Aktuální stav kybernetické bezpečnsti v České republice Adam Kučínský Oddělení regulace Odbr regulace, auditu a pdpry
Kybernetická bezpečnst v ČR 2011 NBÚ ustanven jak gestr KB vznik Nárdníh centra kybernetické bezpečnsti 2012 2015 Nárdní strategie kybernetické bezpečnsti I. Zákn kybernetické bezpečnsti Nárdní strategie kybernetické bezpečnsti II. 2016 2017 Směrnice NIS Nvela zákna kybernetické bezpečnsti Vznik NÚKIB
Nárdní úřad pr kyberneticku a infrmační bezpečnst Vznik 1. 8. 2017 Ústřední správní rgán pr: kyberneticku bezpečnst chranu utajvaných infrmací v blasti infrmačních a kmunikačních systémů Kryptgraficku chranu Služby NÚKIB v blasti kybernetické bezpečnsti prvz Vládníh CERTu České republiky (GvCERT.CZ)* splupráce s statními CERT A CSIRT příprava bezpečnstních standardů světa a pdpra vzdělávání výzkum a vývj chrana utajvaných infrmací v blasti IS/KS kryptgrafická chrana Kntaktní míst GALILEO *Cmputer Emergency Respnse Team
Organizační schéma NÚKIB NCKB OKBP
I. Oddělení strategických infrmací a analýz (OSINA) C děláme: Strategická analýza zaměřená na zasazení technických infrmací d kntextu Prč t děláme: infrmační pdpra decisin-makerů prevence rizik infrmační pdpra v případě krizvých situací zvyšvání pvědmí kybernetických hrzbách frmulace patření Pr kh t děláme: vedení NÚKIB předseda vlády a jedntlivá ministerstva bezpečnstní kmunita (zpravdajské služby, PČR) KII a VIS mezinárdní rganizace (NATO, EU) bilaterální partneři (USA, UK, KOR a další)
Vybrané kybernetické hrzby psledníh rku E-health Pčet kybernetických útků na zdravtnická zařízení narůstá Kybernetické útky prti zdravtním systémům mhu při nízkých nákladech a malém úsilí přinést útčníkům relativně velké zisky Nástup státních aktérů, kteří ještě před něklika lety nebyli pvažváni za dstatečně vyspělé narůstající fenzivní kybernetické schpnsti, včetně schpnstí prvádět kybernetické útky způsbující fyzicku škdu finančně mtivvané útky na bankvní sektr, krádež kryptměn, šíření malwaru pr těžbu kryptměn APT (advanced persistent threat) Začínají se více zaměřvat na slabiny v ddavatelském řetězci, které je dvedu k hlavnímu cíli K trvajícímu zájmu průmyslvá tajemství evrpských firem se přidává rstucí zájem strategické infrmace (utajvané infrmace, interní kmunikace vládních úřadů, vjenské infrmace) Kyberterrismus Hrzba kyberterrismu v sučasné dbě pravděpdbně není vyská. Terristé, včetně Islámskéh státu, zatím nemají dstačené schpnsti k prvedení sfistikvanéh kybernetickéh útku.
II. Oddělení nárdních strategií a plitik
III. Oddělení cvičení (EDEX) Cvičení přádaná pr nárdní partnery: Český statistický úřad: interaktivní šklení přádán v rámci vytvrzvání vlebníh prcesu. Kurz Generálníh štábu: netechnické table-tp cvičení zařazen jak sučást pravidelnéh každrčníh kurzu. Nárdní technické cvičení Cyber Czech: Připravván ve splupráci s Masarykvu univerzitu. Cvičení se aktivně účastní kl 80 sb. Zalžen na mdelu útčící červený tým versus branný mdrý tým. Zaměřen na prcvičení technických schpnstí.
Oddělení cvičení (EDEX) Cvičení přádaná pr zahraniční partnery: Kngres USA: netechnické table-tp cvičení pr asistenty kngresmanů. Africa Endeavr: netechnické table-tp cvičení byl sučástí sympsia, kteréh se účastnili představitelé z více než 30 afrických států. Účast na tvrbě mezinárdních cvičení: Lcked Shields: rganizván centrem excelence v Tallinnu, ČR lets bsadila 3. míst v technické části. Cyber Calitin: technické a prcedurální cvičení NATO. EU HEX 2018 (PACE): prcedurální cvičení krizvéh řízení Evrpské unie.
