Jste připraveni na zákon o kybernetické bezpečnosti?

Zprávy z finančních trhů, 19. 12. 2014 07:30

Praha, 17. prosince 2014

Od 1. ledna příštího roku se Česká republika stane jednou z mála zemí, které mají zvláštní zákony zabývající se kybernetickou bezpečností.
Pro řadu firem to může znamenat velmi hektický konec roku, nebo hrozbu vysokých pokut za nedodržování tohoto zákona v roce příštím.

Nový zákon č. 181/2014 Sb. je primárně zaměřen na zvýšení bezpečnosti kritické infrastruktury státu a významných informačních systémů, spravujících osobní údaje velkého množství lidí.
Smyslem nových pravidel stanovených zákonem je předcházení závažným bezpečnostním hrozbám a možnost jejich řešení v reálném čase. „To by pochopitelně nebylo možné bez stanovení pravidel spolupráce mezi veřejnou správou a soukromým sektorem, přičemž nový zákon klade na firmy a státní instituce, pokud jde o kybernetickou bezpečnost, poměrně vysoké nároky.
Vybrané státní i soukromé organizace mají navíc za povinnost hlásit kybernetické útoky a v souladu se zákonem na ně reagovat,“ upřesňuje Vladimír Michálek, Inovation & Infrastructure Business Unit Director ve společnosti Servodata.

Dohled nad kybernetickou bezpečností je dle zákona svěřen Národnímu bezpečnostnímu úřadu (NBÚ) a Národnímu centru kybernetické bezpečnosti se sídlem v Brně.
Jakmile dojde k bezpečnostnímu incidentu (případně existuje reálná hrozba), může NBÚ vydat reaktivní nebo ochranné opatření, vedoucí k řešení incidentu nebo k zabezpečení klíčové infrastruktury.
Novinkou je i možnost vyhlášení stavu kybernetického nebezpečí.

O tom, že kybernetickou bezpečnost státu nelze brát na lehkou váhu, svědčí i nedávné prohlášení ředitele Agentury pro národní bezpečnost USA (NSA), který uvedl, že v Číně a několika dalších zemích působí organizované skupiny hackerů, které mohou zcela vyřadit z provozu klíčové součásti infrastruktury Spojených států, jako jsou elektrárny či aerolinky.

Na koho se vztahuje?

Zákon o kybernetické bezpečnosti se bude týkat v první řadě poskytovatelů internetového připojení a obecně telekomunikačních služeb.
Důkladně prostudovat by si jej ale měli rovněž i další provozovatelé významných IT infrastruktur, kteří jsou definováni na základě předpisu č. 432/2010 Sb.
Tento předpis stanovuje kritéria pro organizace z oblasti veřejné správy, zdravotnictví, dopravy, energetiky, finančních služeb i provozovatele dalších komunikačních a informačních systémů, podle kterých lze snadno zjistit, zdali se nový zákon na danou firmu či organizaci vztahuje.
Na příchod nového zákona musí být připraveni i správci významných informačních systémů, mezi které patří mnoho státních organizací a orgánů veřejné moci.

V současné době již existuje návrh novely nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury (z pohledu kybernetické bezpečnosti), ve kterém jsou nově stanovena i kritéria týkající se počtu osob a přenosové rychlosti. Podle tohoto návrhu by mezi prvky kritické infrastruktury patřily i informační systémy spravované orgánem veřejné moci obsahující osobní údaje o více než 300 000 osobách a komunikační systémy zajišťující připojení nebo propojení prvku kritické infrastruktury s kapacitou garantovaného datového přenosu nejméně 1 Gb/s.

Jaké jsou povinnosti?

Firmy a organizace, na které se bude nový zákon č. 181/2014 Sb. vztahovat, se musí připravit na rozsáhlá organizační i technická opatření, zahrnující především zavedení systému řízení bezpečnosti informací a rizik, řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému a především také zvládání kybernetických bezpečnostních incidentů.

Požadovaná technická opatření zahrnují vedle fyzického zabezpečení také nutnost zavedení nástrojů na ochranu integrity komunikačních sítí, ověřování identity uživatelů, řízení přístupových oprávnění a rovněž i ochranu před škodlivým kódem. Součásti kritické informační infrastruktury a významné informační systémy musejí být rovněž pod neustálým monitoringem, včetně sledování činnosti administrátorů a uživatelů, a jejich provozovatelé musí nasadit nástroje pro detekci kybernetických bezpečnostních událostí, jejich sběr a vyhodnocování.

Jak se připravit?

Firmy a organizace splňující požadavky na systém řízení bezpečnosti informací dle norem řady ISO/IEC 27000 budou na požadavky nového zákona o kybernetické bezpečnosti pravděpodobně připraveny, jelikož většina opatření tohoto zákona vychází právě z těchto norem. „Velké problémy ovšem mohou mít firmy a organizace, které bezpečnost svých informačních a komunikačních systémů dlouhodobě podceňovaly,“ varuje Vladimír Michálek ze společnosti Servodata.
Postup uvedení stavu bezpečnosti do souladu s požadavky zákona nebude u těchto institucí vůbec snadný.
Je při něm třeba začít zmapováním aktuálního stavu informačních systémů (jaká data a jakým způsobem se v něm spravují) a pokračovat nastavením příslušných procesních a technických opatření.
Za neplnění povinností nového zákona (například nehlášení bezpečnostních incidentů, nevedení bezpečnostní dokumentace apod.) může být uložena sankce do výše 100 000 Kč.

Nejlepším východiskem pro firmy a instituce, které nevědí, kde s uvedením vlastní bezpečnosti do souladu s novým zákonem začít, je konzultace s profesionálním poskytovatelem služeb a řešení v oblasti bezpečnosti informačních a komunikačních systémů.
Zavedení a správu řízení bezpečnosti IT infrastruktury a dat lze rovněž čerpat jako službu od externího poskytovatele. „I zde je ovšem nezbytné zvolit si kvalitního a spolehlivého partnera, jelikož ani v tomto případě se provozovatel informačního systému nezbavuje zodpovědnosti za jeho bezpečnost,“ uzavírá Vladimír Michálek.


Zdroj:    FinExpert.cz
Partners Financial Services