IT právo a licence ve firmě efektivně a správně 4. listopadu 2014
Licence ve firmě 4. listopadu 2014
Obsah prezentace 1 Právní prameny upravující počítačový program 2 Definice počítačového programu 3 Autor vs. firma
4 Druhy SW v závislosti na licenci 5 Licence ve firmě
2
1. Právní prameny upravující počítačový program • zákon č. 89/2012 Sb., občanský zákoník licenční smlouva
• zákon č. 121/2000 Sb., autorský zákon definice počítačového programu
vše ostatní
3
1. Právní prameny upravující počítačový program (pokrač.) • SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 2009/24/ES, o právní ochraně počítačových programů ukládá členským státům povinnost chránit počítačové programy stejně jako literární díla podle autorského práva a určit subjekt a předmět právní ochrany, výlučná práva, kterých by se chráněné osoby mohly dovolávat při udělování svolení nebo zakazování určitých právních úkonů, a rovněž stanovit dobu trvání ochrany počítačovým programem se rozumí i počítačový program, který je součástí HW předmětem ochrany nejsou myšlenky a zásady, na kterých jsou založeny jednotlivé prvky programu
• Bernská úmluva o ochraně literárních a uměleckých děl
4
2. Definice počítačového programu (dále jen „SW“) • právní řád ČR ani směrnice neobsahuje definici SW • právní teorie se ustálila na: „soustava příkazů, které jsou schopny řídit činnost počítače za účelem dosažení konkrétního výsledku“ • příklad ze Slovenska: „Počítačový program je súbor príkazov a inštrukcií použitých priamo alebo nepriamo v počítači. Príkazy a inštrukcie môžu byť napísané alebo vyjadrené v zdrojovom kóde alebo v strojovom kóde.“
5
3. Autor vs. firma • autorem je fyzická osoba, popřípadě skupina fyzických osob, která dílo vytvořila • autorem dle právního řádu ČR není právnická osoba (směrnice EU to ale připouští) • to má zásadní důsledky do postavení firmy coby objednatele software • postoupení práv vs. smlouva se zhotovitelem (právnickou osobou)
6
4. Druhy SW v závislosti na licenci • freeware – SW, jehož užívání je naprosto zdarma • shareware – SW, který lze volně distribuovat a zdarma vyzkoušet, pro další používání je třeba zaplatit • demo – funkčně nebo časově (trial) omezená verze komerčního software, která se šíří zdarma • open source software – software poskytované s licencí, která umožňuje získat jeho zdrojový kód • volné dílo (public domain) – dílo, jehož majetková autorská práva nejsou chráněna, může být volně využíváno za dodržení určitých podmínek
7
5. Licence ve firmě • co vše se vyskytuje na počítačích firmy • co je třeba sledovat • konkrétní případy při nelegálních SW
8
Děkuji za pozornost!
Za tým SAMAK připravil: Mgr. Martin Švehlík, advokát
9
Odpovědnost při používání licencí a možnosti kontroly zaměstnanců 4. listopadu 2014
Obsah prezentace I.
Užívání licence v rozporu se zákonem a související odpovědnost 1 Ochrana autorského práva 2 Prostředky ochrany autorského práva 3 Důsledky porušení autorských práv 4 Obrana proti způsobení škody zaměstnancem
II. Kontrola zaměstnanců ze strany zaměstnavatele 1 Kontrola zaměstnanců a zpracování osobních údajů
2 Ochrana soukromí zaměstnanců vs. ochrana majetku zaměstnavatele 3 Podmínky zavedení kontroly zaměstnanců 4 Jak kontrolovat zaměstnance 5 Jak postupovat při zavedení kontroly zaměstnanců
2
I. Užívání licence v rozporu se zákonem a související odpovědnost
1. Ochrana autorského práva Užívání autorského díla • určuje smluvní ujednání (licence), vč. sankcí • zákon
Ochrana autorského práva • ochrana autorství podle autorského zákona • autor se podle autorského zákona může např.:
požadovat zákaz ohrožení svého práva, neoprávněný zásah
požadovat odstranění následků zásahu do práva
poskytnutí přiměřeného zadostiučinění za způsobenou nemajetkovou újmu
• i ochrana majetkových práv výhradního nabyvatele licence
4
2. Prostředky ochrany autorského práva Ochrana autorského práva •
prostředky soukromého práva
žaloby negatorní, na plnění, určovací, restituční
správní trestání
trestní odpovědnost
•
•
trestní zákoník (§ 270 TZ)
•
TOPOZ (právnické osoby)
přestupek či správní delikt podle autorského zákona
5
3. Důsledky porušení autorských práv Poškozený autor / výhradní licenční nabyvatel se může domáhat mj.: • zadostiučinění v penězích za nemajetkovou újmu (jen autor) • náhrady škody • náhrady ušlého zisku ve výši odměny, která by byla obvyklá za získání takové licence v době neoprávněného nakládání s dílem
• vydání bezdůvodného obohacení na společnosti (dvojnásobek odměny, která by byla za získání takové licence obvyklá v době neoprávněného nakládání s dílem)
Stát může uložit: • pokutu FO či PO za přestupek / správní delikt – možná liberace
• peněžitý trest odpovědné FO (podle TZ) • peněžitý trest, propadnutí majetku apod. dle své diskrece (TOPOZ) – PO odpovídá i za jednání svých zaměstnanců, zmocněnců, zástupců
6
4. Obrana proti způsobení škody zaměstnancem Odpovědnost za porušení autorských práv a možnosti prevence • odpovědnost nese nejčastěji zaměstnavatel, liberace záleží na smluvním ujednání
liberovat se může v případě správního deliktu
prevence proti přičítání protiprávního jednání zaměstnance společnosti podle TOPOZ (úprava interních předpisů)
monitoring???
• zaměstnavatel se dále může domáhat náhrady škody přímo na zaměstnanci
do 4,5 násobku výdělku za nedbalostně způsobenou škodu a
v celé výši za úmyslně způsobenou škodu (vč. náhrady ušlého zisku)
7
II. Kontrola zaměstnanců ze strany zaměstnavatele
1. Kontrola zaměstnanců a zpracování osobních údajů Monitoring zaměstnance na pracovišti a osobní údaje • kontrola = otevřené či skryté sledování prostředky umožňujícími záznam či ne • ne vždy dochází ke zpracování osobních údajů při kontrole zaměstnanců:
systematická soustava operací
s osobními údaji (tj. jakákoli informace týkající se určitého či určitelného subjektu údajů)
automatizovaně nebo jinými prostředky
• ke zpracování osobních údajů dochází typicky při užití kamerových systémů, systémů sledujících elektronickou poštu apod. • zaměstnavatel může zpracovávat osobní údaje zaměstnanců na základě § 5 odst. 2 písm. e) ZOOÚ bez jejich souhlasu za účelem ochrany svých práv, přičemž nesmí být v rozporu s jejich právem na soukromí 9
2. Ochrana soukromí zaměstnanců vs. ochrana majetku zaměstnavatele § 316 ZP • zaměstnanci nesmí používat bez souhlasu zaměstnavatele jeho výrobní a pracovní prostředky pro svou osobní potřebu
• zaměstnavatel má právo tento zákaz přiměřeně kontrolovat • ale: zaměstnavatel nesmí narušovat soukromí zaměstnance na pracovištích tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování, odposlechu a záznamu hovorů, kontrole pošty
10
3. Podmínky zavedení kontroly zaměstnanců § 316 ZP – kdy kontrola zaměstnanců možná je • závažný důvod zaměstnavatele – tento důvod má spočívat ve zvláštní povaze činnosti zaměstnavatele
původně užší výklad – zvláštní povaha činnosti jako např. jaderná elektrárna
dnes širší aplikace: kterýkoli zaměstnavatel i z důvodu ochrany života a zdraví osob a majetku zaměstnavatele
• povinnost informovat zaměstnance o:
rozsahu kontroly
způsobu provádění
11
4. Jak kontrolovat zaměstnance Zásady pro kontrolu zaměstnanců bez zpracování osobních údajů • závažný důvod zaměstnavatele
• zásada proporcionality – je třeba sledovat co nejmenší počet údajů • zásada předvídatelnosti – splnění informační povinnosti zaměstnavatelem předem (pouze otevřené sledování)
• zásada analogie starších a nových technologií • vymezení rozsahu a způsobu provádění kontroly v interním předpisu (např. četnost kontrol, pojem pracoviště)
12
4. Jak kontrolovat zaměstnance (pokrač.) Kontrola zaměstnanců se zpracováním osobních údajů (monitoring) • notifikace ÚOOÚ, splnění informační povinnosti podle § 11 ZOOÚ
• pouze namátková kontrola pořízeného záznamu • nelze použít jiný méně invazivní prostředek (např. blokování zakázaných webových stránek místo systematického sledování)
sledování výkonnosti zaměstnanců je povinností vedoucího zaměstnance
• kontrola pořízeného záznamu do 3 dnů • dlouhodobá archivace jen tzv. pozitivních záznamů, zajistit je proti neoprávněnému přístupu
• princip transparence – umožnit dotčenému zaměstnanci shlédnout předmětný záznam 13
5. Jak postupovat při zavedení kontroly zaměstnanců 1
stanovit v pracovním řádu zákaz užívání majetku zaměstnavatele k osobním účelům nebo v rozporu se zákonem
2
upravit kontrolu zaměstnanců v pracovním řádu (předvídatelnost)
3 4
5
tj. především jeho rozsah s ohledem na test proporcionality
stanovit místa a zařízení, která budou kontrolována
zajistit rovný přístup ke všem zaměstnancům
splnit vůči zaměstnancům informační povinnost (písemně) pokud by údaje zaměstnavatel systematicky zpracovávat podle zákona o ochraně osobních údajů (monitoring), je nutno splnit povinnosti vůči ÚOOÚ nahodilá kontrola pořízených záznamů až na základě podezření 14
Děkuji za pozornost!