IV. Oddělení Mezinárdních rganizací a práva zastupení ČR v mezinárdních rganizacích řešících kyber prblematiku primárně NATO, EU, OBSE příprava instrukcí, pdkladů, účast na pracvních jednáních EU implementace směrnice NIS, digitální agenda, Hriznt 2020 a cppp pr kyberneticku bezpečnst, hrizntální splupráce NATO Cyber Defence Cmmittee, právní pdpra cvičení OBSE patření pr budvání důvěry OECD kybernetická bezpečnst jak předpklad eknmickéh rzvje
Činnst Oddělení mezinárdních rganizací a práva
Organizační schéma NÚKIB NCKB - RAP Oddělení regulace Oddělení auditu
Oddělení Regulace Stanvení, které subjekty a ICT dle kritérií ZKB spadají pd regulaci a které nikliv Určvací schůzky se subjekty Vydávání patření becné pvahy, návrhy na usnesení vlády (určení KII), vydávání rzhdnutí (PZS) Správa databáze kntaktů (vlastní NCKB systém) Min. 15 změn v 1 měsíci Příprava legislativy Výklad zákna, knzultace se subjekty
Oddělení Auditu (kntrla ZKB) Kntrla ddržvání ZKB přistupujeme k ní pdbně jak k auditu systému řízení bezpečnsti infrmací pdle ISO 27 001, cž přináší přidanu hdntu i pr regulvané subjekty Metdická pdpra subjektů z phledu zavádění ISMS Przatím neprvádíme kntrlu ddržvání ZKB u jiných, než KII/VIS subjektů.
Nvelizace ZKB a tvrba suvisejících předpisů Nvela ZKB Vyhláška PZS Nvela VKB Vyhláška likvidaci dat Vyhláška bezpečnsti Clud Cmputingu Nvela vyhlášky VIS
Měkká pdpra jsme v 1. linii při kntaktu s regulvanými subjekty výklad ZKB výklad vyhlášek metdická pdpra při implementaci ZKB (implementaci rganizačních a technických patření) knzultační a pradenská činnst v blasti kybernetické bezpečnsti pr regulvané subjekty
Regulace Audit Pdpra
Další činnsti Vzdělávání a světa v blasti ZKB Účast na různých pracvních skupinách Přádání wrkshpů, seminářů apd.
Splupráce s jinými dděleními (1/2) Šklení a výuka (např. výuka na VŠ neb šklení pr Úřad vlády, MMR aj.) splupráce s Oddělením cvičení, vzdělávání a výzkumu např. výuka na VŠ neb šklení pr Úřad vlády, MMR aj. E-learning Mdul B Incident Handling Splupráce s týmem GvCERT.CZ knzultace hledně ZKB Vývj vlastní DB kntaktních údajů
Splupráce s jinými dděleními (2/2) Kntrly ZKB Splupráce s relevantními dděleními krdinvaná Oddbrem regulace, auditu a pdpry Pstupně se snažíme brát své klegy na audity Mezinárdní rganizace a práv Splupráce při tvrbě práv. předpisů Splupráce při reprtvání směrem k EU apd. Kybernetická cvičení Splupráce s CERT a Oddělením cvičení
Splupráce napříč dděleními Usnesení vlády ze dne 8. 2. 2017 č. 104 a z něj vyplývající pskytnutí analýzy a metdické pdpry 18 institucím státní správy Splupráce napříč týmem GvCERT.CZ a dbrem regulace, auditu a pdpry Phtvstní výjezd 3 analytických týmů Šl krdinaci cca 22 zaměstnanců NCKB, ti v rámci práce na prjektu vyknali skvělu práci. Prjekt byl splněn v plánvaném termínu.
