Zákon o kybernetické bezpečnosti na startovní čáře Pavel Hejl
81% velkých společností zažilo v roce 2013 bezpečnostní incident
2,2 – 4 mil. Kč Cena nejzávažnějšího bezpečnostního incidentu v malé společnosti – dvojnásobek ceny v roce 2012
31% Procento nejzávažnějších bezpečnostních incidentů způsobených lidskou chybou
58% velkých společností mělo bezpečnostní incident zaviněný zaměstnancem
10% Průměrná velikost IT rozpočtu věnovaná ve velkých firmách na zabezpečení (15% pro menší podniky)
21 – 40 mil. Kč Cena nejzávažnějšího bezpečnostního incidentu ve velké společnosti
73% velkých společností se stalo obětí viru nebo škodlivého softwaru
1/5 Počet nejzávažnějších bezpečnostních incidentů způsobených úmyslným zneužitím zaměstnanci
16 Průměrný počet incidentů, které velké společnosti v roce 2013 řešily
Zdroj: IBM X-Force® Research & Development
Page 3 © Bird & Bird LLP 2014
Zákon o kybernetické bezpečnosti Cíl: zajištění vysoké úrovně síťové a informační bezpečnosti a řešení zásadních bezpečnostních incidentů
Zákon o kybernetické bezpečnosti Proč zrovna zákon?
Varianty ochrany: Nulová IS nakládající s utajovanými informacemi Veřejné IS Kybernetický prostor + soukromá spolupráce SOUČASNÝ STAV Kybernetický prostor + regulátor
Page 5 © Bird & Bird LLP 2014
Zákon o kybernetické bezpečnosti Proč nový zákon? • Objekt regulace • Systematika a prostředky • Kritická informační infrastruktura
ZKB 1) Zavazuje odlišný okruh subjektů 2) Stav kybernetického nebezpečí 3) Specifické pojmy 4) Kompetence orgánů
Page 6 © Bird & Bird LLP 2014
Krizový zákon 1) Obecně závazný 2) Krizový stav
Zákon o kybernetické bezpečnosti Vztah zákona a jiných právních předpisů Směrnice o EKI
Návrh směrnice o kybernetické bezpečnosti
Transponována
Krizový zákon
ZEK Uplatní se paralelně
Kritéria prvků KI
Zákon o kybernetické bezpečnosti
Novela
Nařízení o určení prvku kritické infrastruktury (KI) Page 7 © Bird & Bird LLP 2014
ZISVS
Pojmy
Subjekty, povinnosti
Prováděcí vyhlášky
ZOUI
Zákon o kybernetické bezpečnosti Timeline
Page 8 © Bird & Bird LLP 2014
Zákonná úprava Jakým způsobem má být kyberprostor zabezpečen?
Zákonná úprava Základní principy
● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje
Page 10 © Bird & Bird LLP 2014
Zákonná úprava Základní principy
● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje ● Zákon subjekty rozděluje do pěti kategorií 1. Poskytovatel služeb el. kom. / sítí el. kom. Méně exponované 2. Orgán/osoba zajišťující významnou síť subjekty 3. Správce informačního systému KII Více exponované 4. Správce komunikačního systému KII subjekty 5. Správci významných IS ● Každé kategorii ukládá zákon různé povinnosti ● Intenzita povinností se odvíjí od podílu dané kategorie na jejím významu pro kybernetickou bezpečnost Page 11 © Bird & Bird LLP 2014
Zákonná úprava Základní principy
● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje ● Národní CERT
● Vládní CERT
Page 12 © Bird & Bird LLP 2014
?
Zákonná úprava Základní principy
● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje ● Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření.
Page 13 © Bird & Bird LLP 2014
Zákonná úprava Základní principy
● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje ● Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření. ● Bezpečnostní opatření • Organizační – např. plánování, procesy, kontrola • Technická – např. kryptografie, oprávnění, fyzická bezpečnost ● Pouze pro správce významných IS a výše (3-5) ● 1 rok na adaptaci ● Specifikuje vyhláška NBÚ Page 14 © Bird & Bird LLP 2014
Zákonná úprava Základní principy
● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje ● Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření ● Evidence kybernetických bezpečnostních událostí ● Hlášení kybernetických bezpečnostních incidentů vyhodnocení hrozeb opatření ● Od osob zajišťujících významnou síť výše ● 1 rok na započetí s hlášením ● Opět specifikuje vyhláška NBÚ Page 15 © Bird & Bird LLP 2014
Zákonná úprava Základní principy
● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje ● Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření ● Reakce na vyřešený bezpečnostní incident či získané zkušenosti ● Forma • Opatření obecné povahy
Page 16 © Bird & Bird LLP 2014
● Okamžitá reakce na výskyt bezpečnostního incidentu ● Forma • Rozhodnutí • Opatření obecné povahy
Zákonná úprava Základní principy
● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje ● Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření ● Zaveden nový mimořádný stav – stav kybernetického nebezpečí
Page 17 © Bird & Bird LLP 2014
Zákonná úprava Základní principy
●
●
● Ohrožení bezpečnosti nebo integrity informací, služeb nebo sítí velkého rozsahu a které riziko ohrožení Zákon ukládá povinnosti osobám, mají významný ČR podíl na zájmů informační infrastruktuře na území státu a stát s Nerozšiřuje kompetence orgánů, rozšiřuje pouze těmito●osobami skrze zřízené instituce spolupracuje okruh subjektů povinných provádět opatření Kyberprostor ČRnajeúřední pak chráněn pomocí bezpečnostních ● Informace desce a v médiích
opatření, hlášení a preventivních a reaktivních opatření ● Zaveden nový mimořádný stav – stav kybernetického nebezpečí
Page 18 © Bird & Bird LLP 2014
Zákonná úprava Základní principy
● Zákon ukládá povinnosti osobám, které mají významný podíl na informační infrastruktuře na území státu a stát s těmito osobami skrze zřízené instituce spolupracuje ● Kyberprostor ČR je pak chráněn pomocí bezpečnostních opatření, hlášení a preventivních a reaktivních opatření ● Zaveden nový mimořádný stav – stav kybernetického nebezpečí ● Dodržování výše uvedeného je NBÚ oprávněn kontrolovat a při porušení ukládat sankce
Page 19 © Bird & Bird LLP 2014
Zákonná úprava Základní principy
●
● ●
● Kontrola plnění zákonných povinností • u méně exponovaných subjektů pouze plnění povinností za stavu Zákon ukládá povinnosti osobám, které majínebezpečí významný kybernetického podíl na informační infrastruktuře naexponovaných území státu, a státv s • u více subjektů plném rozsahu vč. aktualizace těmito osobami skrze zřízené instituce spolupracuje ● Přiměřené kontaktních údajů rozsahu Kyberprostor ČR je pak chráněn pomocí bezpečnostních ● Nemusí být předem ohlašovány zmocnění ke opatření, kontrole hlášení a preventivních a reaktivních opatření. ● Uložení povinnosti odstranit i zákazu systém používat Zaveden● nový stavnedostatky – stav kybernetického Pokutamimořádný do výše
nebezpečí100.000 Kč ● Dodržování výše uvedeného je NBÚ oprávněn kontrolovat a při porušení ukládat sankce
Page 20 © Bird & Bird LLP 2014
Ke startovní čáře…
Ke startovní čáře Co nás čeká a nemine
● Vyhodnocení prováděcích předpisů ● Od 1.1.2015 • Všechny povinné subjekty: Předání příslušnému CERT kontaktních údajů 1 měsíc
• Subjekty 2-5: Monitoring kybernetických bezpečnostních incidentů 1 rok od určení
• Více exponované subjekty (3-5): Implementace bezpečnostních opatření 1 rok od určení
• Sledování vývoje Page 22 © Bird & Bird LLP 2014
Ke startovní čáře Co nás čeká a nemine
● Běh na dlouhou trať • Zákon jako první metodický stupeň integrované ochrany • Vzdělání, přístup společností i společnosti • A co připravovaná směrnice?
