Co bude znamenat zákon o kybernetické bezpečnosti pro firmy?

ITbiz.cz, 29. srpen 2014 11:22 2 komentářů
Co bude znamenat zákon o kybernetické bezpečnosti pro firmy?

Od ledna 2015 začne v České republice zřejmě platit nový zákon o kybernetické bezpečnosti, díky kterému by měl být stát odolnější vůči případným elektronickým útokům na důležité počítačové systémy v zemi. Normu, kterou vytvořil Národní bezpečnostní úřad, schválili poslanci i senátoři a 13. srpna ji podepsal i prezident Miloš Zeman. Novým zákonem se budou muset řídit úřady i některé soukromé firmy. Koho přesně se zákon dotkne, jaké konkrétní kroky bude třeba podniknout a kolik bude zavedení nových pravidel stát?

Zákon o kybernetické bezpečnosti, který má vstoupit v platnost k 1. 1. 2015, se v Česku připravuje již poměrně dlouhou dobu. Málokdo dnes například tuší, že začal vznikat ještě dávno před tzv. „Talinským manuálem“ kybernetické obrany, který vymezuje rámec pro kybernetické válčení a prevenci před útoky pro země NATO. Pracuje se na něm de facto již od října roku 2011, kdy usnesením vlády č. 781/2011 přešla gesce v oblasti kybernetické bezpečnosti z pasivního resortu vnitra na samostatně fungující jednotku jménem Národní bezpečnostní úřad.

Tíha zákona se dotkne především ISP providerů, TELCO operátorů, majitelů telehousů a dalších provozovatelů významných IT infrastruktur, kteří nově budou muset monitorovat a hlásit bezpečnostní incidenty. Zároveň se značně posílily pravomoce národního centra kybernetické bezpečnosti (CERT), které bude informace analyzovat a vyhodnocovat.

Proč byl zákon potřeba?

S rychlým rozvojem informačních technologií a další integrací nových počítačových systémů se výrazně zvyšuje i riziko elektronického útoku. Na složitých počítačových sítích jsou dnes závislé prakticky všechny obory důležité pro bezchybný a hlavně bezpečný chod státu. Na IT systémech závisí ekonomika jako celek; doprava, energetika a další strategická odvětví. Evropská unie proto vydala směrnici, podle níž by měly všechny členské státy zvýšit svoji schopnost odolávat případným útokům na kybernetické úrovni.

Svou sílu demonstrovali hackeři a jejich programy určené proti celé řadě cílů po celém světě. Podobných útoků přitom každoročně přibývá a škody se pohybují v řádech stovek milionů dolarů. Není výjimkou, že profesionálně navržený počítačový vir dokáže vyřadit z provozu nejen počítačové sítě. Česko zažilo jeden z největších elektronických útoků na jaře 2013, kdy hackeři vyřadili pomocí takzvaného „přehlcení“ počítačových systémů několik tuzemských zpravodajských serverů a internetových systémů českých poboček bankovních domů a mobilních operátorů.

Principy Zákona o kybernetické bezpečnosti v kostce

Primárním úkolem první podobné legislativní úpravy v historii Česka je sjednocení elektronické komunikace. Sjednotit by se tak měla výměna informací nejen ve státní, ale částečně i soukromé sféře; zákon přímo stanovuje i jejich vzájemné dorozumívání. Kontrolní i exekutivní pravomoci má mít centrální orgán (Národní centrum kybernetické bezpečnosti CERT se sídlem v Brně). Aktivovat a hlavně sjednotit by se tak měla dnes pasivní počítačová ochrana státu a Česko by tak mělo být schopno nejen snadněji rozpoznat, ale přímo aktivně bojovat s útoky na elektronické úrovni. Lepší ochrany by se tak mohla dočkat i osobní data občanů registrovaných například na úřadech nebo bankách. Pomoci by měl nový zákon – podle jeho navrhovatelů – i samotné české ekonomice – měl by totiž zatraktivnit tuzemské prostředí pro zahraniční investice (nejen IT), na druhé straně by měl podporovat světově uznávané české dodavatele ICT technologií.

Kontroverzní body

Přesto, že zákon teprve čeká na podpis prezidenta a platit by měl začít až od ledna příštího roku, už teď se na něj obrací kritika řady odborníků. Podle nich není – mimo jiné - v zákoně zcela jasně stanoveno, kdo a jakým konkrétním způsobem se jím bude muset řídit. Zákon je postaven na třech pilířích: bezpečnostní opatření, hlášení kybernetických bezpečnostních incidentů a protiopatření (reakce na incidenty). Odpůrci zákona se nejčastěji bojí třetího pilíře, že zákon dává státu velkou moc regulovat informační sektor a že by mohl odposlouchávat či přímo odpojovat nepohodlné osoby či organizace.