Za tým SAMAK připravila: Mgr. Marie Adamová, LL.M., advokát
15
Zavedení SAM do každodenní praxe – optimalizace, bezpečnost, efektivnost Helena Popelová Licensing Consultant; ISO/IEC 19770 SAM Auditor T-Mobile Czech Republic a.s.
Software Asset Management (SAM) – finanční přínosy Optimalizace nákladů za software Plánování finančních zdrojů
4.11.2014
2
SAM – přínosy řízení Definice řídících politik, procesů a postupů (interní směrnice) – ochrana před možnými riziky.
Určení odpovědností a rolí
Právní rizika pod kontrolou
4.11.2014
3
Nastavení procesů SAM (Software Asset Management) dle ISO/IEC 19770-1
4.11.2014
4
SAM – nastavení všech etap životního cyklu užívání software Definice procesů potřebných pro všechny fáze životního cyklu softwarových prostředků a jejich efektivnější správu
Efektivnější správa softwarových prostředků
Větší bezpečnost IT infrastruktury
4.11.2014
5
Klíčové body úspěchu projektu zavedení správy SAM 1. Podpora managementu společnosti 2. Alokované zdroje na projekt 3. Zodpovědná osoba za SAM oblast (SAM Manažer/koordinátor projektu) 4. Součinnost odd. IT – HR – ekonomické odd. – právní odd. – procesní odd. 5. Trvalý přehled - monitoring instalací, odinstalací a četnosti využívání SW uživateli 6. Příprava metodik evidence SW licencí, vedení dokumentace k programovému vybavení ve společnosti 7. Důslednost 4.11.2014
6
Nepropadejte depresi – jsme tu Kontaktní údaje: pro Vás !
Helena Popelová
[email protected] Mob.: 739 387 174
Dlouhodobá archivace s elektronickým podpisem 4. listopadu 2014, Ing. Petr Hrůša
Obsah prezentace Elektronický podpis – některé principy a pojmy Dlouhodobá archivace dokumentů s el. podpisem
Principy elektronického podpisu Základem je asymetrická kryptografie
RSA algoritmus (Rivest, Shamir, Adleman), 1977, MIT Privátní a veřejný klíč – vygenerovány společně Privátním se podepisuje (zůstává držiteli) Veřejným ověřuje podpis (lze volně šířit) Podepisuje a ověřuje se jen otisk (HASH) dokumentu
Příjemce: jak získat veřejný klíč, koho vlastně je? =>Certifikát důvěryhodné třetí strany = veřejný klíč + údaje držitele Certifikát je elektronickým dokumentem, podepsaným CA Jak ověřit podpis certifikátu? -> kořenový (root) certifikát CA
Platnost certifikátu lze předčasně odvolat -> odkaz na CRL (Certificate Revocation List) Elektronický dokument dostupný přes Internet
Zdroj: http://www.zijemenaplno.cz/Upload/fotobanka/w634130221081255757.jpg
Zdroj: Wikipedia, http://cs.wikipedia.org/wiki/Elektronick%C3%BD_podpis#mediaviewer/File:Digital_Signature_diagram_cs.svg
Druhy certifikátů a podpisů Certifikáty „Komerční“ – pro standardní užití, pro šifrování Kvalifikovaný – dle zákona 227/2000 Sb. Vydaný akreditovanou certifikační autoritou
Elektronické podpisy
Elektronický podpis – založený na komerčním či jiném certifikátu Pro komunikaci s bankami apod. Uznávaný elektronický podpis Na základě kvalifikovaného certifikátu vydaného akreditovanou certifikační autoritou Obsahující údaje pro jednoznačnou identifikaci osoby (IK MPSV) Pro komunikaci s veřejnou správou Ekvivalent vlastnoručně podepsaného listinného dokumentu
Omezení kryptografie Faktor zastarávání kryptografických algoritmů Např. MD5 již „mimo hru“ SHA-1 -> SHA 256+ RSA nebylo doposud zpochybněno
Faktor růstu výkonu počítačů Lze prolomit hrubou silou – náročnost dána délkou RSA klíče Vyvažování použitelnost vs. náročnost prolomení Postupně roste délka klíče 1024 -> 2048 bitů (v roce 2010)
=> Omezená platnost certifikátů Kvalifikovaný max. 1 rok
Faktor času Součástí dat elektronického podpisu je lokální čas počítače Může být snadno manipulován
=>Časová razítka Prokázání existence otisku dokumentu v daném čase Kvalifikovaná časová razítka (dle z. 227/2000 Sb.) Sama jsou opět „jen“ podepsaným el. dokumentem -> přerazítkování
Jak správně ověřit el. podpis? (Vyhláška 212/2012 Sb.) Ověřit certifikát (zda je kvalifikovaný, v době nominální platnosti) Pokud neobsahuje platné časové razítko -> přidat jej (fixace času) Ověřit, zda nebyl certifikát zneplatněn (CRL, +24 hodin!)
