Přehled a hodnocení současných národních strategií/koncepcí informační bezpečnosti Jiří Vondrášek senior manager odd. řízení rizik a poradenské služby 14.3.2007 Kongresové centrum hotelu Olšanka Praha Odborná konference Quality&Security 2007
Obsah Úvod Motivy a podněty ke stanovení obsahu této přednášky Významné rysy moderní informační společnosti a potřeba cyber security Účel přednášky Hlavní informační zdroje Hlavní výsledky provedených šetření a hodnocení Porovnání stavu v ČR a hodnocení zapojení ČR do mezinárodní spolupráce Shrnutí 2
Významné rysy moderní informační společnosti Klíčové sektory moderní společnosti jmenovitě energetika (energie, ropa a zemní plyn, jaderná energie), doprava (letecká, železniční, silniční, lodní a kosmická), prosazování práva a zákonů (obrana, policie, zpravodajské služby a soudnictví), ICT (datové sítě a telekomunikace), finanční sektor (banky, trhy a obchod, finanční instrumenty a pojišťovny) a veřejné zdravotnictví (zdravotní péče, hygienická zařízení, zajišťovaní vody) se stávají stále více závislé na strukturách ICT, protože s jejich pomocí zvyšují svoji efektivnost a účinnost. Informační infrastruktura, tvořená souborem vzájemně propojených počítačových systémů a sítí a také důležitými informacemi tekoucími mezi nimi, je charakteristická tím, že je přítomná všude, protože propojuje ostatní infrastrukturní systémy. Tím se také odlišuje od ostatních infrastruktur. 3
Významné rysy moderní informační společnosti Aby řádně běžely důležité procesy, na kterých je informační společnost závislá, musí současně a ve vzájemné součinnosti správně fungovat zdánlivě nekonečná série drobných detailů, a mi to považujeme za samozřejmost. Jediná chybka, malá anomálie (odchylka), tak nepatrná, že je fakticky nemožné ji předvídat, může teoreticky iniciovat složitý řetězec událostí (jevů), jejichž efekt se projeví na národní případně dokonce na globální úrovni.
4
Moderní informační společnost přináší přirozeně i ohrožení informační infrastruktury Bohužel, důležitou stinnou stránkou tohoto fenoménu je, že kriminální živly si v informační infrastruktuře našly nové cíle, aby jejím zneužíváním, poškozováním a dalšími kriminálními činy uskutečněnými jejím prostřednictvím otřásaly základy naší společnosti. Je známým faktem, že hrozby proti tzv. „kritické informační infrastruktuře“ nerespektují funkcionální ani geografické hranice, a že různé sektory mezi sebou sdílejí nejen vzájemné závislosti, ale i slabiny/nedostatky/zranitelnosti přesahující hranice mezi nimi. Ochrana kritických informačních infrastruktur proti jakémukoli narušení (dostupnosti, integrity, důvěrnosti) jejích funkcí je rozhodujícím faktorem, který ovlivňuje udržení vnitrostátní stability a zajištění národní bezpečnosti.
5
Snahy moderní informační společnosti o zajištění kybernetické bezpečnosti Proto prakticky každá vyspělá země nyní věnuje prostředky a úsilí, aby chránila svoji „kritickou informační infrastrukturu“, a snaží se také poučit ze zkušenosti ostatních zejména vedoucích států v této oblasti. Nezbytným se stává vybudovat silné mezinárodní partnerství mezi vládami, vlastníky kritické infrastruktury (nejen informační) a jejími provozovateli.
6
Snahy moderní informační společnosti o zajištění kybernetické bezpečnosti Bezpečnost kybernetického prostoru (cyberspace) se stává důležitým činitelem ve většině rozvinutých zemích a vlády po celém světě dnes věnují významné úsilí a prostředky na zajištění kybernetické bezpečnosti (cyber-security). Deklarace principů budování informační společnosti na Světovém summitu Informační společnosti (WSIS) v r. 2003 a dvě rezoluce OSN (57/239, 58/199) správně stanovily, že předpokladem pro rozvoj informační společnosti a budování důvěry mezi uživateli ICT je celosvětová/globální výchova ke kybernetické bezpečnosti.
