Tento článek se zabývá stavem kybernetického ohrožení státu, včetně legislativních změn a bezpečnostních hrozeb. Cílem navrhovaného zákona je zejména ochrana kritické infrastruktury a informačních systémů, které jsou podstatné pro fungování státu.
Legislativní rámec kybernetické bezpečnosti
Prezident Miloš Zeman podepsal zákon o kybernetické bezpečnosti. Tento nový zákon, který připravil Národní bezpečnostní úřad, zavádí pravidla spolupráce mezi soukromým sektorem a veřejnou správou při předcházení útokům na informační technologie. Předloha počítá s koordinačním místem pro okamžitou reakci na počítačové incidenty u poskytovatelů služeb elektronických komunikací, takzvaným národním CERT. Jeho roli má plnit soukromá firma, většinu úkolů má dělat bezplatně.
Zákon ukládá například poskytovatelům elektronických komunikací nebo správcům kritické informační infrastruktury povinnost hlásit bezpečnostní incidenty v jejich síti, informačním nebo komunikačním systému bezodkladně NBÚ. Zákon ukládá poskytovatelům elektronických komunikací povinnost monitorovat a hlásit všechny bezpečnostní incidenty Národnímu bezpečnostnímu úřadu. Ten může podle návrhu zákona vyhlásit stav kybernetického nebezpečí, a to v případě, že je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo sítích elektronických komunikací a mohly by tím být porušeny zájmy České republiky. Stavem kybernetického nebezpečí se rozumí stav, kdy je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech či bezpečnost a integrita služeb nebo sítí elektronických komunikací a mohlo by tím dojít k porušení či tím došlo k ohrožení zájmu ČR ve smyslu zákona upravujícího ochranu utajovaných informací.
Možnost vypnutí internetu
Předseda vlády by měl mít možnost za jistých okolností vyhlásit takzvaný stav kybernetického nebezpečí a celý internet vypnout. A to třeba v případě ohrožení počítačovými piráty. Vláda schválila věcný záměr zákona, který takový krok umožní. Na servery bude dohlížet Národní centrum kybernetické bezpečnosti.
V novém kontrolním centru by mělo 34 špičkových odborníků nepřetržitě monitorovat dění na českých serverech. Jeho zřízení bude podle odhadů stát letos přes 50 milionů korun, provoz pak přijde každý další rok na 60 milionů.
Čtěte také: Uloz.to a autorské právo
Kritika zákona
Zákon má ale podle odborníků jednu chybu - není jasně řečeno, co je a co není kybernetický útok. „Bylo by dobré mít nějaký zákon o kybernetické bezpečnosti. Problém ale spočívá v tom, že věcný návrh zákona je ušit poměrně horkou jehlou. Je tam spousta odborných věcí, které měly být uchopeny jinak. Autoři se ale bohužel z vývoje nepoučili a začali stavět na zelené louce,“ vyjádřil se Václav Jirovský z Ústavu bezpečnostních technologií ČVUT. Podle jeho slov se musí kybernetické záležitosti řešit v historické kontinuitě a v mezinárodní spolupráci.
Dušan Navrátil, ředitel Národního bezpečnostního úřadu uvedl: „Je to zákon, který ošetřuje novou problematiku, která v tomto státě zatím ošetřená není. Jedná se ale zatím pouze o záměr zákona, jsou zde věci, které jsou tam napsány obecně a budou se ještě deailně řešit v paragrafovém znění.“ Podle něj je potřeba, aby systémy byly technologicky certifikované. „Tam patří speciální standardy, a ty nejsou prováděny ani vyžadovány. K jejich zhodnocení je potřeba vysoké odbornosti laboratoře, jsou tam přesně specifikované postupy. My takovou laboratoř nemáme, proto se to radši ztratí a nechá na manažerské bezpečnosti,“ dodal.