Obsah prezentace Elektronický podpis – některé principy a pojmy Dlouhodobá archivace dokumentů s el. podpisem
Důvěryhodnost el. dokumentu Přístup „důvěryhodný systém“ Právní domněnka pravosti (§69a odst. 8 zákona 499/2004 Sb., o archivnictví) Systém veřejné kontroly (ISDS) Digitální stopy existence dokumentu (např. právě ve spisové službě)
Ale…
Je založen na české legislativě, ale může být problém mimo ČR „Neprokáže-li se opak…“ – poškozená strana musí prokázat neplatnost elektronického dokumentu (jak?) Chybí soudní precedent Jde o přístup s podporou odboru archivní správy MV Vývoj v EU jde však druhým směrem
… tedy zřejmě slepá cesta
Důvěryhodnost el. dokumentu Přístup „důvěryhodný dokument“ Prokázat platnost autentizačních prvků dokumentu bez ohledu na okolí a čas Rozhodnutí Komise 2011/130/EU + příloha Referenční formát elektronických podpisů -> ETSI XAdES (XML), PAdES (PDF), CAdES (obecný, CMS) Různé úrovně CAdES CAdES-BES: Dokument + podpis + veřejný certifikát CAdES-T: + časové razítko CAdES-X-L: + vložená certifikační cesta + vložené CRL CAdES-A: + přerazítkovávání
Dlouhodobě archivovaný el. dokument se v čase mění
Jak v praxi zajistit? O elektronicky podepsané dokumenty je třeba se řádně starat Běžně součástí „velkých“ řešení DMS, ESSS, el. spisoven Dlouhodobé uložení dat (tedy je neztratit, nepřijít o ně) Implementace procesu péče - přerazítkovávání
Chybí jednoduché, levné řešení pro občany a firmy Je brzdou rozvoje e-Governmentu v ČR Opakovaně konstatováno odbornou veřejností
„ElOrig“ – řešení Aquasoftu Aktuálně v beta-verzi Samo neřeší dlouhodobé uložení dat Nechává na uživateli – pevný disk -> zálohování, cloud… To již dnes uživatelé/firmy umí, levně
Realizuje korektně procesy péče (pro PDF dokumenty) Správný způsob ověření el. podpisu (časové razítko, včetně „čekání“ na CRL a následného znovuověření) Vytvoří PAdES Long Term formát Vloží certifikační cestu, správné CRL, připraví pro přerazítkovávání Zajišťuje opakovanou kontrolu a přerazítkovávání automatizovaně Jednoduchá aplikace nad souborovým systémem PC/serveru
Chystá se verze zdarma, navázaná na služby ICA
Děkujeme Vám za pozornost Prezentující: Ing. Petr Hrůša Tel.: 281 093 400 Email:
[email protected] www.aquasoft.eu
Zákon o kybernetické bezpečnosti 4. listopadu 2014
Obsah prezentace 1 Základní informace 2 Charakteristika zákona 3 Systém kybernetické bezpečnosti 4 Dotčené osoby
5 Povinnosti dotčených osob 6 Sankce 7 Odpovědnost statutárních orgánů
2
1. Základní informace • zákon č. 181/2014 Sb., o kybernetické bezpečnosti, účinný od 1. 1. 2015 • první právní předpis o regulaci chování v kyberprostoru, rovněž jeden z prvních v Evropě • EU doporučuje regulaci kyberprostoru
strategie kybernetické bezpečnosti EU: otevřený, bezpečný a chráněný kyberprostor
návrh směrnice o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii ze 7. 2. 2013
• obdobně NATO: Lisabonský summit 2010
3
2. Charakteristika zákona • ochrana té části infrastruktury kyberprostoru, která je z hlediska fungování státu podstatná a jejíž ohrožení by znamenalo ohrožení veřejných zájmů • zákon necílí na obsah přenášených dat, nedává orgánům veřejné moci žádné pravomoci k regulaci obsahu (neřeší informační kriminalitu), nevztahuje se na správce systémů nakládající s utajovanými informacemi • zákon reaguje na množství kybernetických útoků, které jsou v nynější době stále častější, sofistikovanější a komplexnější
4
2. Charakteristika zákona (pokrač.) • zákonná úprava stručná, podrobnosti řeší připravované prováděcí právní předpisy (vyhláška o kybernetické bezpečnosti, novela nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, vyhláška o stanovení významných informačních systémů a jejich určujících kritériích)
5
3. Systém kybernetické bezpečnosti • bezpečnostní opatření (technická, organizační) • detekce kybernetických bezpečnostních událostí a incidentů a jejich hlášení
• protiopatření k reakci na kybernetické bezpečnostní incidenty (vydává CERT) • oznamování kontaktních údajů
• činnost dohledových pracovišť – vládní CERT (NBÚ), národní CERT (zatím CZ.NIC) • stav kybernetického nebezpečí, nouzový stav
6
4. Dotčené osoby • povinnosti uloženy subjektům provozujícím komunikační a informační systémy zásadního významu pro kybernetickou bezpečnost České republiky • minimální dopad zákona
poskytovatelé služeb elektronických komunikací a subjekty zajišťující sítě elektronických komunikací (viz Zákon o elektronických komunikacích)
subjekty zajišťující významnou síť, nejde-li o kritickou informační infrastrukturu
• plný dopad zákona – subjekty budou předem vyrozuměny
správci informačního systému kritické informační infrastruktury
správci komunikačního systému kritické informační infrastruktury
správci významného informačního systému
7
5. Povinnosti dotčených osob • poskytovatelé služeb elektronických komunikací a subjekty zajišťující sítě elektronických komunikací + subjekty zajišťující významné sítě ohlásit kontaktní údaje národnímu CERT a jejich změny (do 30-ti dní od nabytí účinnosti zákona) provést protiopatření dané NBÚ za stavu kybernetického nebezpečí
• zajišťovatelé významných sítí povinni detekovat bezpečnostní incidenty a hlásit bezpečnostní incidenty – start do 1 roku od nabytí účinnosti zákona
8
5. Povinnosti dotčených osob (pokrač.) • osoby spadající do plného režimu zákona ohlásit kontaktní údaje vládnímu CERT a jejich změny zavést bezpečnostní opatření a vést bezpečnostní dokumentaci detekovat kybernetické bezpečnostní události a ohlásit kybernetický bezpečnostní incident plnit povinnosti dané nápravným opatřením
• správci kritických infrastruktur jsou povinni ohlásit kontaktní údaje do 30-ti dní ode dne určení kritické infrastruktury, ostatní povinnosti jsou povinni splnit do 1 roku ode dne určení
9
6. Sankce • princip přiměřenosti a proporcionality v rámci správního trestání • sankce nejsou přísné, udílí je Národní bezpečnostní úřad • neoznámení kontaktních údajů pokuta až 10.000 Kč
• ostatní porušení povinností pokuta až 100.000 Kč
• pozor na sekundární efekty udílení sankcí
10
7. Odpovědnost statutárních orgánů • odpovědnost statutárních kybernetického zákona
orgánů
za
neplnění
povinností
dle
• upravena v zákoně č. 90/2012 sb., o obchodních korporacích • povinnost jednat s péčí řádného hospodáře, korigována pravidlem podnikatelského úsudku
11
7. Odpovědnost statutárních orgánů (pokrač.)
• obrácené důkazní břemeno – člen statutárního orgánu musí prokázat, že jednal s náležitou péčí • ručení za závazky korporace, povinnost vydat prospěch v případě nejednání s péčí řádného hospodáře • sankce při způsobení úpadku korporace – ručení, povinnost vydat prospěch, vyloučení z funkce statutárního orgánu ve všech korporacích
12
Děkuji za pozornost!
Za tým SAMAK připravil: Mgr. Marek Martinka, advokát
13
Kybernetická (ne)bezpečnost Představení přístupu T-Mobile k problematice kybernetické bezpečnosti kontakt:
[email protected]
internal
10/31/2014
1
Kybernetická (ne)bezpečnost Jak vnímat regulaci bezpečnosti v kybernetickém prostoru? „Co myslíte, Švejku, jak dlouho bude válka trvat?“ „Patnáct let.“ „???“ „No, to je jednoduchý. Jednou už byla třicetiletá válka a teď jsou lidi o polovinu chytřejší, to máme třicet děleno dvěma je - patnáct.“
Partial Test Ban Treaty USA SSSR UK Treaty on the Non-Proliferation of Nuclear Weapons Comprehensive Test Ban Treaty
srpen 1945 listopad 1988
Morris worm První počítačový útok
březen 1954
říjen 1961 červen 2009
Anti-terrorism pact SCO
srpen 1963
červenec 1968
září 1996
březen 2014
listopad 2001
Úmluva o počítačové kriminalitě ČR podepsala 2005, ratifikovala 2012 internal
