Zákn kybernetické bezpečnsti a jeh dpad na prvzvatele telekmunikačních sítí Adam Kučínský Odbr regulace
Disclaimer Prezentace bsahuje infrmace platné ke dni její realizace, tedy k 17. 4. 2019. Infrmace, fakta a údaje bsažené v prezentaci mají infrmační a světvý charakter. Pr zajištění suladu se záknem kybernetické bezpečnsti je nutn vycházet z aktuálně účinné legislativy. Aplikaci takvých infrmací či patření je nutné vždy vztahvat ke knkrétním systémům a institucím.
Nárdní úřad pr kyberneticku a infrmační bezpečnst Ústřední správní rgán pr: kyberneticku bezpečnst chranu utajvaných infrmací v blasti infrmačních a kmunikačních systémů kryptgraficku chranu prblematiku neveřejné služby v rámci družicvéh systému Galile Služby NÚKIB v blasti kybernetické bezpečnsti: prvz Vládníh CERT České republiky splupráce s statními CERT A CSIRT světa a pdpra vzdělávání chrana utajvaných infrmací v blasti IS/KS kryptgrafická chrana
Struktura NÚKIB Oddělení kntrly Interní auditr Ředitel NÚKIB Sekce prvzně právní Sekce bezpečnsti digitalizace, výzkumu a vzdělávání Odbr vzdělávání, výzkumu a prjektů Odbr PRS Odbr bezpečnsti infrmačních a kmunikačních technlgií Sekce technická Odbr infrmačních technlgií Oddělení bezpečnsti Odbr kybernetických bezpečnstních plitik Sekce NCKB Odbr vládní CERT Odbr regulace
Odbr kybernetických bezpečnstních plitik Připravuje dluhdbu strategii a pskytuje analýzu, a ptřebnu expertízu, aby ČR plnila všechny stanvené cíle v blasti zajišťvání kybernetické bezpečnsti, a t c nejefektivnějším způsbem Kybernetická cvičení (technická i netechnická - Table Tp) Příprava strategických analýz Zastupvání ČR v EU, NATO, OBSE Tvrba (netechnických) analytických materiálů a strategických briefingů k hrzbám a trendům v blasti KB 5
Vládní CERT Primární zaměření: veřejný sektr, kritická infrmační infrastruktura, prvzvatelé základních služeb Krdinační tým (nejedná se interní typ) Struktura týmu: Zpracvání incidentů Vývj a bezpečnstní testvání Síťvá bezpečnst Analytická skupina Základní služby: Reaktivní: zpracvání a řešení incidentů, zpracvání artefaktů a analýza dat Detekční: detekce anmálií, zpracvání indikátrů kmprmitace Praktivní: krdinace v rámci české bezpečnstní kmunity a sdílení infrmací, penetrační testvání, kybernetická cvičení a další
Vládní CERT Hlášené incidenty - přibližně 30 měsíčně Stabilní trend Sběr infrmací 25% Klasifikace incidentů Dstupnst 27% Ostatní 6% Administrati vní 3% Škdlivý bsah 16% Pkus průnik 9% Pdvd 10% Průnik 2% Narušení infrmační bezpečnsti 2%
Oddělení kntrly Kntrla pvinnstí pvinných subjektů dle ZKB Metdická pmc Kntrla ddržvání ZKB přistupujeme k ní pdbně jak k auditu systému řízení bezpečnsti infrmací pdle ISO 27 001, cž přináší přidanu hdntu i pr regulvané subjekty v rce 2016 byl 80 % kntrlvaných v nesuladu, d té dby jsu patrná významná zlepšení Przatím neprvádíme kntrlu ddržvání ZKB u jiných, než KII/VIS subjektů. 8