Další zajímavé prjekty, které máme za sebu Prcesy a pdpůrné materiály: Určvání Audit Výklad různých prblematických blastí Knzultace a audit na Úřadu vlády Prjekt vzdělávání pr státní správu v blasti KB pd IVS Šklení a tvrba pdkladů na auditrský atestační kurz (ČIIA) Audit 15 subjektů v r. 2016, metdická pdpra 18 ÚSÚ v rce 2017 a 2018 Pdílení se na přípravě legislativy nvela ZKB, PZS vyhlášky Netradiční přístup k VKB vyhlášce
Zkušensti z auditů (kntrl) ZKB
Charakteristika auditu shdy se záknem kybernetické bezpečnsti
Prces auditu zákna kybernetické bezpečnsti Plánvání a příprava Přezkumání dkumentace Audit na místě Správní řízení K náp p
Plánvání a příprava Přezkumání dkumentace Audit na místě Správní řízení Kntrla nápravných patření Následný audit 14 30 dní před auditem Navrhuje Zasílá Pskytuje Přijímá Navrhuje Prjednává Akceptuje Termín knání auditu Přijímá Dpis plánvané kntrle Využívá Průvdce auditem Pskytuje Dkumentace Dplňuje/Akceptuje Prgram auditu Prjednává Organizační záležitsti (Technické zajištění průběhu auditu atp.)
Plánvání a příprava Přezkumání dkumentace Audit na místě Správní řízení Kntrla nápravných patření Následný audit Cca týden před auditem Analyzuje Analyzuje Analyzuje Reviduje Dkumentace Otevřené zdrje R.T. Prgram auditu Pskytuje Pdílí se na úpravě
Plánvání a příprava Přezkumání dkumentace Audit na místě Správní řízení Kntrla nápravných patření Následný audit VIS cca 2-3 dny KII cca 2-8 dní Předává Aktualizuje Prvádí Vytváří/Předává Přijímá Oznámení zahájení kntrly Prgram auditu Pskytuje sučinnst Auditní činnsti Přijímá/ Dplňuje Zpráva kntrle
Přidaná hdnta auditu?
Plánvání a příprava Přezkumání dkumentace Audit na místě Správní řízení Kntrla nápravných patření Následný audit lhůta 15 dní na pdání námitek případné správní řízení (45+ dní) Akceptuje/zamítá Pdává námitky Správní řízení Zahajuje Pdává Účastní se Regulátr
Plánvání a příprava Přezkumání dkumentace Audit na místě Správní řízení Kntrla nápravných patření Následný audit 6 až 12 měsíců Kntrluje plnění Nápravné patření Plní/Prkazuje plnění
Pčet kntrl a kntrlvaných systémů dle kategrie
Analýzy ministerstev Usnesení Vlády ČR ze dne 8. 2. 2017 č. 104 Subjekty: všechna ministerstva, Pslanecká sněmvna, Senát a Kancelář prezidenta republiky CÍL: zjištění aktuální situace v blasti kybernetické bezpečnsti Na t navázal Usnesení Vlády ČR ze dne 21. srpna 2017 č. 607 Prvést bdbné analýzy dtčených subjektů d 31. prsince 2018
Analýzy ministerstev Zaměření analýz: systémy a služby splňující Dstupnst systému z veřejnéh Internetu Vzdálené připjení neb přihlášení uživatelů rganizace Např. e-mail, služby pr vzdálený přístup (VPN, RDP, ) Suvisející síťvá infrastruktura a ICT prcesy
Nejčastější auditní zjištění I.
Nejčastější auditní zjištění II.
Nejčastější auditní zjištění III.
Zdrj: gvcert.cz
Plnění ZKB Kybernetické bezpečnstní incidenty Měsíčně hlášen cca 30 incidentů, dalších cca 50 identifikuje GvCERT sám Pčet KII cca 110 systémů u 39 subjektů z th 50 systémů v sukrmém sektru a 49 ve veřejném Pčet VIS 169 systémů u 62 subjektů Celkem pd ZKB spadá cca 268 systémů Určvání PZS v srpnu 2018 prces určvání spuštěn Audity/Kntrly plnění pvinnstí Od rku 2016 prveden 15 auditů správců KII/VIS a 18 metdických kntrl ÚSÚ Mnh dalších aktivit Kybernetická cvičení, mezinárdní splupráce, EU agendy, vzdělávání Více: Zprava stavu KB ČR za rk 2017 https://nukib.cz/cs/infrmacni-servis/publikace/2612-zprava--stavu-kyberneticke-bezpecnsti-ceske-republiky-2017/
