Zákon o kybernetické bezpečnosti na startovní čáře Pavel Hejl
81% velkých společností zažilo v roce 2013 bezpečnostní incident 2,2 4 mil. Kč Cena nejzávažnějšího bezpečnostního incidentu v malé společnosti dvojnásobek ceny v roce 2012 58% velkých společností mělo bezpečnostní incident zaviněný zaměstnancem 31% Procento nejzávažnějších bezpečnostních incidentů způsobených lidskou chybou 10% Průměrná velikost IT rozpočtu věnovaná ve velkých firmách na zabezpečení (15% pro menší podniky) 21 40 mil. Kč Cena nejzávažnějšího bezpečnostního incidentu ve velké společnosti 73% velkých společností se stalo obětí viru nebo škodlivého softwaru 1/5 Počet nejzávažnějších bezpečnostních incidentů způsobených úmyslným zneužitím zaměstnanci 16 Průměrný počet incidentů, které velké společnosti v roce 2013 řešily
Page 3 Zdroj: IBM X-Force Research & Development
Zákon o kybernetické bezpečnosti Cíl: zajištění vysoké úrovně síťové a informační bezpečnosti a řešení zásadních bezpečnostních incidentů
Zákon o kybernetické bezpečnosti Proč zrovna zákon? Varianty ochrany: Nulová IS nakládající s utajovanými informacemi Veřejné IS Kybernetický prostor + soukromá spolupráce SOUČASNÝ STAV Kybernetický prostor + regulátor Page 5
Zákon o kybernetické bezpečnosti Proč nový zákon? Objekt regulace Systematika a prostředky Kritická informační infrastruktura ZKB 1) Zavazuje odlišný okruh subjektů 2) Stav kybernetického nebezpečí 3) Specifické pojmy 4) Kompetence orgánů Krizový zákon 1) Obecně závazný 2) Krizový stav Page 6
Zákon o kybernetické bezpečnosti Vztah zákona a jiných právních předpisů Směrnice o EKI Návrh směrnice o kybernetické bezpečnosti Transponována ZEK ZISVS Krizový zákon Uplatní se paralelně Zákon o kybernetické bezpečnosti Pojmy Kritéria prvků KI Novela Subjekty, povinnosti ZOUI Nařízení o určení prvku kritické infrastruktury (KI) Prováděcí vyhlášky Page 7
Zákon o kybernetické bezpečnosti Timeline Page 8
Zákonná úprava Jakým způsobem má být kyberprostor zabezpečen?
Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Page 10
Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Zákon subjekty rozděluje do pěti kategorií 1. Poskytovatel služeb el. kom. / sítí el. kom. 2. Orgán/osoba zajišťující významnou síť 3. Správce informačního systému KII 4. Správce komunikačního systému KII 5. Správci významných IS Každé kategorii ukládá zákon různé povinnosti Méně exponované subjekty Více exponované subjekty Intenzita povinností se odvíjí od podílu dané kategorie na jejím významu pro kybernetickou bezpečnost Page 11
Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Národní CERT? Vládní CERT Page 12
Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření. Page 13
Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření. Bezpečnostní opatření Organizační např. plánování, procesy, kontrola Technická např. kryptografie, oprávnění, fyzická bezpečnost Pouze pro správce významných IS a výše (3-5) 1 rok na adaptaci Specifikuje vyhláška NBÚ Page 14
Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření Evidence kybernetických bezpečnostních událostí Hlášení kybernetických bezpečnostních incidentů vyhodnocení hrozeb opatření Od osob zajišťujících významnou síť výše 1 rok na započetí s hlášením Opět specifikuje vyhláška NBÚ Page 15
Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření Reakce na vyřešený bezpečnostní incident či získané zkušenosti Forma Opatření obecné povahy Okamžitá reakce na výskyt bezpečnostního incidentu Forma Rozhodnutí Opatření obecné povahy Page 16
Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření Zaveden nový mimořádný stav stav kybernetického nebezpečí Page 17
Zákonná úprava Základní principy Ohrožení bezpečnosti nebo integrity informací, Zákon ukládá služeb nebo povinnosti sítí velkého osobám, rozsahu a které riziko ohrožení mají významný podíl na zájmů informační ČR infrastruktuře na území státu a stát s Nerozšiřuje kompetence orgánů, rozšiřuje pouze těmito osobami skrze zřízené instituce spolupracuje okruh subjektů povinných provádět opatření Kyberprostor Informace ČR na je úřední pak chráněn desce a v médiích pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření Zaveden nový mimořádný stav stav kybernetického nebezpečí Page 18
Zákonná úprava Základní principy Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření Zaveden nový mimořádný stav stav kybernetického nebezpečí Dodržování výše uvedeného je NBÚ oprávněn kontrolovat a při porušení ukládat sankce Page 19