Odbr regulace Určvání pvinných sb KII,PZS, pdpra identifikace pskytvatelů digitálních služeb a VIS Výklad zákna kybernetické bezpečnsti a suvisejících právních předpisů Zdpvídání dtazů k prblematice aplikace ZKB Splupráce s OK v zdpvídání dtazů na pžadavky ZKB a VKB Pskytvání metdické pdpry Tvrba pdpůrných materiálů dstupných na webu 9
Vyhláška č. 82/2018 Sb., kybernetické bezpečnsti
Zákn kybernetické bezpečnsti Upravuje práva a pvinnsti sb a půsbnst a pravmci rgánů veřejné mci v blasti kybernetické bezpečnsti Obsahuje základní nezbytné definice Transpnuje směrnici NIS Cílem je stanvit: základní úrveň bezpečnstních patření, zlepšit detekci a zavést hlášení kybernetických bezpečnstních incidentů, zavést systém patření k reakci na kybernetické bezpečnstní incidenty upravit činnst dhledvých pracvišť Zavádí stav kybernetickéh nebezpečí Zřizuje Nárdní úřad pr kyberneticku a infrmační bezpečnst (NÚKIB)
Dhledvá pracviště v ČR pdle ZKB Vládní CERT a Nárdní CERT Hlavní úkl: vyhdncvání kybernetické bezpečnstní situace v infrmačních a kmunikačních systémech chrana těcht systémů před kybernetickými bezpečnstními incidenty Základním smyslem fungvání dhledvých pracvišť je vyhdncvání infrmací výskytu kybernetických bezpečnstních incidentů z pkud mžn c největšíh mnžství infrmačních a kmunikačních systémů Rzdělení gesce v kyberprstru Sukrmprávní X Veřejnprávní pdstata Splupráce Vedle těcht existují i další CERT
Nárdní CERT Osba sukrméh práva Bez nařizvacích neb sankčních pravmcí Kntaktní míst pr některé pvinné sby ZKB zejména pr sby sukrméh práva (ne nutně - viz dále) K vyhdncvání a metdické pdpře subjektů, které aktivně prjeví zájem výhdy klektivní chrany před kybernetickými bezpečnstními incidenty K výknu své činnsti právněn na základě veřejnprávní smluvy uzavírané s Úřadem Ø vybrán Úřadem v řízení výběru žádsti pdle správníh řádu V sučasné dbě jej prvzuje sdružení CZ.NIC
Struktura pvinných pdle ZKB 3 ZKB a) pskytvatelé služeb elektrnických kmunikací, subjekt zajišťující sít elektrnických kmunikací b) rgán neb sba zajišťující významnu síť h) Pskytvatel digitálních služeb NÁRODNÍ CERT CZ.NIC c) správce a prvzvatel IS KII d) správce a prvzvatel KS KII e) správce a prvzvatel VIS f) správce a prvzvatel IS základní služby g) prvzvatel základní služby VLÁDNÍ CERT NÚKIB Pzn.: Písmena dpvídají písmenům v ZKB
Pskytvatelé služeb el. kmunikací, subjekty zajišťující síť el. kmunikací - 3 písm. a) ZKB Zákn č. 127/2005 Sb., elektrnických kmunikacích 2 písm. f) ZEK zajišťváním sítě elektrnických kmunikací zřízení tét sítě, její prvzvání, dhled nad ní neb její zpřístupnění 2 písm. n) ZEK službu elektrnických kmunikací služba bvykle pskytvaná za úplatu, která spčívá zcela neb převážně v přensu signálů p sítích elektrnických kmunikací --> ISP Určvání neprbíhá sby definvány zák. el. kmunikacích Sféra Nárdníh CERTu Puze pvinnst hlásit kntaktní údaje