Stav implementace směrnice NIS v ČR NIS Directive 2017 Nárdní strategie kybernetické bezpečnsti Stanvení bezpečnstních pžadavků na IS/KS Zřídit Cyber Incident Respnse Teams (CSIRT) Ustavit nárdní autritu v blasti KB Stanvit jedntné kntaktní místi pr blast KB ZKB 2015 2017 Nvela ZKB 1. 8. 2017 -> Určit PZS Definvat DSP ** ** Částečně zaveden kritická infrmační infrastruktura ** Nezaveden *
Nvé pvinné sby Prvzvatel základní služby (PZS), infrmační systém základní služby (ISZS) Systémy klíčvé pr zajišťvání některých hspdářských a eknmických činnstí Pdbné KII (jsu zde ale rzdíly) Pskytvatel digitální služby (DSP) Zajišťuje služby cludu, internetvéh vyhledávače, e-cmmerce Prvzvatel infrmačníh/kmunikačníh systému KII/VIS/PZS zajišťuje funkčnst technických a prgramvých prstředků tvřících infrmační neb kmunikační systém = klíčvý ddavatel Zařazen d pvinných sb zavádí bezpečnstní patření tam, kde je nemůže zavést správce Důvd úpravy: prblémy se zabezpečením ddavatelů
Pskytvatel digitálních služeb (DSP) - definice 1. pdmínka: Pskytvatel digitální služby pskytuje službu digitální splečnsti (pdle zákna některých službách digitální splečnsti): služba pskytvaná zpravidla za úplatu, na dálku, elektrnicky a na individuální žádst příjemce služeb 2. pdmínka: Pskytvatel digitální služby pskytuje službu: On-line tržiště - umžňuje n-line uzavírat kupní smluvu neb smluvu pskytnutí služeb prstřednictvím internetvé stránky n-line tržiště neb prstřednictvím internetvé stránky prdávajícíh, která využívá službu n-line tržiště Internetvéh vyhledávače Clud cmputingu - umžňuje přístup k rzšiřitelnému a přizpůsbitelnému úlžišti výpčetních zdrjů, jež je mžn sdílet Tyt definice vycházejí přím ze směrnice Regulace se netýká malých a mikr pdniků <50 zaměstnanců a rční bilanční suma neb brat <10 mil. Funguje zde princip samurčení naplnění definice = pvinná sba
Pskytvatel digitálních služeb (DSP) Online tržiště A. On-line tržiště - umžňuje n-line uzavírat kupní smluvu neb smluvu pskytnutí služeb prstřednictvím internetvé stránky n-line tržiště neb prstřednictvím internetvé stránky prdávajícíh, která využívá službu n-line tržiště Definice je slžitá ale je převzatá z NIS
DSP c je tedy tím On-line tržištěm Za n-line tržiště se pvažují platfrmy, které vystupují jak prstředník mezi prdávajícími pdnikateli (prdávající) a sptřebiteli a pdnikateli (zde v pzici kupujících) a umžňuje prdej zbží či služeb. Jedná se službu, která umžňuje sptřebitelům a pdnikatelům (kupujícím) uzavírat s prdávajícími pdnikateli (prdávající) smluvy přím prstřednictvím nline tržiště, a t s knečnu platnstí. Za n-line tržiště se nepvažují webvé stránky, které přesměrvávají uživatele na další webvé stránky, aby až tam uzavřeli smluvu (např. srvnávače cen) služí puze k prpjení prdávajících pdnikatelů (prdávajících) se sptřebiteli a prdávajícími (kupující) (např. inzertní webvé stránky) služí prdávajícímu pdnikateli (prdávající) přím k prdeji zbží sptřebitelům a prdávajícím (kupující)(např. nline malbchd).
