Zákon o kybernetické bezpečnosti v praxi a v obklíčení dalšími zákony

Transkript

1 Zákon o kybernetické bezpečnosti v praxi a v obklíčení dalšími zákony Ing. Aleš Špidla Prezident Českého institutu manažerů informační bezpečnosti ales.spidla@cimib.cz Manažer v oddělení řízení rizik PwC ales.spidla@cz.pwc.com

2 Agenda: Zákon o kybernetické bezpečnosti - vlastní zkušenosti se zaváděním do praxe Proč je kybernetická bezpečnost více otázkou pudu sebezáchovy než jen zákona o kybernetické bezpečnosti Proč a jak se v kyberprostoru sami nezahubit, nezahubit

3 Zákon o kybernetické bezpečnosti - vlastní zkušenosti se zaváděním do praxe Kdo jsou osoby povinné Kritická informační infrastruktura (KII) + Kritická komunikační infrastruktura (KKI) Ze soukromé sféry a státní správy např.: ČNB, ČSOB, Česká spořitelna, Komerční banka, ČEPS, ČEPRO, ŘLP, T- Mobile, O2, Vodafone, Ministerstvo dopravy, Ministerstvo práce a sociálních věcí, Ministerstvo vnitra Významné informační systémy (VIS) - pouze orgány veřejné moci (OVM) cca 90 informačních systémů

4 Zákon o kybernetické bezpečnosti - vlastní zkušenosti se zaváděním do praxe Kritická infrastruktura - kybernetické bitevní pole Tiché nebezpečí Podceňování bezpečnosti systémů pro řízení a monitorování technologických procesů (ICS/SCADA) Iluze vzduchové mezery Katastrofální následky Vysoká rizika hmotných škod Lidských obětí Reputační rizika atd. Již zdokumentované příklady útoků Ocelárna v Německu Stuxnet Útok z rozumu na Ettlingen

5 Zákon o kybernetické bezpečnosti - vlastní zkušenosti se zaváděním do praxe Co je nutno pod zákon o kybernetické bezpečnosti doplnit Zdravotnictví Kritickou výrobu.. průběžně provádět analýzu rizik a doplňovat nepokryté oblasti

6 Zákon o kybernetické bezpečnosti - vlastní zkušenosti se zaváděním do praxe Přístup povinných Osvícený ( týká se i nepovinných) Rezistentní Rezignující

7 Proč je kybernetická bezpečnost více otázkou pudu sebezáchovy než jen zákona o kybernetické bezpečnosti Zákon o ochraně osobních údajů Prokazatelné dohledání kdy, kdy a co s osobními údaji prováděl dobrého či zlého

8 Proč je kybernetická bezpečnost více otázkou pudu sebezáchovy než jen zákona o kybernetické bezpečnosti Trestní zákoník Od úmyslných až po nedbalostní trestné činy

9 Proč a jak se v kyberprostoru sami nezahubit, nezahubit Změnit přístup Od technologií k lidem ( i s procesy, kterými se mají řídit) Nestačí informační systémy obehnat ostnatým drátem z firewallů, sond, IDS,IPS,DLP atd. Je nutno se věnovat nejslabšímu článku Je to v lidech už Mittnick to říkal

10 Proč a jak se v kyberprostoru sami nezahubit, nezahubit Změnit přístup Od čínské zdi k řízení rizik Systémy jsou stále složitější Propojenější Zranitelnější

11 Proč a jak se v kyberprostoru sami nezahubit, nezahubit Řízení rizik znamená V každém okamžiku vědět: Co stojí za to chránit (Aktiva) Proti čemu (Hrozby a zranitelnosti) S jakými riziky (plynoucími z hrozeb a zranitelností) Za jakou cenu (Náklady) Co mi ochrana přinese (Přínosy). a sebere (efektivita provozu, nevrlí IT administrátoři, finanční ředitelé apod.)

12 Proč a jak se v kyberprostoru sami nezahubit, nezahubit Rizika je nutno: Vnímat Analyzovat Minimalizovat, vyhnout se jim, přijmout, přenést na jiného atd. Komunikovat Nikdy nepřestat řídit pořád dokola v cyklu PDCA

13 Proč a jak se v kyberprostoru sami nezahubit, nezahubit Řízení rizik neznamená Hledání překážek a zdůvodnění proč je lepší nic nedělat

14 Proč a jak se v kyberprostoru sami nezahubit, nezahubit To vše musíte dělat hezky česky furt (pořád) dokola v cyklu PDCA

15 Proč a jak se v kyberprostoru sami nezahubit, nezahubit protože proč?

16 Proč a jak se v kyberprostoru sami nezahubit, nezahubit Protože máte-li pocit, že je vše v naprostém pořádku, potom jste zcela určitě něco přehlédli. (Murphy)

17 Děkuji za pozornost