Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Transkript

1 Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Jaroslav Šmíd Tel.: J.Smid@nbu.cz

2 Internet hybná síla globální ekonomiky

3 Internet hybná síla globální ekonomiky

4 Internet hybná síla globální ekonomiky

5 Bezpečnost kybernetického prostoru

6 Hrozí nám kybernetický kolaps?

7 Nutnost stanovení pravidel chování v kyberprostoru

8 Kybernetická válka již začala?

9 Kybernetická válka již začala?

10 Kybernetická válka již začala?

11 Od mediálně atraktivních útoků k nákladným sofistikovaným operacím

12 Od mediálně atraktivních útoků k nákladným sofistikovaným operacím

13 Dočkáme se pravidel chování v kyberprostoru?

14 Strategie kybernetické bezpečnosti

15 Budování kybernetické bezpečnosti v ČR Usnesení vlády ze dne 19. října 201 č

16 Co je/bude Národní centrum kybernetické bezpečnosti - NCKB Organizační složka NBÚ Součást systému státu chránícího kybernetický prostor Má 2 části: Vládní CERT Oddělení teoretické podpory, vzdělávání a výzkumu Úlohou centra je koordinace spolupráce na národní i mezinárodní úrovni při předcházení kybernetickým útokům i při návrhu a přijímání opatření při řešení incidentů i proti probíhajícím útokům

17 Hlavní činnosti NCKB Plnit roli vrcholového pracoviště KB na úrovni státu Provozovat Vládní CERT České republiky Spolupráce s ostatními národními pracovišti CERT / CSIRT Spolupráce s mezinárodními pracovišti CERT / CSIRT Zastupování ČR v mezinárodních organizacích Příprava bezpečnostních standardů pro jednotlivé kategorie organizací v ČR Osvěta a podpora vzdělávání v oblasti kybernetické bezpečnosti Výzkum a vývoj v oblasti kybernetické bezpečnosti

18 Co je/bude Vládní CERT Specializovaný technický team Klíčová role při ochraně informačních systémů veřejné správy a Kritické informační infrastruktury Reakce na bezpečnostní incidenty Koordinace činností při řešení incidentů Účelně působit při předcházení incidentům Prvotní zdroj bezpečnostních informací Zvyšování vzdělanosti v oblasti bezpečnosti na internetu

19 Kompetence Vládního CERTu Správci IS veřejné správy Správci systémů kritické informační infrastruktury Jejich základní povinnosti: oznámit NBÚ kontaktní údaje pro okamžité předávání informací o kybernetických bezpečnostních událostech; chránit své informační systémy bezpečnostními opatřeními, jejichž náležitosti stanoví NBÚ vyhláškou; hlásit výskyt bezpečnostních incidentů NBÚ a provádět protiopatření, která jim NBÚ stanoví

20 Integrace kybernetické bezpečnosti státu Kybernetická dimenze musí být standardní součástí posouzení rizik Ochrana kyberprostoru musí integrovat a koordinovat již existující schopnosti: Provozovatel vládního CERTu Policie Zpravodajské služby Obrana Komerční sektor Akademická sféra

21 Průzkum kybernetické bezpečnosti ve veřejné správě v roce etapy průzkumu dotazníkovou metodou Rozdělení systémů na Kritické a Významné Oslovili jsme 44 subjektů (ministerstva, ústřední orgány, samospráva) Evidujeme 173 významných a 38 kritických systémů Výsledky obsahem zprávy pro vládu

22 Průzkum kybernetické bezpečnosti ve veřejné správě v roce shrnutí + 98% subjektů má zaveden systém evidence a zvládání bezpečnostních incidentů + 74% subjektů má již nyní zcela, nebo částečně zavedeno ISMS (systém řízení bezpečnosti informací) + 99% subjektů má vytvořenou a schválenou bezpečnostní politiku + 80% subjektů již nyní využívá ISO řady

23 Průzkum kybernetické bezpečnosti ve veřejné správě v roce shrnutí - 26% subjektů spravujících DICT státu nemá relevantní informace o rizicích spojených s jejich provozem a správou - 35% subjektů spravujících DICT státu neprovedlo nikdy žádný bezpečnostní audit - 35% subjektů investuje do bezpečnosti ICT méně než 3% svého IT rozpočtu

24 Věcný záměr zákona o kybernetické bezpečnosti Usnesení vlády ze dne 30. května 2012 č. 382 k návrhu věcného záměru zákona o kybernetické bezpečnosti. ukládá řediteli Národního bezpečnostního úřadu zpracovat na základě věcného záměru zákona uvedeného v bodě I tohoto usnesení a předložit vládě do 31. července 2013 návrh zákona o kybernetické bezpečnosti

