Jak zajistit svou bezpečnost
Se schválením zákona o kybernetické bezpečnosti se objevuje mnoho otazníků kolem praktické realizace bezpečnostní politiky povinných institucí tak, aby odpovídala nové legislativě. Bezpečnostní politika jako taková je souhrnem principů a řešení, ze kterých vychází návrhy na realizaci standardů, směrnic, procedur a opatření uvnitř instituce.
Schválený zákon o kybernetické bezpečnosti bude vyžadovat širokou škálu nejen technických opatření, která bude nutno začít naplňovat od 1. 1. 2015. Rok by mělo platit přechodné období, kdy budou mít povinné subjekty prostor na to, jak veškeré legislativní požadavky naplnit. V okamžiku, kdy začneme tuto problematiku řešit, musíme si položit několik základních otázek:
• Co má být chráněno?
• Kdo za co nese odpovědnost?
• Za jakých podmínek to bude efektivní?
• Jak to může být vynuceno?
• Jak a kdy to bude realizováno?
Každý informační systém musí být tedy nejdříve analyzován z hlediska jeho současného stavu a také z hlediska zabezpečení jeho ochrany v souladu s platnou legislativou.
Co je kritická infrastruktura?
Další otázka, která vyvstává, je i to, kdo přesně bude patřit do okruhu povinných, kteří musí literu zákona beze zbytku naplnit. V současné době do této kategorie spadají subjekty splňující podmínky uvedené v předpisu č.432/2010 Sb., ze dne 22. 12. 2010 „Nařízení vlády o kritériích pro určení prvku kritické infrastruktury“.
Za prvek kritické infrastruktury můžeme považovat budovu, zařízení či veřejnou infrastrukturu, a to podle průřezových kritérií (jaké způsobí např. ztráty na životech, vážný ekonomický dopad atd.) a odvětvových kritérií – např. technické a provozní hodnoty v odvětvích energetika, vodní hospodářství, potravinářství, zemědělství, doprava, komunikační a informační systémy, finanční trh a měna, nouzové služby a veřejná správa.
Nicméně v současné době je již připravena novela nařízení 432/2010, která nově definuje odvětvová kritéria pro určení prvku kritické infrastruktury. Změny se dotýkají odvětví energetiky, zdravotnictví, komunikačních a informačních systémů. Zásadní změnou je pak ve vazbě na zákon o kybernetické bezpečnosti dotčeno odvětví komunikačních a informačních systémů. Účinnosti nabývá tato novela ve stejný okamžik jako zákon, tedy 1. ledna 2015.
Bezpečnostní politika bude povinností
Technická řešení již běžně většina firem má, nicméně nová legislativa týkající se kybernetické bezpečnosti bude požadovat mnoho dalších kroků, jako je například zajištění fyzické bezpečnosti, systém přístupových oprávnění nebo zvládání kybernetických incidentů, ale také stanovení odpovědných osob, což bude v tomto konkrétním případě manažer kybernetické bezpečnosti, architekt kybernetické bezpečnosti a auditor kybernetické bezpečnosti.
Osoba odpovědná za systém řízení bezpečnosti musí mít odpovídající vzdělání i praxi. Mezi její povinnosti bude mimo jiné patřit např. vytvořit bezpečnostní politiku subjektu, monitorovat, jak jsou účinná přijatá opatření, zajistit příslušná hlášení a podobně. Nejméně jednou ročně bude také nutné zajistit audit kybernetické bezpečnosti.
Požadavky bezpečnostní dokumentace
Zákon nařizuje vedení bezpečnostní dokumentace, která bude obsahovat podrobný popis všech bezpečnostních opatření. Legislativa rovněž ukládá, jakou konkrétní strukturu má tato bezpečnostní dokumentace mít. Zde jde opět o obsáhlý soubor požadavků, ať už je to určení bezpečnostních rolí, personální bezpečnost, testování software, zabezpečení budov či kryptografickou bezpečnost v rámci subjektu a mnohé další. Pro velkou část povinných osob bude naplnění požadavků poměrně složité, protože chybí odborníci specializující se právě pro tuto oblast. Nicméně část těchto povinností mohou pro dotčené organizace plnit i externí subjekty.
V nedávné době se v médiích objevila zpráva o napadení platebních terminálů v USA. Kvůli tomuto bezpečnostnímu incidentu došlo k ohrožení 56 milionů platebních karet. I tento příklad dokládá, že kybernetické hrozby se stávají naší běžnou denní realitou a ochrana před nimi by měla být každé instituci vlastní bez ohledu na to, zda to po ní vyžaduje zákon. Komplexní ochrana organizace proti kybernetickým hrozbám by tak měla být běžným standardem při ochraně duševního vlastnictví, osobních dat zaměstnanců i dat klientů každého úřadu či firmy.
Jitka Kotisová