možné uskutečnit. Bezpochyby by bylo pěkné, pokud by před koupí třeba chytrého telefonu musel uživatel prokázat, že ho umí ovládat, že ví jak ho používat, a co má dělat, aby se jeho zařízení nestalo bezpečnostní hrozbou. Určitě by takovýto postup snížil i počet útoků a napadených zařízení, jejichž prostřednictvím se toto děje. Je to však čirá utopie, stejně jako přezkoušet v určitém intervalu třeba všechny řidiče automobilů.

Jde tedy o nějaký zásadní problém ohledně naplnění Zákona o kybernetické bezpečnosti?

Nepochybně. Neexistují zatím analýzy dotčených systémů, kterých se týká. Jde o významné a kritické systémy z pohledu zákona, stát na toto není v plné šíři připraven, protože jej k tomu v minulosti nic nenutilo, ani organizace, kterých se to týká. Připomínám opět bankovnictví, pojišťovnictví a telekomunikace, protože pracují s obrovskými finančními prostředky a v minulosti si už nějakým útokem prošly a samy musely pro svoje přežití nějaké bezpečnostní postupy zavést a udržovat je. V bankovnictví už jen proto, to bylo vyžadováno nadnárodními organizacemi jako Visa, MasterCard a některé další. V telekomunikacích zase proto, že telekomunikační společnost, která by byla prostředkem nějakého útoku směrem ven do zbytku světa, ostatní by se odpojili a začali by ji filtrovat apod., takže by zkrachovala, protože by nebyla schopna poskytovat služby svým zákazníkům. Zabránit útoku nelze, jde jen omezit jeho dopady, to je alfa a omega. Zákon si proto klade za cíl donutit významné systémy napříč komerční a státní správou, aby se lidé, kteří je mají na starosti, bezpečností opravdu začali zabývat, aby měli odpovědný tým, který bude spolupracovat napříč komerční a státní správou.

Takže se Zákon o kybernetické bezpečnosti komerčních subjektů týká?

Týká se, jak už jsem uvedl bankovnictví, pojišťovnictví, telekomunikací. Malých běžných společností se to týkat nebude.

Ani tak velkých firem, jako je třeba Škoda Auto?

Ani Škoda Auto pravděpodobně nebude spadat z pohledu tohoto zákona mezi firmy, které mají významný nebo kritický systém. Spadají pod něj systémy, které jsou kritické z pohledu státu.

Tedy hypoteticky, hacker přijde do internetové kavárny a začne rozesílat škodlivý kód, kyberneticky napadat svoje okolí. Jak řeší Zákon o kybernetické bezpečnosti takový případ?

Neřeší, pokud se bere v potaz, že by s tím měla něco dělat samotná internetová kavárna. Jediné, co nastane, bude-li takovýto útok identifikován, začnou více spolupracovat některé složky státu s napadenými organizacemi na identifikaci jejich napadení a odstranění útočníka.

Poznámka redakce: Pro firmy je důležité, že ZOKB se jich přímo týká až v okamžiku, kdy NBÚ ukončí s firmou pohovor a prohlásí, do jaké skupiny systém patří. Psali jsme v Cybersecurity 2015 - Cisco a NBÚ


Komentáře

Aleš Špidla #0
Aleš Špidla 18. březen 2015 10:14

Jen drobná upřesnění:

NBÚ stanoví jestli je informační nebo komunikační systém kritický tzv. opatřením obecné povahy.

Kritické informační a komunikační systémy:
V zásadě se dá říct, že je-li nějaký prvek už teď součástí kritické infrastruktury (spadá pod krizový zákon) a funkčnost tohoto prvku je podmíněna správnou funkcí nějakého informačního nebo komunikačního systém, potom tento systém spadá nebo spadne pod zákon o kybernetické bezpečnosti. NBÚ vydá opatření obecné povahy a od tohoto okamžiku běží 12 měsíční lhůta k přijetí odpovídajících opatření.
Významné informační systémy(VIS):
Tato kategorie se týká pouze orgánů veřejné moci. To znamená, že do této kategorie nemůže být zařazen informační systém spravovaný soukromoprávním subjektem.
Buď je VIS jmenovitě uveden ve vyhlášce 317/2014 Sb. ( celkem 92 VIS)
nebo splňuje alespoň jedno z dopadových a alespoň jedno z oblastních kritérií a správce IS jej může vnitřní aktem sám takto označit.