Zásadnější změny v koncepci zákona, směřující zejména k oslabení role národního CERTu, sice jistí poslanci navrhli, ale ani jeden z návrhů neprošel. Zástupci komerčního segmentu jsou navíc nervouní také ze zcela jiných důvodů: „Jsou zde i jiná rizika, já osobně se mnohem více bojím toho, že zákon by měl nabýt účinnosti již 1. 1. 2015, přičemž dotčené subjekty budou mít pouze půl roku na to, uvést svůj systém bezpečnosti informací plně v soulad se zákonem,“ komentuje například Jakub Kejval, ředitel české pobočky certifikační společnosti Bureau Veritas.


Komentáře

Vladimír #1
Vladimír 02. září 2014 11:26

Ach jo, to je zase článek. Prosím vás, přestaňte si plést platnost a účinnost zákona, účinnost je totiž až o půl roku déle. A bohužel většina ostatních informací je ve stejném duchu - nepřesné, zavádějící a bohužel i úplně lživé. Např. zde nejsou vůbec zmiňované prováděcí předpisy, kterými se jednak přesně definují jednotlivé požadavky (podle ISO 27000) na bezpečnost a jednak se také stanoví okruh dotčených osob. Nebo tvrzení že se to především dotkne telekomunikačních operátorů - nedotkne, protože ty jsou už dávno na to připravené a požadavky splňují. Koho se to však dotkne ve velké míře jsou především státní orgány, které poskytují veřejnou službu a přitom na bezpečnost zatím ani nehrábly, ale stejně tak třeba dráhy, energetika, nemocnice - prostě spousta firem, které spadají pod zákon 240/2000 Sb - krizové řízení.
Raději takovéto články vůbec nepište, nebo je nechte napsat nekomu, kdo tomu alespoň trochu rozumí.

Marek #1
Marek 02. říjen 2014 20:22

Nemocnic se zákon vůbec nedotkne !!!! neboť ty nebudou splňovat průřezové podmínky dle vyhlášky. Stačí pročíst. Předpis je takto dokonce záměrně postaven.

RSS 

Komentujeme

Umělá inteligence rozpoznává tvář zločince

Pavel Houser , 27. červen 2017 12:30
Pavel Houser

Když dnes člověk prohlásí, že rysy tváře souvisejí se zločinností, bude za šarlatána, který chce kří...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

Hackeři napadli ukrajinské banky a podniky, i ruskou Rosněfť

ČTK , 27. červen 2017 18:27

Ukrajinu dnes zasáhla největší vlna hackerských útoků v historii země, informovalo ukrajinské minist...

Více 0 komentářů

Google dostal od Evropské komise rekordní pokutu 2,4 miliardy eur

ČTK , 27. červen 2017 13:06

Google se musí začít ke konkurenčním srovnávačům cen chovat stejně jako k vlastní službě. ...

Více 0 komentářů

Do sporu ruských úřadů se sítí Telegram se vložila i tajná služba

ČTK , 27. červen 2017 09:00

Podle provozovatele majitel sítě žádný "šifrovací klíč" nemá, ty si vytváří zařízení uživatele....

Více 0 komentářů

Starší zprávičky

NSZ zrušilo kvůli vadám stíhání šesti lidí v kauze IT zakázek

ČTK , 27. červen 2017 08:00

Případ se týká tendrů Integrovaného operačního programu ministerstva vnitra. ...

Více 0 komentářů

Konica Minolta umožňuje skenovat dokumenty mobilním telefonem

Pavel Houser , 26. červen 2017 16:04

Nová aplikace podle dodavatele zrychlí ve firmách zpracování dokumentů. Uživatelé mohou s každým dok...

Více 0 komentářů

Toshiba vypadne z hlavního indexu tokijské burzy Nikkei 225

ČTK , 26. červen 2017 10:00

Společnost dosud nezveřejnila auditované výsledky za uplynulý finanční rok, protože auditoři jí výsl...

Více 0 komentářů

Britský parlament se stal terčem kybernetického útoku

ČTK , 25. červen 2017 09:00

Mluvčí Dolní sněmovny potvrdila, že parlament odhalil neoprávněné pokusy o přístup....

Více 0 komentářů