Zákon o kybernetické bezpečnosti nabyl účinnosti v lednu tohoto roku. Otázky ohledně tohoto zákona, co má naplnit a koho se bude týkat, odpovídá Jaroslav Techl, nezávislý odborník na bezpečnost.
Tento zákon primárně dopadá na státní správu, která hledá, jak významným způsobem splnit jeho podmínky. Vytváří velké týmy, které mají vyřešit soulad kritických a významných informačních systémů státní správy v souladu se Zákonem o kybernetické bezpečnosti, neboť některé systémy, považované za významné a kritické, jsou velmi dlouho provozovány a ne všechny tento soulad splňují. Navíc financování bezpečnosti IT obecně, a teď nehovořím jen o státní správě, nebylo nikdy na vysoké úrovni. Všichni administrátoři byli tlačeni do úspor a snižování nákladů a bezpečnost byla vždy první popelkou, která to odnesla. Jak v komerční, tak ve státní sféře, vždy padla otázka „Potřebujeme to?“ „Je to nutné?“ „Co nám to přinese za peníze?“ „Co se stane, když budeme bez zabezpečení IT?“ Administrátoři tím byli zhusta donuceni, aby projekty zabezpečení neuskutečňovali nebo významně omezovali. Zákon o kybernetické bezpečnosti toto však velmi významně řeší, minimálně ve vztahu ke kritickým a významným státním systémům, a nařizuje nějakou úroveň jejich zabezpečení. Podstatným problémem je, že nejde jen o systém jako takový, ale o všechny systémy a technologie, které ho obklopují, komunikují s ním, anebo mu komunikaci umožňují. Takovéto analýzy soustav jsou časově i odbornostně velice náročné, a mnohdy už třeba ani nejsou dostupní lidé, kteří jádra těchto systémů tvořili. Navíc, počet odborníků na tuto oblast je velice omezený, a jsou proto v současnosti nedostatkovým zbožím. To zároveň zvyšuje jejich cenu. Kvůli tomu se organizace občas dostávají do situace „prostého nákupu“ bezpečnostních technologií, které mají všechny problémy vyřešit, a může tak dojít k utracení prostředků bez výrazného efektu na bezpečnost.
Toto samozřejmě je a bude pastva pro dodavatele bezpečnostního softwaru a hardwaru do státní správy. Pojďme se pobavit, jak vypadá naplnění Zákona o kybernetické bezpečnosti u komerčních subjektů.
Zákon o kybernetické bezpečnosti samozřejmě dopadá i na některé komerční subjekty. V zákoně jsou řečeny podmínky, za nichž je nějaký systém považován za významný a i komerční sféra musí splnit jeho podmínky. Nedá se přímo říci, že by šlo o nějakou pastvu pro dodávky bezpečnostního hardwaru a softwaru. Někdo je totiž také musí nainstalovat a nastavit, někdo musí říci, co vlastně se má nakoupit, jaké technologie, nebo jaká jiná opatření přijmout pro zabezpečení. Termín k naplnění Zákona o kybernetické bezpečnosti je krátký, systémy mají být uvedeny do souladu v začátku příštího roku a odborníků na tuto oblast je strašně málo, nedostává se jich. Navíc bohužel zdaleka ne každý, kdo se za odborníka v této oblasti vydává, jím opravdu je. Lidé obeznámení s problematikou se proto bojí, co se nakonec vlastně stane. Zda se naplňování zákona stane černou dírou na peníze, a nejen ve státní správě ale i v komerční sféře, a zda vůbec bude zamýšleného cíle dosaženo, ve smyslu zvýšení bezpečnosti. Zda nepůjde jen o nákup technologií, odškrtnutí fajfky odpovídajícího logu výrobce sportovní obuvi a tepláků Niké znamenající „splnili jsme“, protože samotný nákup technologií nic neřeší. Jak jsme již diskutovali dříve, žádná bezpečnostní technologie bez správné integrace a údržby vlastní bezpečnost neřeší. Je potřebný neustálý dohled, vyhodnocování a úpravy, a to nejen jako reakce na probíhající útoky, ale i jako reakce na nově objevené zranitelnosti.
Samozřejmě, toto říkal Aleš Špidla, odborník na Zákon o kybernetické bezpečnosti na konferenci v Praze pod záštitou IDC a Cisco Systems už před rokem. Vraťme se ke komerční sféře, ke středně velkým až velkým podnikům, ať už jde o Mountfield, Škodu Auto apod.
Takovýchto firem se Zákon o kybernetické bezpečnosti prakticky netýká. Ve hře jsou spíše banky, pojišťovny a podobné organizace. Běžných společností a jejich IS se vůbec týkat nebude. Tím nechci říci, že by nebylo dobré, aby alespoň elementární bezpečnostní postupy nezavedli všechny společnosti a nesnažili se tomuto minimu v zákoně obsaženém alespoň přiblížit. Jen to po nich zákon nevyžaduje. Jinak tento zákon se v obecné rovině dá říci, že je částí bezpečnostní normy ISO 27001. Není to tedy nic úplně nového, s čím by nikdo z oblasti bezpečnosti ICT nepřišel do styku. Pokud má společnost implementovány požadavky normy ISO 270001 do svého ICT, velice pravděpodobně splňuje i požadavky zákona o kybernetické bezpečnosti. Samozřejmě s výjimkou hlášení incidentů do Brna .