Václav Jirovský tvrdí: „Nikde v tom zákoně se nemluví o takzvaném common criteria, což jsou základní normy pro bezpečnost informačních systémů, které jsou známé. Vypadá to tak, jako bychom se bránili tomu, abychom měli certifikované systémy podle mezinárodních norem. To už se stalo v případě zákona o elektronickém podpisu. Je tam zkrátka celá řada věcí, které by bylo potřeba dopracovat.“
Kybernetické hrozby a Internet věcí (IoT)
Zvyšováním používání prvků iOT a jejich zařazováním do běžného provozu vyvstává otázka kybernetické bezpečnosti. Jsou prvky Internetu věcí dostatečně bezpečné a adekvátně zabezpečené? Tyto otázky nevyvstávají náhodně, ale v reakci na probíhající celosvětovou debatu, která Internet věcí rámuje jako nastupující kybernetickou hrozbu, jež bývá často přehlížena a marginalizována. České bezpečnostní prostředí nezaostává a na fenomén Internetu věcí upozorňují i tuzemské instituce a jejich dokumenty. Příkladem je Národní strategie kybernetické bezpečnosti ČR 2021-2025, která "koncept internetu věcí" zařadila mezi výzvy, jimž je třeba na poli kybernetické bezpečnosti čelit.
Na NSKB ČR 2021-2025 navazuje implementační dokument Akční plán Národní strategie kybernetické bezpečnosti ČR 2021-2025, který rozpracovává vize a cíle do konkrétních úkolů. Plnění jednotlivých cílů průběžně sleduje, hodnotí a koordinuje Národní úřad pro kybernetickou a informační bezpečnost, jakožto gestor kybernetické bezpečnosti v ČR. Již Výroční zpráva Vojenského zpravodajství za rok 2018 označila zařízení Internetu věcí za jeden z významných trendů kybernetické bezpečnosti a přímo zmínila i užití těchto zařízení v prvcích kritické infrastruktury.
Čtěte také: Doporučení pro zlepšení ovzduší
Producenti IoT přinášejí na trh neustále nové a nové produkty, jež často obsahují zneužitelné zranitelnosti a jejich následná podpora je mnohdy nedostatečná, poskytování aktualizací zanedbávané a časově omezené. Zpráva uvádí masivní kybernetické útoky typu tzv. distribuovaného odmítnutí služby (DDoS), ke kterým jsou zneužívány zotročené sítě (botnety) IoT. Počet IoT se bude s používáním rychlých sítí 5G násobit. Kombinace rychlých sítí a množství zranitelných IoT zařízení pak mohou otevřít prostor pro ničivější kybernetické útoky, které je budou využívat jako násobitel efektu útoků či jako vstupní bránu pro další útočné vektory. Rovněž budou narůstat kybernetické útoky zaměřené na samotná IoT zařízení využívaná v rámci průmyslových systémů a řídících prvků kritické infrastruktury. Významným trendem je hrozba použití ransomwaru ze strany kybernetických útočníků, zejména kybernetického organizovaného zločinu.
Bezpečnostní ohrožení: Hrozba, nebezpečí a bezpečnost
V této oblasti je třeba klasifikovat tři termíny z oblasti bezpečnostního ohrožení: hrozba, nebezpečí a bezpečnost.
- Hrozba: Termín hrozba označuje obecně primární, mimo nás nezávisle existující, vnější fenomén, který může nebo chce poškodit nějakou konkrétní hodnotu. Hrozba v kybernetické bezpečnosti označuje příčinu nežádoucí události, která může mít za následek poškození systému a jeho aktiv.
- Nebezpečí: Pojem nebezpečí je odborné synonymum termínu hrozba, označující materiální projev hrozby (co a jak může nastat) a popis hrozící škody (co a v jakém rozsahu to může způsobit).
- Bezpečnost: Jako bezpečnost se obecně označuje stav, kdy jsou na nejnižší možnou míru eliminovány hrozby pro objekt a jeho zájmy a tento objekt je k eliminaci stávajících i potenciálních hrozeb efektivně vybaven a ochoten při ní spolupracovat.
Ústřední správní úřad pro oblast kybernetické bezpečnosti a pro vybrané oblasti ochrany utajovaných informací je, podle zákona č. 181/2014 Sb., Národní úřad pro kybernetickou a informační bezpečnost se sídlem v Brně. Zákon č. 181/2014 Sb. navazuje na přímo použitelný předpis Evropské unie Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA (Agentuře Evropské unie pro kybernetickou bezpečnost), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013.
Vybrané bezpečnostní hrozby a nedostatky
Kybernetický útok na IoT může mít tři základní podoby: získání nepovoleného přístupu a zneužití osobních dat, použití přístrojů k napadení jiných přístrojů (proměna v bot) a použití přístroje k vytvoření fyzického nebezpečí. Z technického pohledu se zařízení IoT potýkají se dvěma základními nedostatky: malou pamětí a nízkým (počítačovým) výkonem. Od nich se odvíjejí další zranitelnosti přístrojů vůči napadení, jelikož na ně nelze aplikovat běžné postupy pro zabezpečování.
Vývoj kybernetických bezpečnostních opatření představuje drahý a časově náročný proces, který je třeba neustále aktualizovat a přizpůsobovat novým hrozbám či útokům. Kvalitní zabezpečení je finančně nákladné, přičemž vynaložené finance se výrobcům přímo nevrátí. Implementace bezpečnostních prvků tak mnohdy zůstává ve výrobním procesu na druhé koleji. Další problémem je, že řada přístrojů a zařízení byla vyvinuta a používá se bez rozmýšlení nad tím, jak je zabezpečeno a počáteční chyba ve vývoji způsobila, že současná zařízení IoT představují často jednoduše použitelnou vstupní bránu do systému. Eliminovat či mírnit bezpečnostní riziko je přitom možné konceptem security by design (bezpečný díky návrhu).
Čtěte také: Legislativa stavu ohrožení
Tím je v informatice označen software, který byl navržen od základu tak, aby byl bezpečný a znalost principů práce počítačového programu neohrozila bezpečnost. Uživatelova data jsou v kybernetickém prostoru chráněna na základě tzv. kybernetické triády: CIA - confidentiality (důvěrnosti), integrity (nezměnitelnosti/celistvosti) a avalability (dostupnosti). Přičemž právě útoky na nezměnitelnost a dostupnost dat spadají mezi hlavní hrozby. Bez ohledu na technické nedostatky zůstává nejslabším článkem v kybernetickém bezpečnostním řetězci člověk.
Legislativa a povinnosti poskytovatelů regulovaných služeb
Zákon č. ze dne 11. (2) Tento zákon se vztahuje na osoby, které jsou usazeny na území České republiky. Regulovanou službou je služba, o které tak rozhodl Úřad podle § 6 odst. 1.
(1) Poskytovatel služby splňující podmínky pro registraci regulované služby podle § 4 odst. 1 je pro účely vydání rozhodnutí o registraci regulované služby povinen ohlásit tuto službu Úřadu nejpozději do 60 dnů ode dne, kdy ke splnění podmínek došlo. (2) Úřad rozhodne o registraci regulované služby v případě, že jsou splněny podmínky pro registraci regulované služby podle § 4 odst. (4) Rozhodnutí o registraci regulované služby podle odstavce 2 může být prvním úkonem Úřadu v řízení.
(1) V režimu vyšších povinností je poskytovatel regulované služby, který z důvodu své velikosti, počtu uživatelů, geografického rozšíření služby, dopadu na fungování odvětví nebo jiného poskytovatele regulované služby nebo rizikovosti provozu, je značně ekonomicky, společensky nebo bezpečnostně významný pro Českou republiku. (2) Při změně režimu poskytovatele regulované služby z režimu nižších povinností na režim vyšších povinností plynou nové lhůty pro zahájení plnění povinností podle § 11 odst. 1, § 13 odst. 4 a § 15 odst.