Z vlastní zkušenosti vím, že technologií je dostatek, chybí lidé a procesy.

A na závěr - Kybernetická bezpečnost není otázkou zákona, je otázkou pudu sebezáchovy instituce, firmy, jednotlivce.

Zákon o kybernetické bezpečnosti se možná netýká všech, Kybernetická bezpečnost zcela určitě ano.

Pěkný den a zdravím

Aleš Špidla

Jaroslav Techl #1
Jaroslav Techl 20. březen 2015 16:24

Ahoj Aleši,
samozřejmě máš pravdu a kybernetická bezpečnost se opravdu týká všech.
I dopady zákona o kybernetické bezpečnosti jdou na nás na všechny a to jak nákladama, tak doufejme i zlepšením povědomí o bezpečnosti a zlepšením bezpečnosti.
Jinak v zásadě již dávno jsou k dispozici normy, které jsou v zásadě totožné se zákonem, jen nebyla povinnost je dodržovat.
Ano technologie jsou na téměř vše ale lidí, kteří je jsou schopni smysluplně vybrat, implementovat a udržovat je ale tak málo že mám obavu o úspěšnost a přínos projektů.
Měj se.
Zatím Jarda

Regine 22. březen 2015 08:09

Dělal jsem u státního orgánu a určitě i dnes z profesionálních důvodů bych nesděloval, jak dobře jsme (skutečně kvalitně) měli systém zabezpečen a zálohován už od vzniku v 90tých letech. Něco o něm sdělovat je dosti velká bezpečnostní díra. Jen dodám, na internet určitě nebyl fyzicky připojen ač byl on-line propojen i do zahraničí. Jsou i jiné přenosové cesty (nelevné).
A myslím, že někdy se IT ve státní správě dost podceňuje.

Jaroslav Techl #3
Jaroslav Techl 06. duben 2015 22:54

Stejně tak jako existují systémy komerčních společností, které jsou zabezpečeny tak i nezabezpečeny, je tomu stejně i ve státní správě. Bohužel těch, které jsou zabezpečeny v souladu s aktuální úrovní poznání hrozeb, není úplně mnoho. Nepochybně i státní správa má prostředky a možnosti jak systémy uvést do potřebného stavu. To že tomu tak ne vždy je, je prostý fakt.Tento článek nemá za cíl žádný systém konkrétně uvádět a navádět na něj.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

CETIN vydal dluhopisy za 25 miliard Kč

ČTK , 05. prosinec 2016 18:00

Česká telekomunikační infrastruktura (CETIN) upsala dluhopisy v eurech a korunách v celkovém objemu ...

Více 0 komentářů

Nahradí otisky prstů přístupová hesla?

ČTK , 05. prosinec 2016 14:30

Zní to jako skvělý nápad: zapomeňte na hesla a zamykejte telefon místo nich otiskem svého prstu. Je ...

Více 1 komentářů

Počítač a internet má na jižní Moravě více než 75 pct domácností

ČTK , 05. prosinec 2016 10:30

Počet jihomoravských domácností, které mají počítač a přístup k internetu, se loni přehoupl na jižní...

Více 0 komentářů

Starší zprávičky

Vodafone zvýšil do září počet zákazníků na 3,54 milionu

ČTK , 04. prosinec 2016 18:00

Mobilní operátor Vodafone zvýšil do konce září počet zákazníků na českém trhu meziročně o 146.000 na...

Více 0 komentářů

Nový škodlivý program ukradl údaje k milionu účtů Google

ČTK , 02. prosinec 2016 14:00

Nový škodlivý program Goolian narušil bezpečnost více než jednoho milionu účtů Google. Šíří se na za...

Více 1 komentářů

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů