Projekty Ministerstva vnitra e-sbírka a e-legislativa z pohledu kybernetické bezpečnosti

Transkript

1 Projekty Ministerstva vnitra e-sbírka a e-legislativa z pohledu kybernetické bezpečnosti JUDr. Petr Voříšek Anotace: Projekty e-sbírka a e-legislativa se řadí mezi prioritní projekty Ministerstva vnitra i celé vlády České republiky. Legislativně je projekt zakotven v zákoně č. 222/2016 Sb., o Sbírce zákonů a mezinárodních smluv a o tvorbě právních předpisů vyhlašovaných ve Sbírce zákonů a mezinárodních smluv (zákon o Sbírce zákonů a mezinárodních smluv), který s ohledem na nastavenou účinnost zákona předpokládá ostré spuštění těchto systémů k 1. lednu Cílem projektů je zvýšení dostupnosti a srozumitelnosti platného i dříve účinného práva vyhlašovaného na území České republiky prostřednictvím zavedení závazné elektronické podoby Sbírky zákonů a mezinárodních smluv. Systém pro tvorbu právních předpisů bude používán ve všech jeho stádiích a bude obsahovat funkcionality umožňující přehlednější tvorbu právních předpisů. V rámci tohoto článku bude posouzena připravenost uvedených systémů z pohledu jejich zabezpečení proti možným kybernetickým útokům, včetně zhodnocení případného narušení těchto systémů a reálných dopadů. Klíčová slova: kybernetická bezpečnost, e-sbírka, e-legislativa, hacking, data, informační a komunikační technologie Úvod Realizace výše uvedených projektů vyplývá z koaliční dohody, programového prohlášení vlády České republiky, politiky budování egovernmentu podporované vládou České republiky a z celé řady strategických dokumentů, jako je Akční plán boje s korupcí, Národní program reforem nebo Strategický rámec rozvoje veřejné správy České republiky. Systémy e-sbírka a e-legislativa budou hodnoceny jako informační systémy veřejné správy a bude se na ně vztahovat zákon č. 365/2000 Sb., o informačních 1

2 systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů. Pro potřeby dalšího hodnocení je potřeba tyto informační systémy rozdělit na čtyři základní části. Systém e-sbírka se dělí na veřejnou a neveřejnou část. V rámci veřejné části e-sbírky mohou uživatelé systému, kterých je v podstatě neomezený počet, prostřednictvím internetu nahlížet do databáze Sbírky zákonů a mezinárodních smluv a získávat z ní informace o právních předpisech. Uživatelé si přitom mohou na portálu e-sbírky zakládat své osobní účty vázané na , na který jim budou přicházet notifikace dle jejich nastavení. Neveřejná část e-sbírky bude primárně sloužit pro vydavatele Sbírky zákonů a mezinárodních smluv k vyhlašování nových právních předpisů a pro správce celého portálu pro účely dalšího rozvoje systému. Vydavatelem i správcem bude Ministerstvo vnitra. V případě systému e-legislativa je situace obdobná. E-Legislativa se dělí na veřejnou a neveřejnou část, kdy veřejná část e-legislativy bude sloužit širokému okruhu uživatelů, kteří budou moci na portále e-legislativa sledovat průběh legislativního procesu a stahovat si potřebné dokumenty. Neveřejnou část e-legislativy bude využívat omezený okruh uživatelů, kteří se budou aktivně účastnit legislativního procesu a budou v systému tvořit návrhy právních předpisů, pozměňovací návrhy, připomínky, ale i procesní dokumenty. Již ze samotné povahy věci je zřejmé, že systémy budou obsahovat velmi citlivá data, u kterých bude nutné zajistit co možná největší důvěrnost. Je proto potřeba zajistit co nejvyšší stupeň ochrany obsažených dat. Tyto čtyři části je možné v souladu s 2 písm. c) vyhlášky č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (dále jen vyhláška o kybernetické bezpečnosti ), považovat za primární aktiva, tedy informace nebo služby, které zpracovává nebo poskytuje významný informační systém. Typy reálných kybernetických incidentů Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb. (dále jen zákon o kybernetické bezpečnosti ), definuje v 7 odst. 1 bezpečnostní událost jako situaci, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických 2

3 komunikací. Pokud narušení skutečně nastane, jedná se pak o bezpečnostní incident. 1 Pod tyto pojmy lze dle logiky věci zařadit kybernetické útoky. V případě informačních systémů e-sbírka a e-legislativa pak hrozí převážně následující hrozby kybernetických incidentů: hacking, neboli průnik do systému jinou než standardní cestou obejitím nebo prolomením jeho ochrany. 2 Platí především pro neveřejné části informačních systémů e-sbírka a e-legislativa, kdy mohou být pozměňována data zde uložená a zobrazována ve veřejných částech anebo může například docházet k šíření tzv. hoaxů (tedy poplašných a nepravdivých zpráv šířených prostřednictvím internetu); phishing, který spočívá v podvodném získávání informací, a to zejména za účelem jejich pozdějšího zneužití. Jedná se zpravidla o rozesílání podvodných zpráv budících dojem, že se jedná o důvěryhodnou zprávu známé instituce. 3 Teoreticky může být takto napadena neveřejná část informačního systému e-legislativa a mohou být podvodně získány informace od uživatelů podílejících se na legislativním procesu; pharming - jedná se o podvodné získávání informací o uživatelích. V tomto případě se jedná o převod adres zadávaných do webového prohlížeče na jiné IP adresy. Uživatel je tak po zadání příslušné adresy přesměrován na webové stránky pozměněné. 4 Tento kybernetický útok je použitelný pro případ veřejné části e-sbírky nebo e-legislativy, kdy externí uživatelé v domnění, že se nachází na portálech e-sbírka nebo e-legislativa budou ve skutečnosti na uměle vytvořeném serveru, který od nich bude získávat informace; sniffing tento pojem znamená neoprávněné monitorování elektronické komunikace subjektem, který není adresátem této komunikace. Tímto způsobem je možné sledovat veškerou aktivitu uživatelů. Sniffingem je ohrožena především neveřejná část systému e-legislativa, kdy se útočník 1 7 odst. 2 zákona o kybernetické bezpečnosti. 2 JANSA, Lukáš, Petr OTEVŘEL, Jiří ČERMÁK, Petr MALIŠ, Petr HOSTAŠ, Michal MATĚJKA a Ján MATEJKA. Internetové právo. Brno: Computer Press, ISBN Phishing - stále aktuální hrozba. Govcert.cz [online]. Praha: Národní centrum kybernetické bezpečnosti, 2015 [cit ]. Dostupné z: phishing-stale-aktualni-hrozba/ 4 JANSA, Lukáš, Petr OTEVŘEL, Jiří ČERMÁK, Petr MALIŠ, Petr HOSTAŠ, Michal MATĚJKA a Ján MATEJKA. Internetové právo. Brno: Computer Press, ISBN

4 může připojit k účtům účastníků legislativního procesu, typicky poslancům nebo senátorům, a sledovat jejich komunikaci a práci v jejich pracovním prostoru. S ohledem na vysokou citlivost těchto údajů by se jednalo o zcela zásadní dopad; malware znamená tvorbu a šíření škodlivého programu nebo zavedení škodlivého kódu. Může tímto způsobem docházet k získávání informací anebo dokonce poškození či ztrátě dat uložených v systému. Tento druh kybernetického útoku by mohl znamenat v nejhorším možném případě zcela drtivý dopad pro data obsažená ve všech částech obou systémů e-sbírka a e-legislativa; DoS a DDos útoky - jejich podstatou je vysílání značného množství požadavků na server, který není schopen data zpracovávat a dochází k přetížení a následnému výpadku systému. Dos a DDos útoky jsou relevantní pro veřejné části systémů e-sbírka a e-legislativa, kdy útočník může zaslat v jednom momentu požadavky na stažení či zobrazení velkého množství dokumentů. Navíc musí být každý dokument, s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES, označen časovým razítkem, takže by daný útok mohl způsobit i nemalé finanční dopady na provoz systémů. Situace je o to komplikovanější, že se často při kybernetických útocích využívá tzv. spoofing, což je metoda, která umožňuje zakrýt identitu počítače útočníka a navíc i využít jako obranu identitu nic netušících osob. Kromě úmyslně cílených kybernetických útoků může dojít i k porušení dat systémů na základě fyzického útoku, živelné katastrofy, neopatrnou manipulací administrátorů nebo jiných zaměstnanců či výpadkem přívodu elektrické energie. Způsobené škody přitom mohou být i mnohem závažnější než škody způsobené kybernetickými útoky. Klasifikace informačních systémů S ohledem na aplikaci 3 zákona o kybernetické bezpečnosti je na samém počátku nezbytné určit, zda informační systém je možné zařadit mezi významné 4

5 informační systémy nebo dokonce mezi kritickou informační infrastrukturu. Dle tohoto zařazení informačního systému se odvíjejí následné povinnosti správce a provozovatele informačního systému. Významný informační systém je přitom takový informační systém, který je spravovaný orgánem veřejné moci a který není kritickou informační infrastrukturou. Při narušení bezpečnosti informací obsažených v takovém systému může dojít k omezení nebo výraznému ohrožení výkonu působnosti orgánu veřejné moci. 5 Významné informační systémy a jejich určující kritéria stanoví prováděcí právní předpis k zákonu o kybernetické bezpečnosti, kterým je vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, ve znění vyhlášky č. 205/2016 Sb. (dále jen vyhláška č. 317/2014 Sb. ). Tato vyhláška je přitom relevantní pro Ministerstvo vnitra, neboť je orgánem veřejné moci, není obcí ani městskou částí a zároveň je budoucím správcem a provozovatelem systémů e-sbírka a e-legislativa. V případě systémů e-sbírka a e-legislativa, které s ohledem na to, že nejsou zařazeny v příloze č. 1 této vyhlášky, je potřeba posuzovat splnění dopadových a oblastních kritérií. Zařazení systémů e-sbírka a e-legislativa do předmětné přílohy č. 1 bude možné teprve po zahájení ostrého provozu obou systémů. V případě dopadových kritérií je pro systémy e-sbírka a e-legislativa relevantní 4 písm. a) body 1 a 2 vyhlášky č. 317/2014 Sb. V případě úplné nebo částečné nefunkčnosti systému e-legislativa způsobené narušením bezpečnosti informací by měla tato skutečnost negativní vliv na fungování orgánu veřejné moci, tedy průběh legislativního procesu na území České republiky. V případě úplné nebo částečné nefunkčnosti systému e-sbírka způsobené narušením bezpečnosti informací by měla tato skutečnost negativní vliv na poskytování služeb nebo informací orgánem veřejné moci veřejnosti, tedy informací o právním řádu České republiky a o průběhu legislativního procesu. S ohledem na výše uvedené je teoreticky relevantní i 4 písm. b) body 4 a 5 uvedené vyhlášky, tedy zásah do osobního života nebo práv fyzických nebo právnických osob postihující nejméně osob a dále výrazné ohrožení nebo narušení veřejného zájmu. 5 2 písm. d) zákona o kybernetické bezpečnosti. 5

6 V rámci oblastních určujících kritérií se použije seznam uvedený v příloze č. 2 vyhlášky, a to konkrétně část I. body 8 (tvorba právních předpisů), 10 (vedení internetových stránek), 11 (mezirezortní spolupráce) a 12 (mezinárodní spolupráce). Vzhledem k výše uvedenému bylo jednoznačně potvrzeno, že informační systémy e-sbírka a e-legislativa budou klasifikovány jako významné informační systémy. Tento přístup je všeobecně potvrzen. 6 Není ovšem vyloučeno, že by bylo do budoucna oba systémy možné překvalifikovat na kritickou informační infrastrukturu v souladu se zákonem č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů, a nařízením vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, ve znění nařízení vlády č. 315/2014 Sb. (dále jen nařízení vlády č. 432/2010 Sb. ), které určují průřezová a odvětvová kritéria. Relevantní by přitom bylo rozhodnout, zda by výpadek systémů e-sbírka a e- Legislativa dle 1 písm. c) nařízení vlády č. 432/2010 Sb. znamenal omezení poskytování nezbytných služeb nebo jiný závažný zásah do každodenního života postihující více než osob. K takovému závěru bude pravděpodobně možné dojít teprve po spuštění ostrého provozu obou systémů. V další fázi budeme proto předpokládat, že informační systémy e-sbírka a e-legislativa budou považovány za významné informační systémy. Zajišťování bezpečnostních opatření S cílem zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti elektronických komunikací určuje 4 zákona o kybernetické bezpečnosti, že správci a provozovatelé významných informačních systémů musí vykonávat bezpečnostní opatření v takovém rozsahu, aby byla zabezpečena nezbytná úroveň kybernetické bezpečnosti. Bezpečnostní opatření se pak dělí na opatření organizační a technická. Rozsah a obsah bezpečnostních opatření je podrobně stanoven ve vyhlášce o kybernetické bezpečnosti. Vzhledem k technologické neutralitě detailního návrhu technického řešení informačních systémů e-sbírka a e-legislativa je bezpečnostní architektura navržena v detailním návrhu pouze na koncepční úrovni. Nicméně detailní technické řešení požaduje naplnění požadavků zákona o kybernetické bezpečnosti, jakož i vyhlášky 6 Vyhlášení výzvy k účasti na průzkumu trhu. Ministerstvo vnitra [online]. Praha: Ministerstvo vnitra, 2016 [cit ]. Dostupné z: 6

7 o kybernetické bezpečnosti. 7 Konečná implementace těchto ustanovení je z velké části na implementátorovi technického řešení a samozřejmě také na samotném Ministerstvu vnitra. Z organizačních opatření je nutné přednostně vyzdvihnout řízení aktiv dle 8 vyhlášky o kybernetické bezpečnosti. Primární aktiva je přitom nutné hodnotit z hlediska jejich důvěrnosti, integrity a dostupnosti dle stupnic uvedených v příloze č. 1 vyhlášky. Ta dělí jednotlivá hlediska na čtyři úrovně, a to na úroveň nízkou, střední, vysokou a kritickou. V případě hodnocení primárních aktiv e-sbírky a e-legislativy bylo identifikováno, že dostupnost veřejné části e-sbírky a e-legislativy dosahuje vysoké důležitosti. V případě neveřejné části e-sbírky má vysokou důležitost integrita. U neveřejné části informačního systému e-legislativa byla identifikována vysoká důležitost u integrity a dostupnosti. Za páté primární aktivum jsou architektem technického řešení považovány údaje externích uživatelů, kde je vyhodnocená vysoká důležitost důvěrnosti těchto údajů. Zbytek hledisek má důležitost nízkou anebo střední. 8 Kromě hodnocení primárních aktiv je v rámci organizačních opatření nutné zajistit i hodnocení rizik, které bude vstupem pro další upřesnění bezpečnostních opatření technického a organizačního charakteru a jejich řízení. Při identifikaci rizik jsou zohledňovány hrozby a zranitelnosti a posuzovány dopady na možná aktiva. Je přitom nutné zvážit alespoň základní hrozby podle 4 odst. 4 vyhlášky o kybernetické bezpečnosti, jako je porušení bezpečnostní politiky, zneužití identity fyzické osoby, kybernetické útoky, škodlivé kódy, narušení fyzické bezpečnosti nebo neoprávněnou modifikací údajů. Ze zranitelností uvedených v 4 odst. 5 vyhlášky o kybernetické bezpečnosti je pak nutné vzít úvahu především nedostatečné bezpečnostní povědomí uživatelů a administrátorů, nedostatečnou údržbu informačních systémů, nevhodné nastavení přístupových oprávnění, nedostatečné monitorování činnosti uživatelů či administrátorů nebo nedostatečné stanovení bezpečnostních pravidel. V rámci organizační bezpečnosti se dále v souladu s 6 odst. 1 vyhlášky o kybernetické bezpečnosti určuje výbor pro řízení kybernetické bezpečnosti a dále se 7 Vyhlášení výzvy k účasti na průzkumu trhu. Ministerstvo vnitra [online]. Praha: Ministerstvo vnitra, 2016 [cit ]. Dostupné z: 8 Vyhlášení výzvy k účasti na průzkumu trhu. Ministerstvo vnitra [online]. Praha: Ministerstvo vnitra, 2016 [cit ]. Dostupné z: 7

8 určují bezpečnostní role a jejich práva a povinnosti, kdy osoby zastávající bezpečnostní role musí být řádně proškoleny. Dalším požadavkem je vytvoření, schválení a zavedení bezpečnostní politiky v oblasti systému řízení informací (ISMS), kterou má Ministerstvo vnitra naplněnou. Je nutno přitom podotknout, že Ministerstvo vnitra - odbor kybernetické bezpečnosti a koordinace informačních a komunikačních technologií disponuje certifikátem ze systému řízení bezpečnosti informací ISO 27001:2013. Je rovněž vhodné, aby takto certifikovanou osobou byl také implementátor informačního systému v pozici bezpečnostního auditora. Tím budou zajištěny bezpečnostní požadavky na dodavatele dle 7 vyhlášky o kybernetické bezpečnosti. V souladu s 9 vyhlášky o kybernetické bezpečnosti bude prováděno i šíření bezpečnostního povědomí prostřednictvím proškolení a poučení osob zabezpečujících jednotlivé činnosti. Bude zajištěna dostatečná kontrola dodržování bezpečnostní politiky uživatelů, administrátorů a osob zastávajících bezpečnostní role. V rámci řízení provozu a komunikací budou detekovány kybernetické bezpečnostní události, kdy tyto údaje budou vyhodnocovány, a na zjištěné nedostatky bude provedena reakce. Za účelem zvýšení ochrany dat bude probíhat pravidelné zálohování a prověřování použitelnosti záloh. Tyto zálohy je vhodné provádět v případě e-legislativy i nezávisle na Ministerstvu vnitra u jednotlivých institucí účastnících se legislativního procesu. V rámci řízení přístupu a za účelem zvýšení bezpečnosti systémů je každému uživateli přiřazen jednoznačný identifikátor. Jsou zároveň stanoveny bezpečnostní požadavky na změny informačního systému spojené s akvizicí, vývojem a údržbou. Za účelem zvládání kybernetických bezpečnostních událostí a incidentů je připraveno prostředí pro vyhodnocení oznámených kybernetických bezpečnostních událostí a příslušný nástroj pro detekci. Je prováděna klasifikace kybernetických bezpečnostních incidentů a přijímáno opatření pro odvracení a zmírnění dopadu. Zároveň jsou zjišťovány příčiny kybernetických bezpečnostních incidentů. V rámci řízení kontinuity činností je potřeba určit minimální úrovně poskytovaných služeb, dobu obnovení chodu a obnovení dat po kybernetickém bezpečnostním incidentu. 8

9 Soulad přijatých bezpečnostních opatření bude v návaznosti na 15 vyhlášky o kybernetické bezpečnosti pravidelně kontrolován a auditován. Další skupinou bezpečnostních opatření jsou technická opatření. Důležitá je oblast fyzické bezpečnosti, kdy musí být přijata opatření k zamezení neoprávněného vstupu do vymezených prostor s umístěním technických aktiv, tedy hardwaru, a jejich poškození či jiných zásahů. Ty budou umístěny v jednotlivých datových centrech. Tím je předcházeno poškození, krádeži nebo jiné kompromitaci zařízení. 9 Za účelem ochrany integrity musí být v souladu s 17 vyhlášky o kybernetické bezpečnosti zavedeno řízení bezpečného přístupu mezi vnější a vnitřní sítí, použití demilitarizovaných zón, použití kryptografických zón a opatření pro odstraňování nebo blokování přenášených dat. S ohledem na množství uživatelů systému budou používány nástroje pro ověření identity uživatelů a administrátorů, především pak neveřejné části informačního systému e-legislativa. Tuto funkcionalitu bude zajišťovat systém JIP/KAAS, a to prostřednictvím dvou faktorové identifikace. 10 Jednotný identitní prostor (JIP) obsahuje identitní, autentizační a autorizační informace o jednotlivých agendových informačních systémech a uživatelích těchto systémů. Katalog autentizačních a autorizačních služeb (KAAS) obsahuje informace o poskytovaných autorizačních a autentizačních službách. 11 Jsou přitom stanoveny minimální požadavky na složitost hesla a jeho pravidelnou obměnu. S ohledem na 20 vyhlášky o kybernetické bezpečnosti musí být používán nástroj pro ochranu před škodlivým kódem, který zajistí ověření a stálou kontrolu serverů, sdílených datových úložišť a pracovních stanic. U nástroje pro ochranu před škodlivým kódem je prováděna pravidelná aktualizace. Bude rovněž používán pravidelný nástroj pro zaznamenávání činností, který zajišťuje sběr informací o provozních a bezpečnostních událostech a ochranu získávaných informací před neoprávněným čtením či změnou vyhlášky o kybernetické bezpečnosti. 10 Vyhlášení výzvy k účasti na průzkumu trhu. Ministerstvo vnitra [online]. Praha: Ministerstvo vnitra, 2016 [cit ]. Dostupné z: 11 KUČERA, Aleš, ŘEMELKA, Tomáš. JIP / KAAS / ZR aneb "Co budeme dělat?" [online]. In Konference Internet ve státní správě a samosprávě Hradec Králové, [cit ] s. 2. Dostupné z < 9

10 Dále bude připraven nástroj pro detekci kybernetických bezpečnostních událostí, který vychází ze stanovených bezpečnostních potřeb a výsledků hodnocení rizik a který zajistí ověření, kontrolu a případné zablokování komunikace mezi vnitřní komunikační sítí a vnější sítí. 12 V neposlední řadě budou prováděny bezpečnostní testy zranitelností aplikací, které jsou přístupné z vnější sítě a dále jsou používány kryptografické ochrany s dostatečným algoritmem a dostatečná pravidla kryptografické ochrany pro přenos po komunikačních sítích nebo při uložení na komunikační zařízení nebo vyměnitelné technické nosiče dat. Tyto kryptografické prostředky musí zajistit ochranu důvěrnosti a integrity předávaných nebo ukládaných dat a prokázání odpovědnosti za provedené činnosti. Většina technických opatření, s výjimkou opatření fyzické bezpečnosti, bude v rámci provozu e-sbírka a e-legislativa naplněna prostřednictvím Centrálního místa služeb a Dohledového centra egovernmentu. Centrální místo služeb 2.0 slouží jako hlavní propojovací místo egovernmentu a zajišťuje služby pro jeho čtyři základní komunikační prostředí. Centrální místo služeb poskytuje 13 služeb, které mohou být systémy e-sbírka a e-legislativa rovněž využívány. Jedná se především o přímé a bezpečné připojení k internetu, přístup koncových uživatelů do systémů, propojování s dalšími systémy (v případě informačních systémů e-sbírka a e-legislativa především s Registrem práv a povinností, EUR-Lexem či N-Lexem). Nová verze Centrálního místa služeb 2.0 si pak klade mnohem vyšší nároky na bezpečnost a monitoring provozu systémů, které podporuje. 13 V případě Dohledového centra egovernmentu se jedná v podstatě o rezortní CERT pracoviště Ministerstva vnitra určené k ochraně základních registrů a nejdůležitějších informačních systémů provozovaných Ministerstvem vnitra. Dohledové centrum egovernmentu zajišťuje centrální dohledový systém pro zajištění bezpečnostních dohledů a tvoří funkční rozhraní pro hlášení kybernetických incidentů Národnímu centru kybernetické bezpečnosti v souladu s 8 zákona o kybernetické bezpečnosti. Bezpečnost systémů je prostřednictvím Dohledového centra vyhlášky o kybernetické bezpečnosti. 13 Komunikační infrastruktura veřejné správy a Centrální místo služeb. Ministerstvo vnitra [online]. Praha: Ministerstvo vnitra, 2011 [cit ]. Dostupné z: 10

11 egovernmentu řízena v aktivním i pasivním módu. Dohledové centrum egovernmentu obsahuje antivirus pro detekci virových nákaz, systém HoneyPot pro identifikaci kybernetických útoků, systém SIEM pro vyhodnocování hlášení a řešení bezpečnostních událostí nebo například vulnerability scanner pro kontrolu aktualizací a bezpečnostní konfigurace. 14 Stav kybernetického nebezpečí Ustanovení 21 zákona o kybernetické bezpečnosti upravuje postup za stavu, kdy je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost a integrita služeb nebo sítí elektronických komunikací. Takový stav se nazývá kybernetické nebezpečí a vyhlašuje jej ředitel Národního bezpečnostního úřadu. Tento stav ovšem zatím v praxi skutečně nenastal. V případě systémů e-sbírka a e-legislativa může existovat nebezpečí ztráty všech dat, tedy jak dat o vyhlášeném právu, tak dat o průběhu legislativního procesu. Z důvodu eliminace tohoto rizika bude proto vhodné disponovat dvěma geograficky oddělenými datovými centry. Jednotlivým institucím zapojeným do legislativního procesu lze doporučit, aby po určitou dobu zálohovaly jimi vytvářené údaje ve formátu xml mimo systém. Naskýtá se i možnost listinné zálohy, která by ale byla s ohledem na přechod na úplná znění právních předpisů objemná a následná digitalizace velmi náročná. Další relevantní právní předpisy Kromě zákona o kybernetické bezpečnosti a prováděcích právních předpisů k tomuto zákonu je potřeba brát v potaz i jiné právní předpisy zaručující zvýšenou bezpečnost užívání systémů e-sbírka a e-legislativa. Jedná se především o již uvedené nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES, které nabylo účinnosti dne 1. července Toto nařízení stanoví úroveň bezpečnosti prostředků pro elektronickou identifikaci a služeb vytvářejících důvěru. Napříč všemi členskými státy Evropské unie je 14 TŮMA, Miroslav. Kybernetická bezpečnost rezortu [online]. In Konference Internet ve státní správě a samosprávě Hradec Králové, [cit ] s Dostupné z < 11