7
Snahy moderní informační společnosti o zajištění kybernetické bezpečnosti Mnoho významných mezinárodních organizací se vyrovnalo s těmito výzvami a učinilo kroky ke zvýšení povědomí, ustavení mezinárodních partnerství a k přijetí společných pravidel a praktik. Mezi významné organizace počítáme: Evropskou unii Skupinu G8 NATO (Nort Atlantic Treaty Organisation) OECD (Organisation for Economic Cooperation and Development) OSN (United Nations) Skupinu Světové banky (World Bank Group)
8
Účel přednášky Seznámit posluchače s hlavními a důležitými úspěchy a stavem, kterých dosáhly vedoucí státy světa v oblasti bezpečnosti kybernetického prostoru a i s nedořešenými a nově vzniklými problémy v této oblasti. Upozornit na hlavní mezinárodní aktivity a příklady vzájemné spolupráce, které jsou v současné době hnacím motorem dalšího rozvoje a zdrojem poučení pro všechny státy a zainteresované strany. Seznámit posluchače s informačními zdroji, kde mohou získat další podrobnější informace. Porovnat stav v České republice a ohodnotit zapojení České republiky do mezinárodních aktivit.
9
Hlavní informační zdroje použité pro zpracování přednášky International CIIP Hanbook 2006 Vol. I An inventory of 20 national and 6 international critical information infrastructure protection policies; Isabelle Abele-Wigert and Myriam Dunn, Center for Security Studies, ETH Zurich. International CIIP Handbook 2006 Vol. II Analyzing issues, chellenges, and prospects; Myriam Dunn and Victor Mauer (eds.), Center for Security Studies, ETH Zurich. Convention on Cybercrime CEST No. 185, Council of Europe Convention on Cybercrime http://conventions.coe.int/Treaty/en/Treaties/Html/185.htm OECD - Culture of Security for Information Systems and Networks http://www.oecd.org/site/0,2865,en_21571361_36139259_1_1_1_1_1,00.ht ml European Network and Information Security Agency (ENISA) http://www.enisa.europa.eu/pages/country_pages.htm
10
Hlavní výsledky provedených šetření a hodnocení
11
Státy a mezinárodní organizace sledované v International CIIP Handbook 2006 Státy Austrálie Rakousko Kanada Finsko Francie Německo Indie Itálie Japonsko Korea Malajsie Holandsko Nový Zéland Norsko Rusko Singapur Švédsko Švýcarsko Velká Britanie USA
Mezinárodní organizace Evropská unie Skupina G8 NATO OECD OSN Skupina Světové banky
12
Hlavní zjištění uvedená v International CIIP Handbook 2006 Ve všech sledovaných státech je ochrana kritické informační infrastruktury zahrnuta do ochrany kritické infrastruktury, včetně činností ochrany, detekce, reakce a obnovy. V mnoha zemích však chybí rozlišení mezi ochranou kritické informační infrastruktury a ochranou kritické infrastruktury. Oba termíny se při užívání zaměňují. Vládní představitelé se shodují v tom, že uznávají nutnost partnerství mezi vlastníky a provozovateli infrastruktury na jedné straně a vládami na druhé straně. 13
Hlavní zjištění uvedená v International CIIP Handbook 2006 - Nejčastěji uváděná kritická odvětví Bankovnictví a finance Centrální státní správa / služby státní správy (Tele-)komunikace / Informační a komunikační technologie Služby záchranného / krizového systému Energetika / Rozvod elektřiny Zdravotnické služby Doprava / Logistika/Distribuce Zásobování vodou
14