Orgán neb sba zajišťující významnu síť 3 písm. b) ZKB Významná síť ( 2 písm. g ZKB) síť elektrnických kmunikací zajišťující přímé zahraniční prpjení d veřejných kmunikačních sítí neb zajišťující přímé připjení ke kritické infrmační infrastruktuře Určvání neprbíhá pvinný subjekt určen přím definicí v ZKB Sféra Nárdníh CERTu Pvinnst hlásit kntaktní údaje Pvinnst detekvat kybernetické bezpečnstí událsti Pvinnst hlásit incidenty Změny v suvislsti s nvelami ZKB neprbíhaly
Prvzvatel základní služby Základní službu je: služba, jejíž pskytvání je závislé na infrmačních systémech neb sítích elektrnických kmunikací a jejíž narušení by mhl mít významný dpad na zabezpečení splečenských neb eknmických činnstí v některém z dvětví: energetiky, dpravy, bankvnictví, infrastruktury finančních trhů, zdravtnictví, vdníh hspdářství, digitální infrastruktury neb chemickéh průmyslu. Pstup určení NÚKIB vytipuje s pmcí kritérií ve vyhlášce č. 437/2017 Sb., kritériích pr určení prvzvatele základní služby relevantní subjekty, které slví a zahájí správní řízení jejich určení. Prběhnu jednání mezi NÚKIB a určvaným subjektem. Určvání je správním řízením
Přílha vyhlášky č. 437/2017 Sb. 5. Zdravtnictví
Kritická infrmační infrastruktura (KII) KII = Prvek neb systém prvků kritické infrastruktury (KI) v dvětví kmunikační a infrmační systémy v blasti kybernetické bezpečnsti ( 2 písm. b) ZKB) Kmplex infrmačních a kmunikačních systémů, jejichž narušení by mhl způsbit závažný dpad na bezpečnst státu, zabezpečení základních živtních ptřeb byvatelstva, zdraví sb neb eknmiku státu ( 2 písm. g, krizvéh zákna) Určena pdle stanvených průřezvých a dvětvvých kritérií v blasti kybernetické bezpečnsti ( 2 písm. i), krizvéh zákna, NV 432/2010 Sb.,) Stejně jak KI se týká veřejnprávních i sukrmprávních subjektů
Kritická infrmační infrastruktura (KII) Systémy důležité prchd státu a eknmiky Sféra VládníhCERTu Určuje/navrhuje NÚKIB Nejpřísnější regulace pvinnst plnit celý ZKB: Hlásí kntaktní údaje Detekuje a hlásí incidenty Pvinnst zavést bezpečnstí patření pdle vyhlášky č. 82/2018 Sb. Prvádí chranná a reaktivní patření vydaná NÚKIB
Pskytvatel digitální služby (DSP) Pskytvatel digitální služby ( 3 písm. h) ZKB). digitální službu služba infrmační splečnsti pdle zákna upravujícíh některé služby infrmační splečnsti, která spčívá v prvzvání 1. n-line tržiště, 2. internetvéh vyhledávače, 3. clud cmputingu. Určení: rgán neb sba psudí naplnění kritérií a nahlásí se jak pvinná sba Nárdnímu CERT Regulace se netýká malých a mikr pdniků Ø <50 zaměstnanců a rční bilanční suma neb brat <10 mil. Funguje zde princip samurčení naplnění definice = pvinná sba Prváděcí nařízení Kmise č. 2018/151 stanvuje pvinnsti subjektů Maximální harmnizace
Významný infrmační systém Významným infrmačním systémem se rzumí infrmační systém spravvaný rgánem veřejné mci, který není kriticku infrmační infrastrukturu ani infrmačním systémem základní služby a u kteréh narušení bezpečnsti infrmací může mezit neb výrazně hrzit výkn půsbnstirgánu veřejné mci. Puze státní sektr Pstup určení: rgán neb sba psudí naplnění kritérií dle vyhlášky č. 317/2014 Sb. a nahlásí se jakpvinná sba NÚKIB neb infrmační systém je zahrnut d přílhy vyhlášky č. 317/2014 Sb.