12 používán jednotný právní rámec pro elektronické podpisy, elektronické pečetě, elektronická časová razítka, elektronické dokumenty, služby elektronického doporučeného doručování a certifikační služby pro autentizaci internetových stránek. Jednotlivé právní předpisy, znění návrhů právních předpisů a procesních dokumentů musí tedy být označeny elektronickými podpisy, resp. elektronickými pečetěmi a časovými razítky, což zaručí autenticitu daného dokumentu a jeho autora i po stažení dokumentu ze systému. Na nařízení pak navazuje zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, který stanoví bližší pravidla pro pečetění a podepisování dokumentu. Dalším důležitým evropským předpisem je Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), které nabude účinnosti 25. května 2018, tedy ještě před samotným spuštěním systémů e-sbírka a e-legislativa. Účelem tohoto nařízení je zvýšení úrovně ochrany osobních údajů fyzických osob, kdy je reflektován prudký vývoj a používání informačních technologií při zpracovávání osobních údajů. Zároveň je zaručená stejná úroveň ochrany osobních údajů na celém území Evropské unie, čímž by měly být odstraněny překážky bránící pohybu osobních údajů mezi členskými státy Evropské unie. Toto nařízení je přitom relevantní pro neveřejnou část e-legislativy, kde budou mít účastníci legislativního procesu založena svoje vlastní konta. Oproti současnému stavu dojde tedy ke zvýšení ochrany osobních údajů. Závěr V tomto příspěvku bylo na praktickém příkladu, kterému posloužily informační systémy e-sbírka a e-legislativa, popsáno zabezpečení jejich kybernetické bezpečnosti na území České republiky. 12

13 Na základě postupu dle vyhlášky č. 317/2014 Sb. bylo ověřeno, že informační systémy e-sbírka a e-legislativa jsou správně zařazeny mezi významné informační systémy. Zároveň bylo popsáno, jak Ministerstvo vnitra je schopno zajistit dodržování bezpečnostních opatření dle zákona o kybernetické bezpečnosti a vyhlášky o kybernetické bezpečnosti a tím i obranu před kybernetickými útoky. Bezpečnostní opatření jsou zabezpečeny v souladu s platnou právní úpravou. Při budování informačních systémů e-sbírka a e-legislativa je nicméně potřeba vzít v potaz i nová evropská nařízení, tj. nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES a nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Literatura: JANSA, Lukáš, Petr OTEVŘEL, Jiří ČERMÁK, Petr MALIŠ, Petr HOSTAŠ, Michal MATĚJKA a Ján MATEJKA. Internetové právo. Brno: Computer Press, ISBN Právní předpisy: 1. nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES 2. nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) 3. zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů 4. zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů 5. nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, ve znění nařízení vlády č. 315/2014 Sb. 6. vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti 13

14 7. vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, ve znění vyhlášky č. 205/2016 Sb. 8. zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb. Internetové zdroje: 1. Komunikační infrastruktura veřejné správy a Centrální místo služeb. Ministerstvo vnitra [online]. Praha: Ministerstvo vnitra, 2011 [cit ]. Dostupné z: 2. KUČERA, Aleš, ŘEMELKA, Tomáš. JIP / KAAS / ZR aneb "Co budeme dělat?" [online]. In Konference Internet ve státní správě a samosprávě Hradec Králové, [cit ] s. 2. Dostupné z < 3. Phishing - stále aktuální hrozba. Govcert.cz [online]. Praha: Národní centrum kybernetické bezpečnosti, 2015 [cit ]. Dostupné z: 4. TŮMA, Miroslav. Kybernetická bezpečnost rezortu [online]. In Konference Internet ve státní správě a samosprávě Hradec Králové, [cit ] s Dostupné z < 5. Vyhlášení výzvy k účasti na průzkumu trhu. Ministerstvo vnitra [online]. Praha: Ministerstvo vnitra, 2016 [cit ]. Dostupné z: 14