Hlavní zjištění uvedená v International CIIP Handbook 2006 – Iniciativy a politiky Všechny sledované státy prokázaly, že jejich vlády mají nějakou politiku kybernetické bezpečnosti (cybersecurity policy), která je v různých stádiích implementace. Některé státy mají politiku, která vynucuje stanovená pravidla, jiné státy mají jen sadu doporučení. Politiky mají různé podoby a formy, v rozsahu od závazné politiky soustřeďující se na rutinní provoz infrastruktur a otázky jako je soukromí a standardy, až po zahrnutí kybernetické bezpečnosti do obecnějšího rámce opatření proti terorizmu. 15
Hlavní zjištění uvedená v International CIIP Handbook 2006 – Iniciativy a politiky V zemích jako Francie, Nový Zéland a Švédsko je zajištění ochrany kritické informační infrastruktury svěřeno rezortu obrany. V jiných státech jako Velká Británie nebo Švýcarsko se o ochranu kritické informační infrastruktury společně starají podnikatelské subjekty a veřejné instituce. V Austrálii, USA a na Novém Zélandě je ochrana kritické informační infrastruktury integrována do programu boje proti terorizmu, kde je zastřešena. Při tom hrají významnou roli i výzvědné služby. V Indii, Koreji, Japonsku, Singapuru, Finsku je na předním místě péče o informační společnost a ekonomický růst, které jsou realizovány za pomoci bezpečné informační infrastruktury. 16
Hlavní zjištění uvedená v International CIIP Handbook 2006 – Iniciativy a politiky Rusko je speciální případ z důvodu těsného propojení informační bezpečnosti a ochrany státního tajemství. Podle ruského pohledu zabezpečení informací zahrnuje nejenom (technickou) informační bezpečnost, ale také kontrolu volného toku informací a výměny informací (zejména informací, které mohou poškodit stát) a ochranu státního tajemství. Stát se stará o ochranu informačních systémů a informačních toků a navíc usiluje i o ochranu aktuálního informačního obsahu. 17
Hlavní zjištění uvedená v International CIIP Handbook 2006 – začlenění ochrany KII od IB Ve všech sledovaných státech je ochrana kritické informační infrastruktury zařazena do širšího souhrnného tématu informační bezpečnosti. V řadě případů se zabývá jenom strategií zajištění kontinuity kritických činností pod hlavičkou informační společnosti. jsou do ochrany kritické infrastruktury zahrnovány aspekty prosazování zákonnosti a prevence kriminality. Problémy ochrany dat / údajů jsou hlavním předmětem zájmu hnutí / skupin zajímajících se o občanská práva.
18
Hlavní zjištění uvedená v International CIIP Handbook 2006 – Potřeba partnerství Všechny státy uznávají význam partnerství privátního a veřejného sektoru (PPP). Vlády aktivně nabízejí sdílení informací s privátním sektorem, protože významné množství kritických infrastruktur je vlastněno nebo provozováno komerčními podniky. Vznikla celá řada různých typů partnerství: Partnerství, kde vedoucí roli má vláda Partnerství, kde vedoucí roli má komerční podnik Společné podniky s účastí státu i komerčních subjektů. Velmi silné vazby byly ustaveny mezi privátními podniky a vládními organizacemi ve Švýcarsku, Koreji, Velké Británii a USA.
19
Hlavní zjištění uvedená v International CIIP Handbook 2006 – Problém rovnováhy Jednou z velkých výzev do budoucna v řadě zemí je dosáhnout rovnováhy mezi bezpečnostními požadavky a nutností zajistit ekonomickou efektivnost. Snaha vyhovět majitelům, aby se maximalizoval zisk, často vede k minimalizování bezpečnostních opatření. Je to proto, že vedoucí pracovníci podniků podobně jako vedoucí političtí představitelé mají snahu nahlížet na kybernetické útoky vedené proti infrastruktuře, jako na riziko, které je možné tolerovat.