NIS Directive Schválil EP, v Radě 10/31/2014
2
Kybernetická (ne)bezpečnost Bezpečnostní situace v kyberprostoru (I)
Historie
1988: Kybernetický incident: Morris worm (en.wikipedia.org/wiki/Morris_worm) Považován za první kybernetický útok, zároveň jde o první virus se schopností šířit se dál (napadal Unixové stanice s využitím jejich zranitelnosti) - typu DDoS 2007: Kyberteroristický útok: Estónsko (en.wikipedia.org/wiki/2007_cyberattacks_on_Estonia) Po rozhodnutí Tallinu o odstranění ruského památníku vyřadil DDoS útok z Ruska na několik dní Estónskou infrastrukturu (média, banky, veřejnoprávní stránky) Čínské ministerstvo vnitřní bezpečnosti oznámilo, že Čína byla napadena cizími hackery (42 % Taiwan, 25 % USA), kteří prováděli „průzkum bojiště“ 2007: Kybernetická podpora bitvy: Izrael (http://www.strategypage.com/htmw/htada/20130516.aspx) Izraelské bombardéry zničily jaderné zařízení v Sýrii, čemuž předcházel kybernetický útok na protileteckou obranu Sýrie (nejsou známy bližší podrobnosti) 2008: Kybernetická bitva: Gruzie (http://en.wikipedia.org/wiki/Cyberattacks_during_the_RussoGeorgian_War) Komunikační embargo na Gruzii způsobené ruskými hackery v průběhu konfliktu v Jižní Osetii, DDoS útoky před započetím konfliktu 2009: Kybernetický protiútok na ozbrojený útok: Izrael (http://www.haaretz.com/news/israel-sufferedmassive-cyber-attack-during-gaza-offensive-1.278094) Během lednové intervence v Gaze odpověděli útočníci (dle Izraelců ze států bývalého Sovětského svazu, placení Hamásem či Hizballáhem) útokem na vládní weby z botnetu o síle 5 milionů počítačů. 2010: Kybernetická sabotáž: USA (http://www.nytimes.com/2012/06/01/world/middleeast/obamaordered-wave-of-cyberattacks-against-iran.html?_r=0) USA přiznaly vytvoření a rozšíření Stuxnetu (ničil centrifugy pro obohacování uranu), DuQu (sada malware užívajících zranitelnost ve Winddows; enumerace, backdoor), Flame (malware zaznamenávající zvuky, video, keylogger, network traffic)
internal
10/31/2014
3
Kybernetická (ne)bezpečnost Bezpečnostní situace v kyberprostoru (II) Víceméně pravidelné kybernetické boje, různých útočníků na všechny druhy cílů, všech možných motivací Leden 2010: Napadení Čínského Baidu „Iránskou Kybernetickou Armádou“ (http://technet.idnes.cz/treti-nejvetsi-vyhledavac-sveta-byl-hacknut-fm6/sw_internet.aspx?c=A100113_162821_sw_internet_vse) Leden 2011: Napadení Kanady (http://en.wikipedia.org/wiki/2011_Canadian_government_hackings) Říjen 2012: odhalen Red October (Kaspersky), který probíhal od roku 2007 (!) (http://www.kaspersky.com/about/news/virus/2013/Kaspersky_Lab_Identifies_Operati on_Red_October_an_Advanced_Cyber_Espionage_Campaign_Targeting_Diplomatic _and_Government_Institutions_Worldwide)
Současnost
Březen 2013: čtyři dny DDoS útoků na ČR (http://www.root.cz/clanky/bezpecnostnistripky-cr-ctyri-dny-utoku-ddos/) Červenec 2013: Smrt Barnaby Jacka týden před konferencí BlackHat v Las Vegas (http://en.wikipedia.org/wiki/Barnaby_Jack) Únor – Březen 2014: eBay přišel o 145 milionů uživatelských dat – k odpovědnosti se přihlásila Syrian Electronic Army (http://www.reuters.com/article/2014/05/23/us-ebaycybercrime-idUSBREA4M0PH20140523) Červenec 2014: Evernote a Feedly DDoS útok – vyděrači požadovali výkupné (http://www.bbc.com/news/technology-27790068)
internal
10/31/2014
4
Kybernetická (ne)bezpečnost Bezpečnostní situace v kyberprostoru (III) Svět je ve válce (nikoliv jen kybernetické) Dle Baudyše jde o konflikt mezi bývalými mocnostmi dnes depolarizovaného světa Po 11. v září 2001 otevřeně přiznané to G. W. Bushem (což způsobilo právní zmatek, s kterým se odborníci dosud nevyrovnali – viz Guntánamo) Vyústilo k silným stanoviskům USA – možnost odpovědět silou (http://www.defense.gov/news/d20110714cyber.pdf) Talinský manuál (http://ccdcoe.org/tallinn-manual.html)
Uvědomme si
Kybernetické útoky jsou jen jedním z mnoha způsobů vedení útoků moderních válečníků (dokonce na letální cíle – komunikační infrastruktura, centrifuga, lidský život) Kybernetické útoky jsou oblíbenou „zbraní“ zejména nestátních aktérů S malou výbavou (počítač, připojení, mozek) je možné dosáhnout poměrně velkých škod Jsou snadno dostupné (botnet o mohutnosti cca 100.000 zombies, schopný útočit silou 10-100 Gbps, je k dispozici za 4.000 KČ na dobu 24 hodin) Poměrně snadno se realizují, hůře se proti nim brání (podobně jako teroristické útoky) Kyberválečné velmoci dle Špiříka: USA, Čína, Rusko, Severní Korea
internal
10/31/2014
5
Kybernetická (ne)bezpečnost Bezpečnostní situace v kyberprostoru (IV) Co (a komu) o sobě dáváte vědět? Vědomě Na sociálních sítích Zaměstnavatel Nevědomě Lokalizační a provozní údaje mobilních operátorů Chování na Internetu (e-shopy, oblíbené weby) Chováním v běžném životě (nákupy, reputační systémy)
Uvědomme si
Z nedbalosti Malware Nezabezpečená WiFi Kdo je na vaší straně? Veřejná správa (správních spisy, utajované informace) Nezáměrné/neexistující zranitelnosti v zařízeních čínského podniku Huawei bez státní účasti (http://bigstory.ap.org/article/huawei-rejects-reports-security-weakness) Google: Lorem ipsum (http://krebsonsecurity.com/2014/08/lorem-ipsum-of-good-evilgoogle-china/#more-27291)
internal
10/31/2014
6
Kybernetická (ne)bezpečnost Cíle kybernetické bezpečnosti Cíle na mezinárodní a evropské úrovni Prosazovat bezpečný kyberprostor Může vyplývat sada pravidel pro státy V OSN pokračují diskuse o obecné úmluvě o boji proti mezinárodnímu terorismu Mezinárodní úmluva o potlačení financování terorismu Regionální dohody, Talinský manuál (?) Úmluva o počítačové kriminalitě (ČR ratifikovala v srpnu 2013) NIS Directive z 13. 3. 2014
Cíle prosazování kybernetické bezpečnosti
Cíle na úrovni státu Ochraňovat základní lidská práva a aktiva fyzických a právnických osob Prosazovat mezinárodní zájmy v boji proti patologickým jevům v kyberprostoru Může vyplývat sada požadavků na fyzické a právnické osoby i partnery ČR Trestní zákoník Zákon o trestní odpovědnosti právnických osob Zákon o kybernetické bezpečnosti Zákon o elektronických komunikacích Cíle na úrovni podniku Ochraňovat aktiva společnosti, zákazníků a partnerů Ochraňovat základní lidská práva zaměstnanců, zákazníků a partnerů Může vyplývat sada požadavků na zákazníky, partnery a zaměstnance internal
10/31/2014
7
Kybernetická (ne)bezpečnost Vymezení cílové skupiny Statutární orgán je povinen zajistit zdroje pro splnění povinností
Poskytovatel Významná síť (ZKB definována jako síť elektronických komunikací zajišťující přímé zahraniční připojení do veřejných komunikačních sítí nebo zajišťující přímé připojení ke kritické informační infrastruktuře). Ostatní poskytovatelé služeb elektronických komunikací. Správce IS/KS KII
Cílová skupina – ZKB (Poskytovatel, Správce KII, Správce VIS)
Nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvku kritické infrastruktury (odvětvová a průřezová kritéria), základní definice je, že se jedná o prvek kritické infrastruktury nebo systém prvků kritické infrastruktury, narušení jehož funkce by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu. Kritická informační infrastruktura spravovaná organizační složkou státu je definována v Usnesení VCNP č. 277 ze dne 12.6.2007 (určující kritéria). Správce VIS Významným informačním systémem definuje ZKB jako informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti informací může ohrozit nebo výrazně omezit výkon činnosti veřejné správy. Významné informační systémy a jejich určující (oblastní a dopadová) kritéria stanoví prováděcí právní předpis – Vyhláška NBÚ a MV.