Komerční organizace si ale vyměňují informace se státem i mezi sebou?
To ano, ale Zákon o kybernetické bezpečnosti o tomto příliš nehovoří. To, že organizace poskytují státu nějaké informace, nebo je od něj získávají, není předmětem tohoto zákona. Každá organizace v tomto státě je z pozice různých zákonů povinna čerpat elektronické informace, například při vystavovaní faktur, při verifikacích důvěryhodnosti plátce, nebo je státu poskytovat. Zákon však v tomto případě nepožaduje, aby na straně společnosti byli v souladu s požadavky zákona o kybernetické bezpečnosti. To, že by to bylo vhodné a užitečné, je samozřejmě pravda. Z mého úhlu pohledu je nosným důvodem tohoto zákona dát státu za povinnost alespoň u důležitých systémů alespoň na základní úrovni řešit jejich bezpečnost a věnovat se jí. Zároveň je, alespoň částečně, aby byly předepsány požadavky na úroveň požadované ochrany, požadované procesy a jejich fungování. To pak doufám povede ke zvýšení úrovně bezpečnosti informací.
Hovoří však o informační povinnosti ohledně incidentu.
Hovoří, ale nemá stanovenu žádnou sankci. A pokud organizace žádný incident nezjistí, pak ani nemá co hlásit, tj. nemá-li technologie a techniky není žádná informace o incidentu a není tedy co hlásit. Pravdou je, že by z pohledu mého utopistického přání bylo hezké, aby se všichni alespoň na nějaké úrovni museli všichni vzdělat pro práci s prostředky ICT, a měli alespoň nějaké povědomí o bezpečnost. Takové pokusy i u nás již byly. Je to však chiméra, jakou není možné uskutečnit. Bezpochyby by bylo pěkné, pokud by před koupí třeba chytrého telefonu musel uživatel prokázat, že ho umí ovládat, že ví jak ho používat, a co má dělat, aby se jeho zařízení nestalo bezpečnostní hrozbou. Určitě by takovýto postup snížil i počet útoků a napadených zařízení, jejichž prostřednictvím se toto děje. Je to však čirá utopie, stejně jako přezkoušet v určitém intervalu třeba všechny řidiče automobilů.
Jde tedy o nějaký zásadní problém ohledně naplnění Zákona o kybernetické bezpečnosti?
Nepochybně. Neexistují zatím analýzy dotčených systémů, kterých se týká. Jde o významné a kritické systémy z pohledu zákona, stát na toto není v plné šíři připraven, protože jej k tomu v minulosti nic nenutilo, ani organizace, kterých se to týká. Připomínám opět bankovnictví, pojišťovnictví a telekomunikace, protože pracují s obrovskými finančními prostředky a v minulosti si už nějakým útokem prošly a samy musely pro svoje přežití nějaké bezpečnostní postupy zavést a udržovat je. V bankovnictví už jen proto, to bylo vyžadováno nadnárodními organizacemi jako Visa, MasterCard a některé další. V telekomunikacích zase proto, že telekomunikační společnost, která by byla prostředkem nějakého útoku směrem ven do zbytku světa, ostatní by se odpojili a začali by ji filtrovat apod., takže by zkrachovala, protože by nebyla schopna poskytovat služby svým zákazníkům. Zabránit útoku nelze, jde jen omezit jeho dopady, to je alfa a omega. Zákon si proto klade za cíl donutit významné systémy napříč komerční a státní správou, aby se lidé, kteří je mají na starosti, bezpečností opravdu začali zabývat, aby měli odpovědný tým, který bude spolupracovat napříč komerční a státní správou.
Takže se Zákon o kybernetické bezpečnosti komerčních subjektů týká?
Týká se, jak už jsem uvedl bankovnictví, pojišťovnictví, telekomunikací. Malých běžných společností se to týkat nebude.
Ani tak velkých firem, jako je třeba Škoda Auto?
Ani Škoda Auto pravděpodobně nebude spadat z pohledu tohoto zákona mezi firmy, které mají významný nebo kritický systém. Spadají pod něj systémy, které jsou kritické z pohledu státu.
Tedy hypoteticky, hacker přijde do internetové kavárny a začne rozesílat škodlivý kód, kyberneticky napadat svoje okolí. Jak řeší Zákon o kybernetické bezpečnosti takový případ?
Neřeší, pokud se bere v potaz, že by s tím měla něco dělat samotná internetová kavárna. Jediné, co nastane, bude-li takovýto útok identifikován, začnou více spolupracovat některé složky státu s napadenými organizacemi na identifikaci jejich napadení a odstranění útočníka.
Poznámka redakce: Pro firmy je důležité, že ZOKB se jich přímo týká až v okamžiku, kdy NBÚ ukončí s firmou pohovor a prohlásí, do jaké skupiny systém patří. Psali jsme v Cybersecurity 2015 – Cisco a NBÚ