20
Hlavní zjištění uvedená v International CIIP Handbook 2006 – nutnost důvěry Partnerství veřejného a privátního sektoru je hlavně založeno na důvěře, takže sdílení informací je pravděpodobně nejvýznamnějším problémem v ochraně kritické informační infrastruktury. Přestože panuje všeobecný soulad v pozitivní aspekty PPP, jeho implementace zůstává nadále problémem. Je relativně jednoduché pro vládu a privátní subjekt shodnout se na existenci nějakého problému a na potřebě ho odstranit. Ale je často mnohem těžší se dohodnout na skutečných opatřeních, které musí být provedena, na odpovědnosti aktérů za jejich implementaci, na straně, která převezme právní odpovědnost za taková opatření a na straně, která ponese náklady za jejich implementaci.
21
Hlavní zjištění uvedená v International CIIP Handbook 2006 – Organizační upořádání Jen několik zemí vytvořilo centrální vládní organizaci, která se zabývá specificky jen problematikou kybernetické bezpečnosti. Ve většině případů je odpovědnost za kybernetickou bezpečnost rozložena mezi několik autorit a organizací spadajících pod různá ministerstva. Ochrana kritické informační infrastruktury je v mnoha případech svěřena organizaci nebo agentuře speciálně zřízené pro tento účel. Její vytvoření a umístění v hierarchii státní správy je závislé na specifických podmínkách každého státu.
22
Hlavní zjištění uvedená v International CIIP Handbook 2006 – Včasné varování Všeobecným trendem v ochraně kritické informační infrastruktury je zřizování organizačních útvarů včasného varování sloužících jako centrální kontaktní místo určené pro problematiku bezpečnosti informačních systémů a sítí. V řadě zemí byla vytvořena stála specializovaná analytická a zpravodajská centra, která jsou určená k tomu, aby rozhodování příslušných činitelů v oblasti kybernetické bezpečnosti (jak vládním tak z privátní sféry) bylo co nejefektivnější. Úkoly systémů včasného varování zahrnují i analýzy, sledování situace a také hodnocení technického rozvoje.
23
Hlavní zjištění uvedená v International CIIP Handbook 2006 – problematika zákonů Přestože se mnoho států zabývá ochranou a bezpečností informací (infrastruktury) a příslušnou legislativou několik let, k přehodnocení a adaptaci jejich legislativy (pro kybernetickou bezpečnost) došlo až po 11. září. Vzhledem k tomu, že národní zákony se vyvíjejí autonomně, některé země preferovaly rozšíření trestního práva a trestního zákoníku, a jiné státy vytvořily specifický zákon o kybernetické trestné činnosti. V souvislosti s legislativními procedurami ve sledovaných státech se diskutuje celá řada důležitých společných problémů. (viz. dále)
24
Hlavní zjištění uvedená v International CIIP Handbook 2006 – právní problémy Ochrana dat a bezpečnost elektronických komunikací (včetně přenosu dat, bezpečného uložení dat, atd.) Bezpečnost IT a požadavky na informační bezpečnost. Podvodné používání počítačů a počítačových systémů, ničení nebo padělání dat a podobné přečiny Ochrana osobních údajů a soukromí Identifikace a elektronické podpisy Odpovědnost při elektronickém obchodování a podnikání Mezinárodní harmonizace práva v oblasti kybernetické kriminality Minimální standardy informační bezpečnosti pro státní správu, poskytovatele služeb, provozovatele Infrastruktura veřejných klíčů a její regulace
25
Hlavní zjištění uvedená v International CIIP Handbook 2006 – faktory bránící prosazení zákonů Existují dva hlavní faktory, které mají vliv a v řadě případů brání efektivnímu prosazení zákonů, jeden má národní a druhý má mezinárodní rozměr. Chybí know-how nebo neexistují funkční právní instituty. Přestože má stát přísné zákony zakazující řadu činností, vynucení takových zákonů je často obtížné. Některé zákony v dané zemi chybí nebo jsou velmi odlišné od zákonů v zemích ostatních (disparita). Mnoho kriminálních činů jako krádež, vloupání a podobné jsou přečiny postižitelné ve většině zemí na světě, v oblasti kybernetické kriminality přetrvávají některé vážné disparity (odlišnosti).