internal
10/31/2014
8
Kybernetická (ne)bezpečnost Myslíte to se svojí ochranou v kyberprostoru vážně? Požadavkům vyhlášky vyhovuje KII+VIS, který je certifikován podle ISO/IEC 27001:2013, resp. ČSN ISO/IEC 27001:2014 a vede dokumentaci obsahující Popis rozsahu systému řízení bezpečnosti informací Prohlášení politiky a cílů systému řízení bezpečnosti informací Popis použité metody hodnocení rizik a zprávu o hodnocení rizik Prohlášení o aplikovatelnosti Certifikát systému řízení bezpečnosti informací podle ISO/IEC 27001
NE – chci vyhovět legislativním požadavkům
Záznam o přezkoumání systému řízení bezpečnosti informací včetně souvisejících vstupů a výstupů přezkoumání a Zprávu zauditů provedených certifikačním orgánem včetně příslušných záznamů onápravě zjištěných neshod spříslušnou normou, Máte zaveden ISMS? Nechte se prověřit nezávislou autoritou, zda jste v souladu s ZKB Zvolte řešení s minimálními náklady k odstranění nesouladů Nemáte zaveden ISMS? (Zaveďte ISMS s respektováním zásad uvedených v ZKB) Vraťte se k bodu 1
internal
10/31/2014
9
Kybernetická (ne)bezpečnost Myslíte to se svojí ochranou v kyberprostoru vážně? Analýza rizik, analýza rizik, analýza rizik… Specifika vyhlášky k ZKB Poznejte svůj attack surface, poznejte hodnotu svých aktiv, odhadněte rizika Identifikujte svého protivníka a pokuste se odhadnout, kolik je ochoten investovat do útoku na vás Zanalyzujte, jakou silou a jakým způsobem (vektorem útoku) může protivník v rámci svých finančních možností zaútočit Vytěžte svoje dodavatele Hledejte dodavatele, kteří mají zkušenosti s organizacemi především vaší velikosti a typu
ANO
Výhoda malých a středních dodavatelů spočívá ve velmi schopných jedincích, zpravidla jsou schopné reagovat velmi pružně Korporátní dodavatelé vám mohou nabídnout širokou škálu odborníků na různé oblasti, umí rozpoznat souvislosti tam, kde nejsou na první pohled zřejmé, mají zpravidla zkušenosti s nejmodernějšími technologiemi a pokročilými technikami; většinou nebývají však tolik pružní jako menší společnosti… hledejte řešení, která jsou vhodná pro vás a jsou prověřena praxí, případně která jsou vyvíjena „průkopníky“ a lídry v tomto oboru Využijte sílu zákona o kybernetické bezpečnosti Snižte svůj risk apetit získáním dodatečných financí (…) ke zvýšení úrovně svojí bezpečnosti
internal
10/31/2014
10
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (I) Organizační opatření (vycházejí z ISO 27001, pro KII je jich více než pro VIS) § 3 – Systém řízení bezpečnosti informací § 4 – Řízení rizik § 5 – Bezpečnostní politika § 6 – Organizační bezpečnost § 7 – Stanovení bezpečnostních požadavků pro dodavatele
GAP analýza - Oblasti
§ 8 – Řízení aktiv § 9 – Bezpečnost lidských zdrojů § 10 – Řízení provozu komunikací § 11 – Řízení přístupu a bezpečné chování uživatelů § 12 – Akvizice, vývoj a údržba § 13 – Zvládání KBU a KBI § 14 – Řízení kontinuity činností § 15 – Kontrola a audit
internal
10/31/2014
11
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (II) Technická opatření § 16 – Fyzická bezpečnost § 17 – Nástroj pro ochranu integrity komunikačních sítí § 18 – Nástroj pro ověřování identity uživatelů
GAP analýza - Oblasti
§ 19 – Nástroj pro řízení přístupových oprávnění § 20 – Nástroj pro ochranu před škodlivým kódem § 21 – Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů § 22 – Nástroj pro detekci kybernetických bezpečnostních událostí § 23 – Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí § 24 – Aplikační bezpečnost § 25 – Kryptografické prostředky § 26 – Nástroje pro zajišťování vysoké úrovně dostupnosti § 27 – Bezpečnost průmyslových a řídicích systémů
internal
10/31/2014
12
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (III) Organizační opatření – ISMS, řízení aktiv, řízení rizik Jak jsou stanoveny rozsah a hranice ISMS (KII)? Je zaveden PDCA – vyhodnocení účinnosti opatření, sledování účinnosti politiky, periodický audit (KII)? Jaká je metodika identifikace a hodnocení aktiv (primární a podpůrná aktiva – jen KII: Fyzické objekty, Technologie včetně datových médií, Procesy v rámci IT, Lidé, Dodavatelé + Garanti a vazby – a jejich CIA ve 3 stupních), s důrazem na míru podílu osobních údajů nebo obchodního tajemství, rozsah dotčených právních povinnosti či jiných závazků,
GAP analýza - Příklad
rozsah narušení vnitřních řídících a kontrolních činností, poškození veřejných, obchodních či ekonomických zájmů, možné finanční ztráty, rozsah narušení běžných činností povinné osoby, dopady na ztrátu dobrého jména či dobré pověsti. Jsou stanovena a prosazena pravidla pro ochranu aktiv dle klasifikace + spolehlivé mazání a likvidace? Jaká je metodika řízení rizik (riziko = dopad * hrozba * zranitelnost na 4stupňové škále) – jsou postiženy všechny hrozby a zranitelnosti (viz příloha 2 vyhlášky)? Jak je periodicky zajišťován audit, vyhodnocována účinnost ISMS a aktualizován ISMS (KII)? Jak je řízen provoz a zdroje systému a jak jsou zaznamenávány činnosti (KII)? internal
10/31/2014
13
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (IV) Organizační opatření – Bezpečnostní politika Obsahuje schválená politika bezpečnosti informací všechny náležitosti (hlavní zásady, cíle a lhůty, bezpečnostní potřeby, práva a povinnosti) a existuje pro následující oblasti? Systém řízení bezpečnosti informací, Organizační bezpečnost, Řízení dodavatelů, Klasifikace aktiv, která zahrnuje pravidla pro bezpečné nakládání s aktivy, Bezpečnost lidských zdrojů, Řízení provozu a komunikací,
GAP analýza - Příklad
Řízení přístupu, Bezpečné chování uživatelů, Zálohování a obnova, Licencování software a informací, Ochrana osobních údajů, Používání kryptografické ochrany, Nasazení a používání nástroje pro detekci KBU, Ochrana před škodlivým kódem, Bezpečné předávání informací, řízení technických zranitelností, bezpečné používání mobilních zařízení, dlouhodobé ukládání a archivace informací, fyzická bezpečnost, bezpečnost sítě, využití a údržba nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí (KII). internal
10/31/2014
14
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (V) Organizační opatření – Organizační bezpečnost Je zavedena organizace řízení bezpečnosti, včetně rolí a určení jejich pravomocí a odpovědností? Je stanoven výbor pro řízení kybernetické bezpečnosti? Jsou zřízeny tyto role (KII)? Manažer kybernetické bezpečnosti Architekt kybernetické bezpečnosti
GAP analýza - Příklad
Auditor kybernetické bezpečnosti Garant aktiva Organizační opatření – Bezpečnostní požadavky pro dodavatele Jsou stanovena pravidla pro dodavatele? Jsou dodavatelé podílející se na rozvoji a provozu IS nebo KS řízení formou ustanovení o bezpečnosti informací ve smlouvě? Jsou hodnocena rizika spojená s dodávkami dodavatelů (KII)? Jsou uzavírány s dodavateli smlouvy o úrovni služeb (KII)? Provádí se pravidelné hodnocení rizik (KII)?
internal
10/31/2014
15
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (VI) Organizační opatření – Bezpečnostní lidských zdrojů Je stanoven plán rozvoje bezpečnostního povědomí? Je zajištěno poučení formou vstupních a pravidelných školení? Je zjištěna kontroly dodržování bezpečnostní politiky?
GAP analýza - Příklad
Je zajištěno vrácení svěřených aktiv a odebrání přístupových práv při ukončení smluvního vztahu? Jsou vedeny přehledy o školeních a absolventech? Jsou stanovena pravidla pro určení bezpečnostních rolí, uživatelů a administrátorů (KII)? Je hdnocena účinnost plánu rozvoje (KII)? Jsou určena pravidla pro řešení porušení bezpečnostních pravidel/politik (KII)? Jsou zajištěny změny přístupových oprávnění při změně zařazení (KII)?
internal
10/31/2014
16
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (VII) Organizační opatření – Řízení provozu a komunikací Jsou detekovány a vyhodnocovány kybernetické bezpečnostní události? Je zajištěn bezpečný provoz? Zajištění oddělení vývojového, testovacího a produkčního prostředí (KII) Řešení reaktivních opatření vydaných NBÚ (KII) Určení pravidel a postupů pro ochranu informací (KII)
GAP analýza - Příklad
Bezpečné předávání informace dle právních předpisů či na základě smluv (KII) Jsou stanovena provozní pravidla a postupy? Práva a povinnosti pro bezpečnostní role, uživatele a administrátory (KII) Spuštění, ukončení, restart (KII) Sledování KBU a přístupu k záznamům (KII) Spojení na kontaktní osoby –řešitele podpory (KII) Řízení a schvalování změn (KII) Řízení kapacity lidských zdrojů (KII)
internal
10/31/2014
17
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (VIII) Organizační opatření – Řízení přístupu a bezpečné chování uživatelů Jak je řízení přístup uživatelů? Zavázali se uživatelé k ochraně autorizačních údajů? Mají všichni uživatelé přidělen samostatný identifikátor (KII)? Je přidělování administrátorských práv omezeno (KII)? Je přidělování a odebrání přístupových oprávnění řízeno politikou řízení přístupu (KII)?
