Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 30.5.2013 1 30.5.2013 1
Internet hybná síla globální ekonomiky 30.5.2013 2 30.5.2013 2
Internet hybná síla globální ekonomiky 30.5.2013 3 30.5.2013 3
Internet hybná síla globální ekonomiky 30.5.2013 4 30.5.2013 4
Bezpečnost kybernetického prostoru 30.5.2013 5 30.5.2013 5
Hrozí nám kybernetický kolaps? 30.5.2013 6 30.5.2013 6
Nutnost stanovení pravidel chování v kyberprostoru 30.5.2013 7 30.5.2013 7
Kybernetická válka již začala? 30.5.2013 8 30.5.2013 8
Kybernetická válka již začala? 30.5.2013 9 30.5.2013 9
Kybernetická válka již začala? 30.5.2013 10 30.5.2013 10
Od mediálně atraktivních útoků k nákladným sofistikovaným operacím 30.5.2013 11 30.5.2013 11
Od mediálně atraktivních útoků k nákladným sofistikovaným operacím 30.5.2013 12 30.5.2013 12
Dočkáme se pravidel chování v kyberprostoru? 30.5.2013 13 30.5.2013 13
Strategie kybernetické bezpečnosti 30.5.2013 14 30.5.2013 14
Budování kybernetické bezpečnosti v ČR Usnesení vlády ze dne 19. října 201 č. 781 30.5.2013 15
Co je/bude Národní centrum kybernetické bezpečnosti - NCKB Organizační složka NBÚ Součást systému státu chránícího kybernetický prostor Má 2 části: Vládní CERT Oddělení teoretické podpory, vzdělávání a výzkumu Úlohou centra je koordinace spolupráce na národní i mezinárodní úrovni při předcházení kybernetickým útokům i při návrhu a přijímání opatření při řešení incidentů i proti probíhajícím útokům. 30.5.2013 16
Hlavní činnosti NCKB Plnit roli vrcholového pracoviště KB na úrovni státu Provozovat Vládní CERT České republiky Spolupráce s ostatními národními pracovišti CERT / CSIRT Spolupráce s mezinárodními pracovišti CERT / CSIRT Zastupování ČR v mezinárodních organizacích Příprava bezpečnostních standardů pro jednotlivé kategorie organizací v ČR Osvěta a podpora vzdělávání v oblasti kybernetické bezpečnosti Výzkum a vývoj v oblasti kybernetické bezpečnosti 30.5.2013 17
Co je/bude Vládní CERT Specializovaný technický team Klíčová role při ochraně informačních systémů veřejné správy a Kritické informační infrastruktury Reakce na bezpečnostní incidenty Koordinace činností při řešení incidentů Účelně působit při předcházení incidentům Prvotní zdroj bezpečnostních informací Zvyšování vzdělanosti v oblasti bezpečnosti na internetu 30.5.2013 18
Kompetence Vládního CERTu Správci IS veřejné správy Správci systémů kritické informační infrastruktury Jejich základní povinnosti: oznámit NBÚ kontaktní údaje pro okamžité předávání informací o kybernetických bezpečnostních událostech; chránit své informační systémy bezpečnostními opatřeními, jejichž náležitosti stanoví NBÚ vyhláškou; hlásit výskyt bezpečnostních incidentů NBÚ a provádět protiopatření, která jim NBÚ stanoví. 30.5.2013 19
Integrace kybernetické bezpečnosti státu Kybernetická dimenze musí být standardní součástí posouzení rizik Ochrana kyberprostoru musí integrovat a koordinovat již existující schopnosti: Provozovatel vládního CERTu Policie Zpravodajské služby Obrana Komerční sektor Akademická sféra 30.5.2013 20
Průzkum kybernetické bezpečnosti ve veřejné správě v roce 2012 2 etapy průzkumu dotazníkovou metodou Rozdělení systémů na Kritické a Významné Oslovili jsme 44 subjektů (ministerstva, ústřední orgány, samospráva) Evidujeme 173 významných a 38 kritických systémů Výsledky obsahem zprávy pro vládu 30.5.2013 21
Průzkum kybernetické bezpečnosti ve veřejné správě v roce 2012 -shrnutí + 98% subjektů má zaveden systém evidence a zvládání bezpečnostních incidentů + 74% subjektů má již nyní zcela, nebo částečně zavedeno ISMS (systém řízení bezpečnosti informací) + 99% subjektů má vytvořenou a schválenou bezpečnostní politiku + 80% subjektů již nyní využívá ISO řady 27000 30.5.2013 22
Průzkum kybernetické bezpečnosti ve veřejné správě v roce 2012 -shrnutí - 26% subjektů spravujících DICT státu nemá relevantní informace o rizicích spojených s jejich provozem a správou - 35% subjektů spravujících DICT státu neprovedlo nikdy žádný bezpečnostní audit - 35% subjektů investuje do bezpečnosti ICT méně než 3% svého IT rozpočtu 30.5.2013 23
Věcný záměr zákona o kybernetické bezpečnosti Usnesení vlády ze dne 30. května 2012 č. 382 k návrhu věcného záměru zákona o kybernetické bezpečnosti. ukládá řediteli Národního bezpečnostního úřadu zpracovat na základě věcného záměru zákona uvedeného v bodě I tohoto usnesení a předložit vládě do 31. července 2013 návrh zákona o kybernetické bezpečnosti. 30.5.2013 24