26
V krátkosti poznatky z dalších důležitých iniciativ
27
Convention on Cybercrime CEST No. 185 Úmluvu vyhlásila Rada Evropy v Budapešti 23.11.2001 Většina členských států podepsala úmluvu 23.11. 2001 Úmluvu podepsalo i 5 zemí, které nejsou členy RE Stav ratifikace úmluvy ke dnešnímu dni: počet států, které podepsali a zatím neratifikovali 24 počet státu, které ratifikovali a přistoupily k zavedení 19
28
Culture of Security for information systems and networks OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security (Část I.) Guiding the development of effective national policies to address security threats and vulnerabilities in a global interconnected society, while preserving important societal values such as privacy and individual freedom. Developing a ”Culture of Security” across society so that security becomes an integral part of the daily routine of individuals, businesses, and governments in their use of ICTs and conduct of online activities. 29
Culture of Security for information systems and networks OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security (Část II.) Encouraging each participant to become aware of risks, assume responsibility and take steps to enhance the security of information systems and networks while respecting respect ethical values. Providing a clear reference framework based on 9 principles at policy and operational levels. Benefitting the broader international community: the United Nations, the Council of the European Union, APEC and ASEM have all recognised or used the Guidelines in their work.
30
Státy zapojené v aktivitě OECD – Culture of Security for information systems and networks Austrálie Rakousko Kanada Česká republika Finsko Francie Německo Irsko Itálie Japonsko
Korea Mexiko Holandsko Norsko Španělsko Švédsko Turecko Velká Británie USA
31
ENISA - the European Network and Information Security Agency ENISA: Is a Centre of Excellence for the EU Member States and EU Institutions in Network and Information Security, giving expert advice and recommendations Is a switchboard of information for best practices Facilitates contacts between the EU-institutions, the Members States and the private business & industry actors
32
Státy aktivně zapojené do agentury ENISA Rakousko Belgie Kypr Česká republika Dánsko Estonsko Finsko Francie Německo Řecko Maďarsko Irsko Itálie
Litva Lotyšsko Lucembursko Malta Holandsko Polsko Portugalsko Slovensko Slovinsko Španělsko Švédsko Velká Británie
33
Porovnání stavu v ČR a hodnocení zapojení ČR do mezinárodní spolupráce
34
Stav v ČR – úřady a organizace Státní úřady odpovědné za oblasti síťové a informační bezpečnosti Ministerstvo informatiky ČR Úřad pro ochranu osobních údajů ČTÚ Národní bezpečnostní úřad Další organizace aktivní v oblasti Sdružení ochrany spotřebitelů ČR CzeSI
35
Stav v ČR - iniciativy Národní strategie informační bezpečnosti – vydaná 6. března 2006 e-Česko 2006 – státní informační a komunikační politika schválená vládou Národní akční plán boje proti terorizmu - schválený vládou 10. dubna 2002 Bezpečnostní strategie České republiky – vydaná Ministerstvem zahraničních věcí 36
Zapojení ČR do mezinárodní spolupráce ČR je podepsala 23.11.2001 Convention on Crybercrime CEST No.185, zatím není ratifikována a nejsou zaváděna v úmluvě stanovaná opatření ČR je zapojena do iniciativy OECD – Culture of Security for information systems and networks ČR je zapojena do činnosti ENISA
37
Shrnutí
38
Shrnutí Hlavní problémy národních strategií / koncepcí Harmonizace zákonů v oblasti kybernetické bezpečnosti Zavedení a využívání skutečného partnerství a nastavení důvěry mezi veřejným a privátním sektorem Větší zapojení do mezinárodní spolupráce ČR je zapojena do významných mezinárodních aktivit ČR není možné počítat mezi vedoucí státy ve zvládání kybernetické bezpečnosti
39
Příloha
40
Signatáři Convention on Cybercrime CEST No. 185 States Albania
Signature
Ratification
Entry into force
23/11/2001
20/6/2002
1/7/2004
R.