DSP - Internetvý vyhledávač a Clud B. Internetvý vyhledávač umžňuje prvádět vyhledávání v zásadě na všech internetvých stránkách, na základě dtazu uživatele na jakékliv téma v pdbě klíčvéh slva, suslví neb jinéh zadání, služba pskytuje dkazy, na nichž lze nalézt infrmace suvisející s pžadvaným bsahem C. Clud cmputing digitální služba umžňující přístup k rzšiřitelnému a přizpůsbitelnému úlžišti výpčetních zdrjů, které je mžn sdílet. Nepatří sem firemní cludy služící pr uzavřenu skupinu Tent pjem tak zahrnuje různé typy clud cmputingu: IaaS (Infrastructure asa Service), PaaS (Platfrm as a Service) neb SaaS (Sftware as a Service). Více k DSP a jejich identifikaci: https://nukib.cz/dwnlad/kii-vis/definice_dsp_v1.pdf
Určvání prvzvatelů základních služeb (PZS) - becně PZS jsu na základě určujících kritérií určváni rzhdnutím (dle SŘ) Určující kritéria definuje vyhláška č. 437/2017 Sb., kritériích pr určení prvzvatele základní služby (účinnst d 1. únra 2018) Na nastavvání kritérií se pdílela pracvní skupina z řad sukrmé i státní sféry (14 pdskupin dle dvětví a pddvětví) Pr určení bude nutné naplnit jak dpadvá tak dvětvvá kritéria Odvětví kpírují NIS (+ chemický průmysl a teplárenství) Dpadvá kritéria respektují pžadavky směrnice a zhledňují nárdní pdmínky Kritéria a definice nastavena tak, aby regulace pkryla puze systémy nezbytné pr zajištění služeb (ne fakturační, marketingvé systémy ani např. bankmaty) Mnh vitálních systémů již určen jak KII nepředpkládáme výrazné mnžství PZS (výjimky - např. zdravtnictví)
Určvání prvzvatelů základních služeb (PZS) - kritéria Aby byl subjekt a jeh infrmační systém určen musí naplnit všechny tři pdmínky 1. Definice ZKB Závislst služby na IS/KS Narušení služby by měl dpad ve vymezených dvětvích 2. Odvětvvá kritéria (3 úrvně) Druh služby Druh subjektu Speciální kritéria druhu subjektu 3. Dpadvá kritéria Dpad kybernetickéh bezpečnstní incidentu v IS/KS, na jehž fungvání je závislé pskytvání služby
1. Prvzvatel základní služby (PZS) definice dle NZKB Základní služba = služba, jejíž pskytvání je závislé na sítích neb infrmačních systémech a jejíž narušení by mhl mít významný dpad na zabezpečení činnstí v některém z těcht dvětví: 1. energetika 5. zdravtnictví 2. dprava 6. vdní hspdářství 3. bankvnictví 7. digitální infrastruktura 4. infrastruktura finančních trhů 8. chemický průmysl Infrmační systém základní služby = systém, na jehž fungvání je závislé pskytvání základní služby prvzvatel základní služby = rgán neb sba, která je dpvědná za pskytvání základní služby a která je určena NÚKIB
2. Prvzvatel základní služby (PZS) dvětvvá kritéria Směrnice NIS uvádí dvětví, ve kterých budu PZS určváni: 1. energetika 5. zdravtnictví 2. dprava 6. vdní hspdářství 3. bankvnictví 7. digitální infrastruktura 4. infrastruktura finančních trhů + nad rámec směrnice přidán 8. chemický průmysl Některá dvětví se dále dělí na pddvětví: Energetika na: elektřina, plyn, rpa, teplárenství Dprava na: letecku, železniční, vdní a silniční Směrnice nastavuje rzsah pvinných subjektů pměrně širce Ve vyhlášce jsu v relevantních dvětvích přidána ještě tzv. speciální kritéria druhu subjektu, Naplní je puze nejvýznamnější rganizace v daném dvětví či pddvětví Ne všechny rganizace v daném dvětví budu psuzvány z hlediska dpadu incidentu v jejich IS/KS
3. Prvzvatel základní služby (PZS) dpadvá kritéria (NIS) Směrnice v čl. 6 stanví klnsti (dpady kybernetickéh bezpečnstníh incidentu), které mají státy při určení zvážit: a) pčet uživatelů, kteří jsu závislí na službě d) pdíl danéh subjektu na trhu b) závislst dalších dvětví na službě pskytvané daným subjektem e) zeměpisný rzsah blasti, která by mhla být incidentem dtčena c) mžný dpad incidentů pkud jde jejich intenzitu a délku trvání, na eknmické a splečenské činnsti neb veřejnu bezpečnst f) důležitst subjektu, pkud jde udržvání dstatečné úrvně dané služby, s přihlédnutím k dstupnsti alternativ Na základě těcht pžadavků byla knstruvána dpadvá kritéria, která musí být incidentem v psuzvaném infrmačním systému neb síti elektrnických kmunikací (kmunikačním systému) naplněna
Zdrj: https://www.gvcert.cz/cs/zkb/pdpurne-materialy/
Prvzvatel základní služby (PZS) prces určení Určení/neurčení prbíhá ve správním řízení a je zaknčen rzhdnutím Prces správníh řízení je následující