(1) Pokud služba již nesplňuje podmínky pro registraci regulované služby podle § 4 odst. (2) Řízení o zrušení registrace regulované služby se zahajuje na žádost jejího poskytovatele. Řízení lze zahájit i z moci úřední. Rozhodnutí o zrušení registrace regulované služby může být prvním úkonem v řízení. (3) Písemné rozhodnutí o zrušení registrace regulované služby se nevyhotovuje v případě, kdy Úřad žádosti v plném rozsahu vyhověl nebo kdy v řízení zahájeném z moci úřední rozhodl o zrušení registrace regulované služby. V takovém případě rozhodnutí nabývá právní moci záznamem do spisu.
(1) Poskytovatel regulované služby v režimu vyšších povinností je povinen hlásit Úřadu postupem podle § 16 kybernetické bezpečnostní incidenty, které se projevily ve stanoveném rozsahu, mají původ v kybernetickém prostoru a nelze u nich ve lhůtě podle § 16 odst. (2) Poskytovatel regulované služby v režimu nižších povinností je povinen hlásit národnímu týmu koordinace a zvládání kybernetických bezpečnostních incidentů, událostí a hrozeb (dále jen „Národní CERT“) postupem podle § 16 kybernetické bezpečnostní incidenty, které se projevily ve stanoveném rozsahu, mají původ v kybernetickém prostoru, mají významný dopad na poskytování regulované služby a nelze u nich ve lhůtě podle § 16 odst. (3) Významný dopad na poskytování regulované služby má kybernetický bezpečnostní incident, který poskytovateli regulované služby způsobil nebo může způsobit závažné provozní narušení služeb nebo finanční ztráty nebo způsobil nebo může způsobit jiným osobám značnou újmu. (5) Úřad dále přijímá dobrovolná hlášení kybernetických bezpečnostních incidentů, kybernetických bezpečnostních událostí nebo hrozeb.
(2) Úřad sdělí poskytovateli regulované služby v režimu vyšších povinností bez zbytečného odkladu, nejpozději do 24 hodin po nahlášení kybernetického bezpečnostního incidentu podle odstavce 1, zda má tento kybernetický bezpečnostní incident významný dopad na kybernetický prostor státu. (3) V případě hlášení kybernetického bezpečnostního incidentu s významným dopadem na poskytování regulované služby podle § 15 odst. (4) Poskytovatel regulované služby hlásí kybernetické bezpečnostní incidenty včetně dobrovolných hlášení podle tohoto zákona prostřednictvím Portálu Úřadu.
(1) Poskytovatel regulované služby, který je poskytovatelem regulované služby systému překladu doménových jmen, služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie, služby správy a provozu registru domény nejvyšší úrovně, služby cloud computingu, služby datového centra, služby sítě pro doručování obsahu, služby on-line tržiště, služby internetového vyhledávače podle přímo použitelného předpisu Evropské unie, služby platformy sociální sítě, řízené služby nebo řízené bezpečnostní služby, je ve vztahu k těmto regulovaným službám povinen v rámci stanoveného rozsahu zavádět a provádět vhodná a přiměřená bezpečnostní opatření zahrnující alespoň řízení rizik, řízení bezpečnostní politiky a bezpečnostní dokumentace, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činností, řízení dodavatelů, bezpečnou akvizici, vývoj a údržbu, aplikační bezpečnost, bezpečnost lidských zdrojů, kryptografické algoritmy, řízení přístupu a správu a ověřování identit, a to v míře a způsobem stanoveným prováděcím předpisem Evropské komise, kterým se stanoví pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2022/2555 (dále jen „prováděcí předpis Komise“), pokud jde o technické a metodické požadavky opatření, která jsou uvedení poskytovatelé regulovaných služeb povinni přijímat; § 13 odst. (2) Poskytovatel regulované služby, který je poskytovatelem regulované služby uvedené v odstavci 1, s výjimkou služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie, je ve vztahu k této regulované službě povinen v rámci stanoveného rozsahu hlásit všechny kybernetické bezpečnostní incidenty s významným dopadem na poskytování regulované služby; § 15 odst. 1 a 2 se ve věci vymezení incidentů, které je potřeba hlásit, ve vztahu k této regulované službě nepoužijí. Způsob stanovení významnosti dopadu kybernetického bezpečnostního incidentu na poskytování regulované služby stanoví prováděcí předpis Komise.