GAP analýza - Příklad
Jsou přezkoumávána nastavení přístupových oprávnění (KII)? Jsou zavedena bezpečnostní opatření pro mobilní zařízení nebo zařízení, která nevlastníme (KII)? Organizační opatření – Akvizice, vývoj a údržba Jsou stanoveny bezpečnostní požadavky při změnách IS nebo KS? Jsou akvizice, vývoj, údržba zohledněny v analýze rizik (KII)? Je zajištěna bezpečnost vývojového prostředí a ochrana testovacích dat (KII)? Je prováděno bezpečnostní testování změn IS nebo KS před zavedením do provozu (KII)?
internal
10/31/2014
18
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (IX) Organizační opatření – Zvládání KBU a KBI Jak je zajištěno hlášení KBI? Jak je připraveno prostředí pro vyhodnocení KBU? Jak jsou klasifikovány KBI a přijímána opatření na jejich odvrácení/zmírnění? Jsou vyhodnocovány příčiny KBI a nastavuje opatření proti opakování? Jsou dokumentovány procesy zvládání KBI? Organizační opatření – Řízení kontinuity činností Jsou stanovena práva a povinnosti pro garanty aktiv, administrátory a bezpečnostní role?
GAP analýza - Příklad
Jsou stanoveny cíle řízení kontinuity formou: Minimálních přijatelná úroveň poskytovaných služeb Dob obnovení chodu na minimální přijatelnou úroveň Bodů obnovení dat Jsou stanoveny strategie řízení kontinuity činností, obsahující naplnění cílů řízení kontinuity? Jsou vyhodnocovány možné dopady KBI (KII)? Jsou stanoveny, aktualizovány a pravidelně testovány plány kontinuity (KII)? Jsou realizována opatření pro zvýšení odolnosti IS nebo KS (KII)? Jsou stanoveny a aktualizovány postupy pro provedení opatření vydaných NBÚ (KII)?
internal
10/31/2014
19
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (X) Organizační opatření – Kontrola a audit Jsou dokumentovány požadavky relevantních právních a regulatorních předpisů a smluvních závazků?
GAP analýza - Příklad
Jsou prováděny pravidelné kontroly dodržování bezpečnostní politiky? Jsou zohledněny výsledky kontrol v plánu rozvoje bezpečnostního povědomí a plánu zvládání rizik? Je audit prováděn osobou s odborností role bezpečnostní auditor (KII)? Je prováděna kontrola zranitelnosti automatizovanými nástroji a podle výsledku zaváděna opatření (KII)?
internal
10/31/2014
20
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (XI) Technická opatření – Fyzická bezpečnost Je zamezeno neoprávněnému vstupu, poškozením, zásahům a kompromitaci aktiv? Jak je zajištěna ochrana objektů, ochrana vymezených prostor s technickými aktivy, ochrana jednotlivých technických aktiv (KII)? Technická opatření – Nástroj pro ochranu integrity komunikačních sítí Jak je zajištěna ochrana integrity rozhraní vnější a vnitřní sítě? Jak je řízen přístupu mezi vnější a vnitřní sítí? Jak je provedena segmentace pomocí DMZ? Je šifrován vzdálený přístupu a přístup pomocí bezdrátových technologií?
GAP analýza - Příklad
Jak jsou odstraňovány či blokovány informace, které neodpovídají požadavkům na ochranu integrity KS? Je integrita vnitřní sítě ochraňována její segmentací (KII)? Technická opatření – Nástroj pro ověřování identity uživatelů Zajišťují nástroje pro ověření identity následující? Ověření identity všech uživatelů a administrátorů Minimální délka hesla je 8 znaků (15 znkaů u administrátorů – KII) Minimální složitost hesla vyžaduje alespoň 3 ze 4 parametrů: jedno velké písmeno, jedno malé písmeno, jednu číslici a jeden speciální znak Maximální doba platnosti hesla je 100 dní Zajištění kontroly dříve použitých hesel (KII) Zamezení více násobné změně hesla během definovaného období (KII) internal
10/31/2014
21
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (XII) Technická opatření – Nástroj pro řízení přístupových oprávnění Jaký nástroj pro řízení přístupových oprávnění je použit? Zajišťuje následující? Řízení oprávnění uživatelů pro přístup k aplikacím a datovým souborům Řízení oprávnění pro čtení, zápis dat a pro změna oprávnění
GAP analýza - Příklad
Záznam použití přístupových oprávnění (KII) Technická opatření – Nástroj pro ochranu před škodlivým kódem Je použit a pravidelně aktualizovány signatury a definice nástroje pro antivirovou ochranu Ověřující a kontrolující komunikaci mezi vnější a vnitřní sítí, Ověřující a kontrolující servery a sdílená datová úložiště, Ověřující a kontrolující pracovní stanice?
internal
10/31/2014
22
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (XIII) Technická opatření – Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů Je použit nástroj pro zaznamenávání činností zajišťujícího následující? Sběr informací o provozních a bezpečnostních událostech Zaznamenání alespoň typ činnosti , přesný čas události (synchronizace času min. každých 24 hodin), identifikace technického aktiva, který činnost zaznamenal, identifikace původce a místa činnosti, úspěšnost či neúspěšnost činnosti Ochranu informací před neoprávněným čtením a změnou Jsou zaznamenávány zejména tyto události?
GAP analýza - Příklad
přihlášení a odhlášení uživatelů a administrátorů činnosti provedené administrátory činnosti vedoucí ke změně oprávnění neúspěšné činnosti spuštění a ukončení práce systému varovná nebo chybová hlášení přístupy logům, pokus o manipulaci použití mechanismů identifikace a autentizace, včetně změn údajů k přihlášení Jsou logy uchovávány min. 3 měsíce (KII)?
internal
10/31/2014
23
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (XIV) Technická opatření – Nástroj pro detekci KBU Jaký nástroj pro detekci KBU je použit? Jak je zajištěno ověření, kontrola a případné blokování komunikace mezi vnitřní a vnější sítí ? Je ověřována, kontrolována a případně blokována komunikace v rámci vnitřní komunikační sítě (KII)?
GAP analýza - Příklad
Je ověřována, kontrolována a případně blokována komunikace v rámci určených serverů (KII)? Technická opatření – Nástroj pro sběr a vyhodnocování KBU Jaký nástroj pro sběr a vyhodnocení KBU je použit (KII)? Jsou poskytovány informace o KBU bezpečnostním rolím (KII)? Jsou nepřetržitě vyhodnocovány KBU (KII)? Je stanovena bezpečnostní politika pro použití a údržbu nástroje (KII)? Je prováděna pravidelná aktualizace nastavených pravidel pro zpřesnění chodu nástroje pro vyhodnocování KBU (KII)? Je zajištěno využívání získaných informací o KBU k optimalizaci bezpečnostních vlastností ICT (KII)?
internal
10/31/2014
24
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (XV) Technická opatření – Aplikační bezpečnost Jsou prováděny bezpečnostní testy aplikací, které jsou přístupné z vnější sítě před uvedením do provozu a po každé zásadní změně bezpečnostních mechanizmů? Je zajišťována ochrana aplikací a informací dostupných z vnějších sítí před neoprávněnou činností, popřením provedených činností, kompromitací nebo neautorizovanou změnou,
GAP analýza - Příklad
transakcí před nedokončením, nesprávným směrováním, neautorizovanou změnou, kompromitací, neautorizovaným duplikováním, opakováním (KII)? Technická opatření – Kryptografické prostředky Je stanovena bezpečnostní politika pro používání kryptografické ochrany? Typ a síla kryptografického algoritmu Ochrana citlivých dat při přenosu po KS, při uložení na mobilní zařízení nebo na vyměnitelná média Jsou kryptografickými prostředky zajištěny Ochrana důvěryhodnosti a integrity předávaných nebo ukládaných dat, Prokázání odpovědnosti za provedené činnosti?
