Co bude znamenat zákon o kybernetické bezpečnosti pro firmy?

ITbiz.cz, 29. srpen 2014 11:22 2 komentářů
Co bude znamenat zákon o kybernetické bezpečnosti pro firmy?

Od ledna 2015 začne v České republice zřejmě platit nový zákon o kybernetické bezpečnosti, díky kterému by měl být stát odolnější vůči případným elektronickým útokům na důležité počítačové systémy v zemi. Normu, kterou vytvořil Národní bezpečnostní úřad, schválili poslanci i senátoři a 13. srpna ji podepsal i prezident Miloš Zeman. Novým zákonem se budou muset řídit úřady i některé soukromé firmy. Koho přesně se zákon dotkne, jaké konkrétní kroky bude třeba podniknout a kolik bude zavedení nových pravidel stát?

Zákon o kybernetické bezpečnosti, který má vstoupit v platnost k 1. 1. 2015, se v Česku připravuje již poměrně dlouhou dobu. Málokdo dnes například tuší, že začal vznikat ještě dávno před tzv. „Talinským manuálem“ kybernetické obrany, který vymezuje rámec pro kybernetické válčení a prevenci před útoky pro země NATO. Pracuje se na něm de facto již od října roku 2011, kdy usnesením vlády č. 781/2011 přešla gesce v oblasti kybernetické bezpečnosti z pasivního resortu vnitra na samostatně fungující jednotku jménem Národní bezpečnostní úřad.

Tíha zákona se dotkne především ISP providerů, TELCO operátorů, majitelů telehousů a dalších provozovatelů významných IT infrastruktur, kteří nově budou muset monitorovat a hlásit bezpečnostní incidenty. Zároveň se značně posílily pravomoce národního centra kybernetické bezpečnosti (CERT), které bude informace analyzovat a vyhodnocovat.

Proč byl zákon potřeba?

S rychlým rozvojem informačních technologií a další integrací nových počítačových systémů se výrazně zvyšuje i riziko elektronického útoku. Na složitých počítačových sítích jsou dnes závislé prakticky všechny obory důležité pro bezchybný a hlavně bezpečný chod státu. Na IT systémech závisí ekonomika jako celek; doprava, energetika a další strategická odvětví. Evropská unie proto vydala směrnici, podle níž by měly všechny členské státy zvýšit svoji schopnost odolávat případným útokům na kybernetické úrovni.

Svou sílu demonstrovali hackeři a jejich programy určené proti celé řadě cílů po celém světě. Podobných útoků přitom každoročně přibývá a škody se pohybují v řádech stovek milionů dolarů. Není výjimkou, že profesionálně navržený počítačový vir dokáže vyřadit z provozu nejen počítačové sítě. Česko zažilo jeden z největších elektronických útoků na jaře 2013, kdy hackeři vyřadili pomocí takzvaného „přehlcení“ počítačových systémů několik tuzemských zpravodajských serverů a internetových systémů českých poboček bankovních domů a mobilních operátorů.

Principy Zákona o kybernetické bezpečnosti v kostce

Primárním úkolem první podobné legislativní úpravy v historii Česka je sjednocení elektronické komunikace. Sjednotit by se tak měla výměna informací nejen ve státní, ale částečně i soukromé sféře; zákon přímo stanovuje i jejich vzájemné dorozumívání. Kontrolní i exekutivní pravomoci má mít centrální orgán (Národní centrum kybernetické bezpečnosti CERT se sídlem v Brně). Aktivovat a hlavně sjednotit by se tak měla dnes pasivní počítačová ochrana státu a Česko by tak mělo být schopno nejen snadněji rozpoznat, ale přímo aktivně bojovat s útoky na elektronické úrovni. Lepší ochrany by se tak mohla dočkat i osobní data občanů registrovaných například na úřadech nebo bankách. Pomoci by měl nový zákon – podle jeho navrhovatelů – i samotné české ekonomice – měl by totiž zatraktivnit tuzemské prostředí pro zahraniční investice (nejen IT), na druhé straně by měl podporovat světově uznávané české dodavatele ICT technologií.

Kontroverzní body

Přesto, že zákon teprve čeká na podpis prezidenta a platit by měl začít až od ledna příštího roku, už teď se na něj obrací kritika řady odborníků. Podle nich není – mimo jiné - v zákoně zcela jasně stanoveno, kdo a jakým konkrétním způsobem se jím bude muset řídit. Zákon je postaven na třech pilířích: bezpečnostní opatření, hlášení kybernetických bezpečnostních incidentů a protiopatření (reakce na incidenty). Odpůrci zákona se nejčastěji bojí třetího pilíře, že zákon dává státu velkou moc regulovat informační sektor a že by mohl odposlouchávat či přímo odpojovat nepohodlné osoby či organizace.

Zásadnější změny v koncepci zákona, směřující zejména k oslabení role národního CERTu, sice jistí poslanci navrhli, ale ani jeden z návrhů neprošel. Zástupci komerčního segmentu jsou navíc nervouní také ze zcela jiných důvodů: „Jsou zde i jiná rizika, já osobně se mnohem více bojím toho, že zákon by měl nabýt účinnosti již 1. 1. 2015, přičemž dotčené subjekty budou mít pouze půl roku na to, uvést svůj systém bezpečnosti informací plně v soulad se zákonem,“ komentuje například Jakub Kejval, ředitel české pobočky certifikační společnosti Bureau Veritas.


Komentáře

Vladimír #1
Vladimír 02. září 2014 11:26

Ach jo, to je zase článek. Prosím vás, přestaňte si plést platnost a účinnost zákona, účinnost je totiž až o půl roku déle. A bohužel většina ostatních informací je ve stejném duchu - nepřesné, zavádějící a bohužel i úplně lživé. Např. zde nejsou vůbec zmiňované prováděcí předpisy, kterými se jednak přesně definují jednotlivé požadavky (podle ISO 27000) na bezpečnost a jednak se také stanoví okruh dotčených osob. Nebo tvrzení že se to především dotkne telekomunikačních operátorů - nedotkne, protože ty jsou už dávno na to připravené a požadavky splňují. Koho se to však dotkne ve velké míře jsou především státní orgány, které poskytují veřejnou službu a přitom na bezpečnost zatím ani nehrábly, ale stejně tak třeba dráhy, energetika, nemocnice - prostě spousta firem, které spadají pod zákon 240/2000 Sb - krizové řízení.
Raději takovéto články vůbec nepište, nebo je nechte napsat nekomu, kdo tomu alespoň trochu rozumí.

Marek #1
Marek 02. říjen 2014 20:22

Nemocnic se zákon vůbec nedotkne !!!! neboť ty nebudou splňovat průřezové podmínky dle vyhlášky. Stačí pročíst. Předpis je takto dokonce záměrně postaven.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Nový škodlivý program ukradl údaje k milionu účtů Google

ČTK , 02. prosinec 2016 14:00

Nový škodlivý program Goolian narušil bezpečnost více než jednoho milionu účtů Google. Šíří se na za...

Více 0 komentářů

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Starší zprávičky

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner: Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů

Grafen opracovaný laserem

Pavel Houser , 30. listopad 2016 11:00

Na Iowa State University přišli s další metodou pro tištění grafenových součástek. V tomto případě j...

Více 0 komentářů