(1) Pokud to poskytovatel regulované služby považuje z důvodu zajištění řádného poskytování regulované služby a kybernetické bezpečnosti aktiv za vhodné, oznámí bez zbytečného odkladu uživatelům regulované služby kybernetický bezpečnostní incident s významným dopadem, který by mohl negativně ovlivnit poskytování této služby. Úřad může poskytovateli regulované služby, který je dotčen kybernetickým bezpečnostním incidentem s významným dopadem, uložit povinnost nebo zákaz informovat uživatele regulované služby o tomto incidentu. (2) Poskytovatel regulované služby je povinen bez zbytečného odkladu vhodným a srozumitelným způsobem informovat uživatele regulované služby, který může být ovlivněn významnou hrozbou, o takových krocích, které může uživatel učinit v reakci na tuto hrozbu, aby byl případný dopad její realizace na tohoto uživatele co nejmenší.
(1) Úřad může v případě hrozícího nebo probíhajícího kybernetického bezpečnostního incidentu, který by mohl mít závažný vliv na poskytování regulované služby s dopadem na zachování bezpečnosti České republiky, vnitřního pořádku, života a zdraví, majetkových hodnot nebo životního prostředí, na podnět poskytovatele regulované služby v režimu vyšších povinností, který marně vyzval svého dodavatele k předání informací a dat, uložit tomuto dodavateli povinnost předat poskytovateli regulované služby informace a data související s provozem aktiv sloužících k poskytování regulované služby. Pokud tento dodavatel informacemi nebo daty souvisejícími s provozem aktiv sloužících k poskytování regulované služby nedisponuje nebo vzhledem ke skutkovým okolnostem není účelné jejich opatření a vydání po něm požadovat, může Úřad povinnost podle věty první uložit každému, kdo požadovanými informacemi a daty disponuje.
Strategicky významnou službou je regulovaná služba, jejíž narušení by mohlo mít závažný dopad na bezpečnost České republiky nebo vnitřní pořádek.
(1) Úřad vydá opatření obecné povahy, kterým stanoví poskytovatelům strategicky významných služeb podmínky nebo zakáže využití plnění dodavatele bezpečnostně významné dodávky v kritické části stanoveného rozsahu, jestliže se vláda usnese, že je takové opatření obecné povahy nutné z důvodu ochrany bezpečnosti České republiky nebo vnitřního pořádku.
Poskytovatel strategicky významné služby může závazek ze smlouvy vypovědět, nelze li v jeho plnění pokračovat, aniž by bylo porušeno opatření obecné povahy podle § 29.
(1) Stav kybernetického nebezpečí lze vyhlásit jen s uvedením důvodů a na nezbytně nutnou dobu, nejvýše na dobu 30 dnů. Stav kybernetického nebezpečí vyhlašuje Úřad na úřední desce Úřadu. Vyhlášení stavu kybernetického nebezpečí nabývá účinnosti okamžikem, který se v něm stanoví. (2) Úřad o vyhlášení stavu kybernetického nebezpečí a jeho prodloužení neprodleně informuje vládu. Pokud důvody pro vyhlášení stavu kybernetického nebezpečí trvají, může Úřad vyhlášený stav kybernetického nebezpečí přiměřeně prodloužit, nejdéle však na 60 dnů ode dne jeho vyhlášení. (3) V případě vyhlášení nouzového stavu, stavu ohrožení státu nebo válečného stavu k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru zůstává stav kybernetického nebezpečí v platnosti po celou dobu vyhlášení nouzového stavu, stavu ohrožení státu nebo válečného stavu.
tags: #stav #kybernetickeho #ohrozeni #statu #zpráva
Oblíbené příspěvky:
Kontakt
Zelaná Hrebová, z.s.
[email protected]
IČ: 06244655
Paskovská 664/33
Ostrava-Hrabová
72000
Bc. Jana Veclavaková, DiS.
tel. 774 454 466
[email protected]
Jaena Batelk, MBA
tel. 733 595 725
[email protected]