internal
10/31/2014
25
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (XVI) Technická opatření – Kryptografické prostředky Kryptografické algoritmy (příloha 3) Symetrické algoritmy –blokové a proudové šifry AES (128,192,256), RC4(min. 128), SNOW 2.0 (128,256) … Omezené použití pro 3DES(168)... =>migrace na AES Symetrické algoritmy –šifrovací módy pro integritu dat
GAP analýza - Příklad
HMAC, CBC-MAC-EMAC,CMAC Omezené použití pro CBC-MAC-X9.19 Asymetrické algoritmy –pro technologii digitálního podpisu DSA (min. 2048,224), EC-DSA(min. 224), EC-DSA (min. 224), RSA PSS (min. 2048) Asymetrické algoritmy –pro procesy dohod na klíči a šifrování klíčů Diffie-Hellman (min.2048,224), ECDH (min.224), ECIES-KEM (min.256), PSEC-KEM (min.256), (ACE-KEM (min.256), RSA-OAEP (min.2048), RSAKEM (min.2048) Algoritmy hashfunkcí SHA2 (SHA-224, SHA-256, SHA-384, SHA-512/224, SHA-512/256) RIPEMD-160, Whirpool, SHA1 nepoužívatv podepisovaných algoritmech
internal
10/31/2014
26
Kybernetická (ne)bezpečnost Průběh GAP analýzy a dopady do jednotlivých oblastí v rámci organizace (XVII) Technická opatření – Nástroje pro zajišťování vysoké úrovně dostupnosti Jsou použity nástroje pro vysokou úroveň dostupnosti a odolnosti, které zajistí následující (KII)? Potřebná úroveň kontinuity činností Odolnost vůči útokům (KBU) na snížení dostupnosti
GAP analýza - Příklad
Zálohování důležitých technických aktiv Využití redundance v návrhu Zajištění výměny vadných technických aktiv v definovaném čase Technická opatření – Bezpečnost průmyslových a řídících systémů Je omezen fyzický přístup k průmyslovým a řídícím systémům (KII)? Je omezeno propojení a vzdálený přístup k průmyslovým a řídícím systémům (KII)? Je zajištěna ochrana jednotlivých technických aktiv před známými zranitelnostmi (KII)? Je zajištěno obnovení chodu po kybernetickém bezpečnostním incidentu (KII)?
internal
10/31/2014
27
Kybernetická (ne)bezpečnost Jak si vybrat správného partnera? Několik desítek odborníků s letitými zkušenostmi v oblasti bezpečnosti Soudní znalci v oboru ICT (zaměření na bezpečnost) CISSP Certified Information Systems Security Professional
Náš tým (I)
CISA
Certified Information Systems Auditor
CISM
Certified Information Security Manager
CRISC
Certified in Risk and Information Systems Control
GCIH
GIAC Certified Incident Handler
GWAPT
GIAC Certified Web Application Penetration Tester
CISSP-ISSAP PRINCE2
Certified Information Systems Security Professional – Information Systems Security Architecture Profesional GIAC Foundation Certified
COBIT TOGAF9
Project in controlled environment Foundation certified Project in controlled environment Foundation certified
CGEIT ISMS Manager
Certified in Governance of Enterprise IT ISMS Manager according to ISO/IEC 27001:2005
CCNA MCSE
Routing and Switching CISCO Network Associate Microsoft Certified Systems Engineer
internal
10/31/2014
28
Kybernetická (ne)bezpečnost Jak si vybrat správného partnera? Několik desítek odborníků s letitými zkušenostmi v oblasti bezpečnosti ASE Compaq Accredited systems engineer ( SCO, UnixWare ) SCSECA Solaris Sun Certified Security Administrator Master ACE SCO Advanced Systems Engineer (UnixWare)
Náš tým (II)
STA
Symantec Technology Architect - Virus Protection and Content Filtering
ITIL V3
Information Technology Infrastructure Library
Radware
Radware Network IAS Certified
CEH+
Certified Ethical Hacker
ArcSight/ISM eCPPT
SIEM solution eLearnSecurity Certified Professional Penetration Tester
Mezinárodní týmy desítek odborníků specializovaných na testování dostupných technologií Zkušenost s řízením bezpečnosti v nadnárodních organizacích (Český tým DR SSC je zodpovědný za prosazování bezpečnosti v regionu EMEA) Zkušenost s řízením bezpečnosti na úrovni středně velké organizace (GTS, T-Systems) Zkušenost s řízením bezpečnosti na úrovni velké organizace (T-Mobile) NBÚ
internal
10/31/2014
29
BACKUP
internal
10/31/2014
30
Kybernetická (ne)bezpečnost Základní pojmy (I) Kybernetický prostor (zákonný pojem – § 2, písm. a ZKB) Digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a sítěmi elektronických komunikací Kybernetická bezpečnost (zákonný pojem – § 2, písm. b ZKB) Souhrn právních, organizačních, technických a vzdělávacích prostředků k zajištění ochrany kybernetického prostoru (zajištění bezpečnosti – tedy Důvěrnosti, Dostupnosti a Integrity – § 2, písm. d ZKB) Aktivum (odborná definice) Cokoliv, co má (pro organizaci) hodnotu
Základní pojmy
Hrozba (odborná definice) Potenciální příčina nežádoucího incidentu, který může mít za následek poškození systému nebo organizace Zranitelnost (odborná definice) Slabé místo aktiva nebo skupiny aktiv, které může být využito jednou nebo více hrozbami Dopad (odborná definice) výsledek nežádoucího incidentu Riziko (odborná definice) Potenciální možnost, že daná hrozba způsobí poškození nebo zničení aktiv
internal
10/31/2014
31
Kybernetická (ne)bezpečnost Základní pojmy (II) Kybernetická bezpečnostní událost (zákonný pojem – § 8, odst. 1 ZKB) Událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací Kybernetický bezpečnostní incident (zákonný pojem – § 8, odst. 2 ZKB) Kybernetická bezpečnostní událost, která představuje narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací Kybernetický útok (odborná definice) Neletální útok, vedený proti ICT s cílem narušit dostupnost, důvěrnost či integritu aktiv
Základní pojmy
Hacktivismus (odborná definice) Způsob hackingu, phreakingu, nebo vytváření technologií k dosažení politických nebo společenských cílů Kybernetická válka (právní definice) Konflikt, ve kterém došlo k hromadnému nasazení kybernetických „zbraní“ (analogie s jadernou válkou) Pokračování politiky jinými prostředky (Clausewitzovské paradigma) Stav, kdy právní poměry válčícího státu se na mezinárodní i vnitrostátní úrovni řídí válečným právem bez ohledu na to, zda je o válku mezinárodním právem dovolenou nebo nedovolenou Je zapojení státu nezbytné, nebo stačí účast mocenské skupiny, byť v některých zemích neoddělitelné od vládních kruhů (a někde i podsvětí)?
internal
10/31/2014
32
Kybernetická (ne)bezpečnost Základní pojmy (III) Kybernetický terorismus (právně-odborná definice) Neletální politicky nebo sociálně motivovaný útok vedený proti ICT, případně za jejich použití, za účelem zastrašení či donucení skupiny osob (vedený proti státu či mezinárodní organizaci)
Základní pojmy
Vektor útoku (odborná definice) Způsob, jakým je veden útok (attack vector) Povrch útoku (odborná definice) Cíle společnosti, které jsou vystaveny hrozbám, a mohou se stát předmětem útoku (attack surface)
internal
10/31/2014
33
Kybernetická (ne)bezpečnost Právní a normativní rámec (I) ISO/IEC FDIS 27032 - Information technology — Security techniques — Guidelines for cybersecurity ISO/IEC 27005 - Information technology – Security techniques – Information security risk management ISO/IEC 27001 - Information technology – Security techniques – Information security management systems – Requirements ISO/IEC 27002 - Information technology – Security techniques – Code of practice for information security management
Normativní rámec
ISO/IEC TR 18044 - Information technology – Security techniques – Information security incident management ISO/IEC 27035 - Information technology – Security techniques – Information security incident management ISO/IEC 27031 - Information technology – Security techniques – Guidelines for ICT readiness for business continuity ISO/IEC 24762 - Information technology – Security techniques – Guidelines for information and communications technology disaster recovery services ISO/IEC TR 14516 - Information technology – Security techniques – Guidelines for the use and management of Trusted Third Party services ISO/IEC 29100 - Information technology – Security techniques – Privacy framework ITU-T X.12xx & ITU-T X.15xx Series