D.
A.
T.
C.
O
X
Andorra Armenia
23/11/2001
Austria
23/11/2001
12/10/2006
1/2/2007
Azerbaijan Belgium Bosnia and Herzegovina
23/11/2001 9/2/2005
19/5/2006
1/9/2006
Bulgaria
23/11/2001
7/4/2005
1/8/2005
Croatia
23/11/2001
Cyprus
23/11/2001
Czech Republic Denmark
17/10/2002 19/1/2005
X X
X
1/7/2004 1/5/2005
9/2/2005 22/4/2003
21/6/2005
1/10/2005
X
X
X
41
Signatáři Convention on Cybercrime CEST No. 185 Estonia
23/11/2001
Finland
23/11/2001
France
23/11/2001
12/5/2003
10/1/2006
X
1/7/2004
1/5/2006
X
1/7/2004
X
1/5/2007
X
1/7/2004
X
X
X
X
X
Georgia Germany
23/11/2001
Greece
23/11/2001
Hungary
23/11/2001
Iceland
30/11/2001
Ireland
28/2/2002
Italy Latvia
4/12/2003 29/1/2007
X
23/11/2001 5/5/2004
Liechtenstein Lithuania
23/6/2003
Luxembourg
28/1/2003
18/3/2004
X
X
42
Signatáři Convention on Cybercrime CEST No. 185 Malta Moldova
17/1/2002 23/11/2001
Monaco Netherlands
23/11/2001
Norway
23/11/2001
Poland
23/11/2001
Portugal
23/11/2001
Romania
23/11/2001
16/11/2006 30/6/2006
X
1/3/2007 1/10/2006
12/5/2004
1/9/2004
8/9/2004
1/1/2005
X
X
X
X
X
Russia San Marino Serbia
7/4/2005
Slovakia
4/2/2005
Slovenia
24/7/2002
Spain
23/11/2001 r
X
43
Signatáři Convention on Cybercrime CEST No. 185 Sweden
23/11/2001
Switzerland
23/11/2001
the former Yugoslav Republic of Macedonia
23/11/2001
15/9/2004
X
1/1/2005
Turkey Ukraine
23/11/2001
United Kingdom
23/11/2001
10/3/2006
1/7/2006
X
X
44
Signatáři Convention on Cybercrime CEST No. 185 Non-member States of the Council of Europe States Canada
Signature
Ratification
Entry into force
29/9/2006
1/1/2007
R.
D.
A
X
X
T.
C.
O.
23/11/2001
Costa Rica Japan
23/11/2001
Mexico Montenegro
7/4/2005
South Africa
23/11/2001
United States
23/11/2001
X
Total number of signatures not followed by ratifications:
24
Total number of ratifications/accessions:
19
45
Jiří Vondrášek KPMG Česká republika, s.r.o. +420 222 123 210
[email protected] www.kpmg.cz
The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. Informace zde obsažené jsou obecného charakteru a nejsou určeny k řešení situace konkrétní osoby či subjektu. Ačkoliv se snažíme zajistit, aby poskytované informace byly přesné a aktuální, nelze zaručit, že budou odpovídat skutečnosti k datu, ke kterému jsou doručeny, či že budou platné i v budoucnosti. Bez důkladného prošetření konkrétní situace a řádné odborné konzultace by neměla na základě těchto informací být činěna žádná opatření. © 2007 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved. Printed in the Czech Republic.
46
