Zákon o kybernetické bezpečnosti v praxi a v obklíčení dalšími zákony Ing. Aleš Špidla Prezident Českého institutu manažerů informační bezpečnosti ales.spidla@cimib.cz Manažer v oddělení řízení rizik PwC ales.spidla@cz.pwc.com
Agenda: Zákon o kybernetické bezpečnosti - vlastní zkušenosti se zaváděním do praxe Proč je kybernetická bezpečnost více otázkou pudu sebezáchovy než jen zákona o kybernetické bezpečnosti Proč a jak se v kyberprostoru sami nezahubit, nezahubit
Zákon o kybernetické bezpečnosti - vlastní zkušenosti se zaváděním do praxe Kdo jsou osoby povinné Kritická informační infrastruktura (KII) + Kritická komunikační infrastruktura (KKI) Ze soukromé sféry a státní správy např.: ČNB, ČSOB, Česká spořitelna, Komerční banka, ČEPS, ČEPRO, ŘLP, T- Mobile, O2, Vodafone, Ministerstvo dopravy, Ministerstvo práce a sociálních věcí, Ministerstvo vnitra Významné informační systémy (VIS) - pouze orgány veřejné moci (OVM) cca 90 informačních systémů
Zákon o kybernetické bezpečnosti - vlastní zkušenosti se zaváděním do praxe Kritická infrastruktura - kybernetické bitevní pole Tiché nebezpečí Podceňování bezpečnosti systémů pro řízení a monitorování technologických procesů (ICS/SCADA) Iluze vzduchové mezery Katastrofální následky Vysoká rizika hmotných škod Lidských obětí Reputační rizika atd. Již zdokumentované příklady útoků Ocelárna v Německu Stuxnet Útok z rozumu na Ettlingen
Zákon o kybernetické bezpečnosti - vlastní zkušenosti se zaváděním do praxe Co je nutno pod zákon o kybernetické bezpečnosti doplnit Zdravotnictví Kritickou výrobu.. průběžně provádět analýzu rizik a doplňovat nepokryté oblasti
Zákon o kybernetické bezpečnosti - vlastní zkušenosti se zaváděním do praxe Přístup povinných Osvícený ( týká se i nepovinných) Rezistentní Rezignující
Proč je kybernetická bezpečnost více otázkou pudu sebezáchovy než jen zákona o kybernetické bezpečnosti Zákon o ochraně osobních údajů Prokazatelné dohledání kdy, kdy a co s osobními údaji prováděl dobrého či zlého
Proč je kybernetická bezpečnost více otázkou pudu sebezáchovy než jen zákona o kybernetické bezpečnosti Trestní zákoník Od úmyslných až po nedbalostní trestné činy
Proč a jak se v kyberprostoru sami nezahubit, nezahubit Změnit přístup Od technologií k lidem ( i s procesy, kterými se mají řídit) Nestačí informační systémy obehnat ostnatým drátem z firewallů, sond, IDS,IPS,DLP atd. Je nutno se věnovat nejslabšímu článku Je to v lidech už Mittnick to říkal
Proč a jak se v kyberprostoru sami nezahubit, nezahubit Změnit přístup Od čínské zdi k řízení rizik Systémy jsou stále složitější Propojenější Zranitelnější
Proč a jak se v kyberprostoru sami nezahubit, nezahubit Řízení rizik znamená V každém okamžiku vědět: Co stojí za to chránit (Aktiva) Proti čemu (Hrozby a zranitelnosti) S jakými riziky (plynoucími z hrozeb a zranitelností) Za jakou cenu (Náklady) Co mi ochrana přinese (Přínosy). a sebere (efektivita provozu, nevrlí IT administrátoři, finanční ředitelé apod.)
Proč a jak se v kyberprostoru sami nezahubit, nezahubit Rizika je nutno: Vnímat Analyzovat Minimalizovat, vyhnout se jim, přijmout, přenést na jiného atd. Komunikovat Nikdy nepřestat řídit pořád dokola v cyklu PDCA
Proč a jak se v kyberprostoru sami nezahubit, nezahubit Řízení rizik neznamená Hledání překážek a zdůvodnění proč je lepší nic nedělat
Proč a jak se v kyberprostoru sami nezahubit, nezahubit To vše musíte dělat hezky česky furt (pořád) dokola v cyklu PDCA
Proč a jak se v kyberprostoru sami nezahubit, nezahubit protože proč?
Proč a jak se v kyberprostoru sami nezahubit, nezahubit Protože máte-li pocit, že je vše v naprostém pořádku, potom jste zcela určitě něco přehlédli. (Murphy)
Děkuji za pozornost Ales.spidla@cimib.cz ales.spidla@cz.pwc.com