Správce a prvzvatel Správcem infrmačníh systému základní služby ( 3 písm. f)) je ten, kd určuje účel zpracvání infrmací a pdmínky jeh prvzvání. tj. ten, kd systém vlastní vždy jen jeden subjekt Prvzvatelem infrmačníh systému základní služby ( 3 písm. f)) je ten, kd zajišťuje funkčnst technických (hardware) a prgramvých (sftware) prstředků jej tvřících. tj. důležití neb hlavní ddavatelé jeden neb více subjektů Puze u KII, VIS, PZS
Přehled pvinnstí pdle ZKB Nahlášení kntaktních údajů ( 16 ZKB) Všechny pvinné sby KII, VIS, PZS vládní CERT, Sítě elektrnických kmunikací a významné sítě, DSP Nárdní CERT Hlášení kybernetických bezpečnstních incidentů ( 8 ZKB) KII, VIS, významné sítě, PZS významné sítě, DSP Nárdní CERT Zavedení bezpečnstních patření (standardizace) ( 4 ZKB) KII, VIS, PZS, DSP puze některá patření Opatření vydané NÚKIB ( 11 ZKB) Varvání, reaktivní patření, chranné patření KII, VIS, PZS Významné sítě a pskytvatelé služby el. kmunikací puze za stavu kybernetickéh nebezpečí, puze reaktivní patření
Varvání pdle 12 ZKB - pužití a dpady
Institut Varvání 12 ZKB Varvání (1) Úřad vydá varvání, dzví-li se zejména z vlastní činnsti neb z pdnětu prvzvatele nárdníh CERT aneb d rgánů, které vyknávají půsbnst v blasti kybernetické bezpečnsti v zahraničí, hrzbě v blasti kybernetické bezpečnsti. (2) Varvání Úřad zveřejní na svých internetvých stránkách a známí je rgánům a sbám uvedeným v 3, jejichž kntaktní údaje jsu vedeny v evidenci pdle 16 dst. 4.
C varvání znamená Prstřednictvím varvání NÚKIB upzrňuje na existenci hrzby v blasti kybernetické bezpečnsti, na kteru je nutné bezprstředně reagvat. Subjekty, které spadají pd zákn ZKB, jsu pvinny se tut hrzbu dále zabývat a zhlednit ji v analýze rizik, kteru v suladu s pžadavky ZKB a příslušné vyhlášky již pravidelně prvádí. Varvání neznamená bezpdmínečný zákaz pužívání daných technických a prgramvých prstředků, ale nutnst zvážit případné bezpečnstní rizik suvisející s jejich užíváním. Dvlí-li t výsledky analýzy rizik, uvedené technické neb prgramvé prstředky je mžné i nadále pužívat. Orgánům a sbám, kterým ZKB neukládá pvinnst zavést a prvádět bezpečnstní patření, stejně tak jak širké veřejnsti, nezakládá varvání NÚKIB pvinnsti. Tyt subjekty tedy nejsu pdle ZKB pvinny varvání NÚKIB zhlednit. Další krky s tím spjené jsu puze na nich.
Implementace varvání KII, VIS a PZS jsu pvinni pdle 5 VKB pr určené IS a KS prvádět pravidelnu analýzu rizik, identifikvatrizika a identifikvaná rizika řídit. Na základě vyhdncení rizik ptm výše uvedené subjekty zavádějí a prvádějí bezpečnstní patření v rzsahu nezbytném pr zajištění kybernetické bezpečnsti v suladu s 4 dst. 2 ZKB. Bezpečnstní patření jsu blíže specifikvána ve VKB. V suvislsti s řízením rizik musejí pdle 5 dst. 1 písm. h) bd 3 VKB tyt subjekty zhlednit mim jiné i patření pdle 11 ZKB, tedy i varvání vydané pdle 12 ZKB. Na základě vydanéh varvání tedy musejí výše zmíněné pvinné sby v rámci zavedenéh řízení rizik prvést analýzu rizik, ve které zhlední hrzbu, a následně na rizik reagvat přijetím bezpečnstních patření, která musí být v suladu s nastavenými metrikami pr akceptvatelnst rizika a hdntu danéh rizika.
Děkuji Vám za pzrnst regulace@nukib.cz