Hlavní zásady a pilíře návrhu zákona minimalizace zásahů do práv soukromoprávních subjektů individuální odpovědnost za bezpečnost vlastní sítě bezpečnostní opatření (standardizace) hlášení kybernetických bezpečnostních incidentů protiopatření 25
Zákon o kybernetické bezpečnosti (ZKB) Předmět úpravy 1 Předmětem je úprava práv a povinností orgánů veřejné moci, fyzických a právnických osob, stanovení působnost orgánů státní správy a jejich vzájemná spolupráce v oblasti kybernetické bezpečnosti. Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi. Výjimka zohledňující specifika činnosti zpravodajských služeb České republiky v 24. 30.5.2013 26
Pojmy ZKB Kybernetický prostor 2 písm. a) Kybernetickým prostorem se rozumí digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy a službami a sítěmi elektronických komunikací. 30.5.2013 27
Pojmy ZKB Kybernetická bezpečnost 2 písm. b) Kybernetickou bezpečností se rozumí souhrn právních, organizačních, technických a vzdělávacích prostředků směřujících k zajištění nerušeného a bezvadného fungování kybernetického prostoru. 30.5.2013 28
Pojmy ZKB Kritická informační infrastruktura 2 písm. c) Kritickou informační infrastrukturou se rozumí kritická infrastruktura v odvětví komunikační a informační systémy určená Národním bezpečnostním úřadem. 30.5.2013 29
Povinné osoby ZKB 3 písm. a) a b) Povinnými osobami v oblasti kybernetické bezpečnosti jsou a) poskytovatelé služeb elektronických komunikací a subjekty zajišťující sítě elektronických komunikací, b) poskytovatelé služeb elektronických komunikací a subjekty zajišťující sítě elektronických komunikací spravující páteřní sítě, pokud nespadají pod písmeno c), 30.5.2013 30
Povinné osoby ZKB Kritická informační infrastruktura 3 písm. c) a d) Významný IS 3 písm. e) Povinnými osobami v oblasti kybernetické bezpečnosti jsou c) správci komunikačních systémů zařazených do kritické informační infrastruktury, d) správci informačních systémů zařazených do kritické informační infrastruktury a e) správci významných informačních systémů. Správcem se rozumí u informačních systémů ten subjekt, který určuje účel zpracování informací a podmínky jeho provozování, komunikačních systémů ten subjekt, který určuje účel KS a podmínky jeho provozování. 30.5.2013 31
Systém k zajištění kybernetické bezpečnosti 4 Systém zajištění kybernetické bezpečnosti tvoří: bezpečnostní opatření, hlášení kybernetických bezpečnostních incidentů, protiopatření, oznamování kontaktních údajů a činnost dohledových pracovišť. 30.5.2013 32
Systém k zajištění kybernetické bezpečnosti Kybernetická bezpečnostní událost a kybernetický bezpečnostní incident 8 až 12 Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací. Kybernetickým bezpečnostním incidentem je událost, která představuje narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací. Stanovena povinnost detekce a hlášení kybernetických bezpečnostních incidentů. 30.5.2013 33
Systém k zajištění kybernetické bezpečnosti Dohledová pracoviště 19 až 23 Národní CERT - soukromoprávní subjekt právnická osoba. Vládní CERT - provozuje Úřad. 30.5.2013 34
Stav kybernetického nebezpečí 25 Stav mimořádný, speciální oproti mimořádným stavům vyhlašovaným podle ústavního zákona č. 110/1998 Sb. o bezpečnosti České republiky nebo podle krizového zákona č. 240/2000 Sb. Možno vyhlásit pokud je ve velkém rozsahu ohrožena bezpečnost informací v IS, bezpečnost služeb nebo sítí elektronických komunikací a tím dojde k ohrožení nebo porušení zájmu České republiky. Stav KN vyhlašuje předseda vlády na návrh ředitele NBÚ. Musí jej schválit vláda do 24 hod jinak jej zruší. Vyhlašován na dobu nejdéle 7 dnů prodloužení jen se souhlasem vlády. 30.5.2013 35
Účinnost 37 Předpokládaná účinnost je dnem 1. ledna 2015. 30.5.2013 36
Metody ochrany před kybernetickými hrozbami a útoky individuální odpovědnost individuální ochrana outsourcing specializovanými společnostmi CERT/CSIRT 30.5.2013 37 30.5.2013 37
Computer Emergency Response Team CERT 30.5.2013 38 30.5.2013 38
Národní centrum kybernetické bezpečnosti - začlenění ve státní správě 30.5.2013 39 30.5.2013 39
Vládní CERT - technické a programové zabezpečení Spolehlivé dostatečně kapacitní napojení na Internet Linky pro příjem informací o incidentech Síť senzorů Incident handling systém Vývojové a testovací prostředí 30.5.2013 40 30.5.2013 40
Děkuji za pozornost a případné dotazy rád zodpovím v diskusi. Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 30.5.2013 41 30.5.2013 41