internal
10/31/2014
34
Kybernetická (ne)bezpečnost Právní a normativní rámec (II) Trestní zákoník (zákon č. 40/2009 Sb., Úmluva o počítačové kriminalitě) Ekonomicky motivované útoky (hospodářská kriminalita) nejsou předmětem našeho zájmu – padělání (§§ 234, 236, 238), porušení autorského práva (§ 270) Nezákonné získání přístupu k počítačovému systému (§§ 230, 183/1; čl. 2) Nezákonný odposlech počítačového systému technickými prostředky (§ 182/1; čl. 3) Neoprávněné poškození, vymazání, snížení kvality, pozměnění nebo potlačení počítačových dat (§ 230/2b; čl. 4)
Právní rámec
Omezování funkčnosti počítačového systému pomocí manipulace s počítačovými daty (§ 230/2 a 3; čl. 5) Výroba, prodej, opatření za účelem použití, držení, dovoz, distribuci a zpřístupňování zařízení, která jsou vytvořena nebo uzpůsobena k páchání trestných, nebo přístupových hesel, kódů a podobných počítačových dat, pokud má pachatel v úmyslu tato zařízení nebo kódy použít ke spáchání trestných činů (§§ 231, 234; čl. 6) Počítačové padělání (§ 230/2c; čl. 7) Počítačový podvod (§§ 209 + 120 ;čl. 8) Poškození dat a zásah z nedbalosti (§ 232)
internal
10/31/2014
35
Kybernetická (ne)bezpečnost Právní a normativní rámec (III) Statutární orgán, osoba oprávněná jednat za PO, osoba řídící (kontrolní), osoba s rozhodujícím vlivem na řízení, zaměstnanec při plnění pracovních úkolů
Zákon o trestní odpovědnosti právnických osob (zákon č. 418/2011 Sb.) Porušení tajemství dopravovaných zpráv (§ 182) Nakládání s dětskou pornografií (§ 192) Ohrožování výchovy dítěte (§ 201) Podvod (§ 209) Podílnictví z nedbalosti (§ 215) Neoprávněný přístup k počítačovému systému a nosiči informací (§ 230) Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat (§ 231)
Právní rámec
Poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti (§ 232) Teroristický útok (§ 311) Neoprávněné opatření, padělání a pozměnění platebního prostředku (§ 234) Výroba a držení padělatelského náčiní (§ 236) Porušení autorského práva, (§ 270) Vývoj, výroba a držení zakázaných bojových prostředků (§ 280) Teroristický útok (§ 311) Hanobení národa, rasy, etnické nebo jiné skupiny osob (§ 355) Podněcování k nenávisti nebo k omezování práv a svobod (§ 356)
internal
10/31/2014
36
Kybernetická (ne)bezpečnost Právní a normativní rámec (IV) Zákon o kybernetické bezpečnosti (zákon č. 181/2014 Sb.) Vymezuje základní pojmy v oblasti kybernetické bezpečnosti Ustavuje základní orgány (Národní CSIRT, Národní CERT, Vládní CERT) Definuje povinné subjekty
Právní rámec
Vymezuje povinnosti v oblasti prosazování kybernetické bezpečnosti Provádí změny v některých zákonech (412/2005 Sb., 127/2005 Sb.) Vyhláška k ZKB Soubor bezpečnostních opatření Usnesení vlády o KII Kritéria pro VIS Gestorem a řešitelem je NBÚ
internal
10/31/2014
37
Kybernetická (ne)bezpečnost Právní a normativní rámec (V) Zákon o elektronických komunikacích (zákon č. 127/2005 Sb.) Sada pravidel pro operátory Povinnost uchovávat a ochraňovat osobní, lokalizační a provozní údaje Povinnost ochraňovat bezpečnost a integritu komunikačních sítí a služeb Nad dodržováním povinností bdí ČTÚ Autorský zákon (zákon č. 121/2000 Sb.)
Právní rámec
Ochrana autorských děl (i SW a DB) Zákon o ochraně osobních údajů (zákon č. 101/2000 Sb.) Ochrana subjektu údajů Nad dodržováním povinností bdí ÚOOÚ Listina základních práv a svobod (ústavní zákon č. 2/1993 Sb.) Ochrana soukromí Nad dodržováním povinností bdí justice Občanský zákoník (zákon č. 89/2012 Sb.) Ochrana osobnosti Nad dodržováním povinností bdí justice
internal
10/31/2014
38
Kybernetická (ne)bezpečnost Sankce (I) Trestní zákoník (zákon č. 40/2009 Sb) Opatřování a přechovávání platebního prostředku (§ 234): 1–5 let + náhrada škody a ušlého zisku v civilním řízení
Padělání platebního prostředku (§ 234): 3–8 let Výroba a držení padělatelského náčiní (§ 236): 2 roky (1–5 let při výkonu zaměstnání) Nezákonné získání přístupu k počítačovému systému (§ 230, odst. 1): 1 rok Manipulace s daty/omezení funkčnosti (§ 230, odst. 2): 2 roky Manipulace s daty se záměrem způsobit škodu (§ 230, odst. 3): 0,5–3 roky Neoprávněné získávání credentials (§ 231, odst. 1): 1 rok
Sankce – Trestní zákoník
Poškození dat a zásah z nedbalosti (§ 232): 0,5 roku Zneužití osobních údajů při výkonu veřejné moci s vážnou újmou (§ 180, odst. 1): 3 roky Porušení listinného tajemství (§ 183, odst. 1): 1 rok Pomluva (§ 183): 1 rok Počítačové padělání (§ 230, odst. 2): 2 roky Počítačový podvod (§§ 209 + 120): 2 roky (1–5 let při způsobení větší škody) Porušení autorského práva – napodobení díla, DB (§ 270): 3 roky (1–6 let při způsobení větší škody) Nezákonný odposlech počítačového systému technickými prostředky (§ 182): 2 roky Vývoj, výroba a držení zakázaných bojových prostředků (§ 280): 2–8 let
internal
10/31/2014
39
Kybernetická (ne)bezpečnost Sankce (II) Zákon o trestní odpovědnosti právnických osob (zákon č. 418/2011 Sb.) § 16 Zrušení právnické osoby § 17 Propadnutí majetku
Sankce – Trestní odpovědnost právnických osob
§ 18 Peněžitý trest § 19 Propadnutí věci nebo jiné majetkové hodnoty § 20 Zákaz činnosti § 21 Zákaz plnění veřejných zakázek, účasti v koncesním řízení nebo ve veřejné soutěži § 22 Zákaz přijímání dotací a subvencí § 23 Uveřejnění rozsudku
+ náhrada škody a ušlého zisku v civilním řízení
internal
10/31/2014
40
Kybernetická (ne)bezpečnost Sankce (III) Zákon o kybernetické bezpčnosti (zákon č. 181/2014 Sb.) Správní delikty (operátoři § 29, odst. 1) Neprovedení protiopatření vydaných NBÚ za stavu KN: pokuta 100.000 CZK
Sankce – Kybernetická bezpečnost
Nesplnění povinnosti uložené nápravným opatřením: pokuta 100.000 CZK Správní delikty (správci KII, VIS § 29, odst. 2) Nezavedení bezpečnostního opatření, nevedení bezpečnostní dokumentace: pokuta 100.000 CZK Neohlášení KBI: pokuta 100.000 CZK Neprovedení protiopatření obecné povahy: pokuta 100.000 CZK Neoznámení kontaktních údajů NBÚ: pokuta 10.000 CZK Nesplnění povinnosti uložené nápravným opatřením: pokuta 100.000 CZK
internal
10/31/2014
41
Kybernetická (ne)bezpečnost Sankce (IV) Autorský zákon (zákon č. 121/2000 Sb.) Správní delikty (PO, § 105b)
Sankce – Autorský zákon
Neoprávněné užití autorského díla: pokuta 150.000 CZK Neoprávněný zásah do autorského práva (obcházení účinných technických prostředků ochrany práv; výroba, dovoz, příjem, šíření, prodej, pronájem, propagace, držení k obchodním účelům prostředků, které obcházení práv umožňují; zastírání porušování prán – například odstraněním vodoznaku): pokuta 100.000 CZK Nesplnění oznamovací povinnosti: pokuta 50.000 CZK
+ náhrada škody a ušlého zisku
internal
10/31/2014
42
Kybernetická (ne)bezpečnost Sankce (V) Zákon o ochraně osobních údajů (zákon č. 101/2000 Sb.) Správní delikty (PO, § 45, 45a) Nestanovení účelu: pokuta 5.000.000 CZK Zpracování nepřesných údajů: pokuta 5.000.000 CZK
Sankce – Osobní údaje a soukromí
Zpracování údajů v rozporu s účelem: pokuta 5.000.000 CZK Uchování údajů po dobu delší než je nutná: pokuta 5.000.000 CZK Zpracování údajů bez souhlasu subjektu: pokuta 5.000.000 CZK Neposkytnutí informací subjektu: pokuta 5.000.000 CZK Nepřijetí opatření dle § 13: pokuta 5.000.000 CZK Nesplnění oznamovací povinnosti: pokuta 5.000.000 CZK Nevedení evidence incidentů: pokuta 5.000.000 CZK
internal
10/31/2014
43
Dotazy?
Mgr. David C. HÁJÍČEK, LL. M., CISA, CISM, CISSP je soudním znalcem v oboru Kybernetika, se specializací na bezpečnost informačních systémů, technologií a elektronických komunikací. V oblasti ICT bezpečnosti působí od roku 2002. internal
10/31/2014
44