25 Hlavní zásady a pilíře návrhu zákona minimalizace zásahů do práv soukromoprávních subjektů individuální odpovědnost za bezpečnost vlastní sítě bezpečnostní opatření (standardizace) hlášení kybernetických bezpečnostních incidentů protiopatření 25

26 Zákon o kybernetické bezpečnosti (ZKB) Předmět úpravy 1 Předmětem je úprava práv a povinností orgánů veřejné moci, fyzických a právnických osob, stanovení působnost orgánů státní správy a jejich vzájemná spolupráce v oblasti kybernetické bezpečnosti. Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi. Výjimka zohledňující specifika činnosti zpravodajských služeb České republiky v

27 Pojmy ZKB Kybernetický prostor 2 písm. a) Kybernetickým prostorem se rozumí digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy a službami a sítěmi elektronických komunikací

28 Pojmy ZKB Kybernetická bezpečnost 2 písm. b) Kybernetickou bezpečností se rozumí souhrn právních, organizačních, technických a vzdělávacích prostředků směřujících k zajištění nerušeného a bezvadného fungování kybernetického prostoru

29 Pojmy ZKB Kritická informační infrastruktura 2 písm. c) Kritickou informační infrastrukturou se rozumí kritická infrastruktura v odvětví komunikační a informační systémy určená Národním bezpečnostním úřadem

30 Povinné osoby ZKB 3 písm. a) a b) Povinnými osobami v oblasti kybernetické bezpečnosti jsou a) poskytovatelé služeb elektronických komunikací a subjekty zajišťující sítě elektronických komunikací, b) poskytovatelé služeb elektronických komunikací a subjekty zajišťující sítě elektronických komunikací spravující páteřní sítě, pokud nespadají pod písmeno c),

31 Povinné osoby ZKB Kritická informační infrastruktura 3 písm. c) a d) Významný IS 3 písm. e) Povinnými osobami v oblasti kybernetické bezpečnosti jsou c) správci komunikačních systémů zařazených do kritické informační infrastruktury, d) správci informačních systémů zařazených do kritické informační infrastruktury a e) správci významných informačních systémů. Správcem se rozumí u informačních systémů ten subjekt, který určuje účel zpracování informací a podmínky jeho provozování, komunikačních systémů ten subjekt, který určuje účel KS a podmínky jeho provozování

32 Systém k zajištění kybernetické bezpečnosti 4 Systém zajištění kybernetické bezpečnosti tvoří: bezpečnostní opatření, hlášení kybernetických bezpečnostních incidentů, protiopatření, oznamování kontaktních údajů a činnost dohledových pracovišť

33 Systém k zajištění kybernetické bezpečnosti Kybernetická bezpečnostní událost a kybernetický bezpečnostní incident 8 až 12 Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací. Kybernetickým bezpečnostním incidentem je událost, která představuje narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací. Stanovena povinnost detekce a hlášení kybernetických bezpečnostních incidentů

34 Systém k zajištění kybernetické bezpečnosti Dohledová pracoviště 19 až 23 Národní CERT - soukromoprávní subjekt právnická osoba. Vládní CERT - provozuje Úřad

35 Stav kybernetického nebezpečí 25 Stav mimořádný, speciální oproti mimořádným stavům vyhlašovaným podle ústavního zákona č. 110/1998 Sb. o bezpečnosti České republiky nebo podle krizového zákona č. 240/2000 Sb. Možno vyhlásit pokud je ve velkém rozsahu ohrožena bezpečnost informací v IS, bezpečnost služeb nebo sítí elektronických komunikací a tím dojde k ohrožení nebo porušení zájmu České republiky. Stav KN vyhlašuje předseda vlády na návrh ředitele NBÚ. Musí jej schválit vláda do 24 hod jinak jej zruší. Vyhlašován na dobu nejdéle 7 dnů prodloužení jen se souhlasem vlády

36 Účinnost 37 Předpokládaná účinnost je dnem 1. ledna

37 Metody ochrany před kybernetickými hrozbami a útoky individuální odpovědnost individuální ochrana outsourcing specializovanými společnostmi CERT/CSIRT

38 Computer Emergency Response Team CERT

39 Národní centrum kybernetické bezpečnosti - začlenění ve státní správě

40 Vládní CERT - technické a programové zabezpečení Spolehlivé dostatečně kapacitní napojení na Internet Linky pro příjem informací o incidentech Síť senzorů Incident handling systém Vývojové a testovací prostředí

41 Děkuji za pozornost a případné dotazy rád zodpovím v diskusi. Jaroslav Šmíd Tel.: J.Smid@nbu.cz