Zákonná úprava Základní principy Kontrola plnění zákonných povinností u méně exponovaných subjektů pouze plnění povinností za stavu Zákon ukládá povinnosti osobám, kybernetického které mají nebezpečí významný podíl na informační infrastruktuře u více na exponovaných území státu, subjektů a stát v s těmito osobami skrze zřízené instituce plném rozsahu spolupracuje vč. aktualizace Přiměřené kontaktních údajů Kyberprostor rozsahu ČR je pak chráněn pomocí bezpečnostních zmocnění ke Nemusí být předem ohlašovány opatření, hlášení a preventivních a reaktivních opatření. kontrole Uložení povinnosti odstranit nedostatky i zákazu systém používat Zaveden nový Pokuta mimořádný do výše stav stav kybernetického nebezpečí 100.000 Kč Dodržování výše uvedeného je NBÚ oprávněn kontrolovat a při porušení ukládat sankce Page 20
Ke startovní čáře
Ke startovní čáře Co nás čeká a nemine Vyhodnocení prováděcích předpisů Od 1.1.2015 Všechny povinné subjekty: Předání příslušnému CERT kontaktních údajů 1 měsíc Subjekty 2-5: Monitoring kybernetických bezpečnostních incidentů 1 rok od určení Více exponované subjekty (3-5): Implementace bezpečnostních opatření 1 rok od určení Sledování vývoje Page 22
Ke startovní čáře Co nás čeká a nemine Běh na dlouhou trať Zákon jako první metodický stupeň integrované ochrany Vzdělání, přístup společností i společnosti A co připravovaná směrnice? Page 23
Nárůst poptávky po profesionálech z oboru zabezpečení počítačových systémů Stále zůstává lidský prvek Náklady a administrativní zátěž pro povinné subjekty Vliv na atraktivitu ČR pro ICT investory Riziko vysokých škod pro providery B2B služeb Příležitost pro dodavatele certifikovaných IS a bezpečných řešení obecně Zvýšení důvěryhodnosti českého online prostředí Naplnění účelu zákona ve státní sféře závisí na dalších faktorech
Ukázkové scénáře
Scénář č. 1 Napadení internetového providera Síť ISP poskytujícího služby v různých částech Prahy se stane na několik hodin nepřístupnou následkem DDOS útoku. Poskytovatel služeb elektronických komunikací dle 3/a ZKB Incident nenahlásí národnímu CERT V pořádku, není povinen Incident nahlásí národnímu CERT Na bázi dobrovolnosti Národní CERT není ke zpracování informace povinen, ale pravděpodobně incident vyhodnotí a v případě zájmu ISP mu poskytne pomoc Page 26
Scénář č. 2 Phishing Na řadu emailových adres v české doméně přijde email s podvrženým odkazem do online bankovnictví k získání čísla kreditní karty uživatele. Dva možné výklady: Není kybernetickou bezpečnostní událostí Opět přichází v úvahu dobrovolná spolupráce Zveřejnění informace v aktualitách CERT Je kybernetickou bezpečnostní událostí Povinnost evidence Může přerůst v incident Hlášení Vyhodnocení Reakce dle okolností Page 27
Scénář č. 2 Phishing Na řadu emailových adres v české doméně přijde z jedné konkrétní české IP adresy email s podvrženým odkazem do online bankovnictví k získání čísla kreditní karty uživatele. Pokud by se nejednalo o kybernetickou bezpečnostní událost či incident, stále jsou povinny řešit to orgány činné v trestním řízení Pokud se jedná o kybernetickou bezpečnostní událost či incident Reakce rozhodnutí NBÚ o odpojení IP adresy za běžného stavu nelze zacílit na méně exponované subjekty (privátní poskytovatele sítí) Nezbytnost a přiměřenost zásahu Rychlost řešení Page 28
Scénář č. 3 Heartbleed bug Dojde k exploitu bezpečnostní chyby, která je významem obdobná Heartbleed nebo Shellshock bugu. Při pokusu o zneužití bugu jsou povinné subjekty povinny hlásit to jako kybernetický bezpečnostní incident I bez toho NBÚ si může být chyby vědom a s ohledem na její závažnost může opatřením obecné povahy uložit povinnost aktualizovat komponentu na zabezpečenou Může být uloženo reaktivně i preventivně Page 29
Scénář č. 4 Březen 2013 V České republice se odehraje přímý útok na řadu zpravodajských serverů, bank a operátorů. Vládní CERT by z velkého množství informací posoudil, zda lze ochrany dosáhnout pouze spoluprací se subjekty významné a kritické informační infrastruktury Pokud by se ukázalo ukládání povinností i privátním poskytovatelům služeb a sítí jako nevyhnutelné, mohl by pak ředitel NBÚ vyhlásit stav kybernetického nebezpečí V něm vydávaná opatření by mohla ukládat povinnosti např. filtrování síťového provozu i odpojování sítí Pravděpodobná mezinárodní spolupráce CERT/CSIRT týmů Page 30
Děkuji za pozornost pavel.hejl@twobirds.com Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated and associated businesses. Bird & Bird LLP is a limited liability partnership, registered in England and Wales with registered number OC340318 and is authorised and regulated by the Solicitors Regulation Authority. Its registered office and principal place of business is at 15 Fetter Lane, London EC4A 1JP. A list of members of Bird & Bird LLP and of any non-members who are designated as partners, and of their respective professional qualifications, is open to inspection at that address. Page 31 twobirds.com