Page 23 © Bird & Bird LLP 2014
Nárůst poptávky po profesionálech z oboru zabezpečení počítačových systémů
Náklady a administrativní zátěž pro povinné subjekty
Stále zůstává lidský prvek
Vliv na atraktivitu ČR pro ICT investory
Příležitost pro dodavatele certifikovaných IS a bezpečných řešení obecně
Zvýšení důvěryhodnosti českého online prostředí
Naplnění účelu zákona ve státní sféře závisí na dalších faktorech
Riziko vysokých škod pro providery B2B služeb
Ukázkové scénáře
Scénář č. 1 Napadení internetového providera
Síť ISP poskytujícího služby v různých částech Prahy se stane na několik hodin nepřístupnou následkem DDOS útoku. ● Poskytovatel služeb elektronických komunikací dle § 3/a ZKB ● Incident nenahlásí národnímu CERT • V pořádku, není povinen ● Incident nahlásí národnímu CERT • Na bázi dobrovolnosti • Národní CERT není ke zpracování informace povinen, ale pravděpodobně incident vyhodnotí a v případě zájmu ISP mu poskytne pomoc Page 26 © Bird & Bird LLP 2014
Scénář č. 2 Phishing
Na řadu emailových adres v české doméně přijde email s podvrženým odkazem do online bankovnictví k získání čísla kreditní karty uživatele. Dva možné výklady: ● Není kybernetickou bezpečnostní událostí • Opět přichází v úvahu dobrovolná spolupráce • Zveřejnění informace v aktualitách CERT ● Je kybernetickou bezpečnostní událostí • Povinnost evidence • Může přerůst v incident Hlášení Vyhodnocení Reakce dle okolností Page 27 © Bird & Bird LLP 2014
Scénář č. 2 Phishing
Na řadu emailových adres v české doméně přijde z jedné konkrétní české IP adresy email s podvrženým odkazem do online bankovnictví k získání čísla kreditní karty uživatele. ● Pokud by se nejednalo o kybernetickou bezpečnostní událost či incident, stále jsou povinny řešit to orgány činné v trestním řízení ● Pokud se jedná o kybernetickou bezpečnostní událost či incident •
•
Reakce – rozhodnutí NBÚ o odpojení IP adresy × za běžného stavu nelze zacílit na méně exponované subjekty (privátní poskytovatele sítí) Nezbytnost a přiměřenost zásahu × Rychlost řešení
Page 28 © Bird & Bird LLP 2014
Scénář č. 3 Heartbleed bug
Dojde k exploitu bezpečnostní chyby, která je významem obdobná Heartbleed nebo Shellshock bugu. ● Při pokusu o zneužití bugu jsou povinné subjekty povinny hlásit to jako kybernetický bezpečnostní incident ● I bez toho NBÚ si může být chyby vědom a s ohledem na její závažnost může opatřením obecné povahy uložit povinnost aktualizovat komponentu na zabezpečenou ● Může být uloženo reaktivně i preventivně
Page 29 © Bird & Bird LLP 2014
Scénář č. 4 Březen 2013
V České republice se odehraje přímý útok na řadu zpravodajských serverů, bank a operátorů. ● Vládní CERT by z velkého množství informací posoudil, zda lze ochrany dosáhnout pouze spoluprací se subjekty významné a kritické informační infrastruktury ● Pokud by se ukázalo ukládání povinností i privátním poskytovatelům služeb a sítí jako nevyhnutelné, mohl by pak ředitel NBÚ vyhlásit stav kybernetického nebezpečí ● V něm vydávaná opatření by mohla ukládat povinnosti např. filtrování síťového provozu i odpojování sítí ● Pravděpodobná mezinárodní spolupráce CERT/CSIRT týmů Page 30 © Bird & Bird LLP 2014
Děkuji za pozornost
[email protected]
Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated and associated businesses. Bird & Bird LLP is a limited liability partnership, registered in England and Wales with registered number OC340318 and is authorised and regulated by the Solicitors Regulation Authority. Its registered office and principal place of business is at 15 Fetter Lane, London EC4A 1JP. A list of members of Bird & Bird LLP and of any non-members who are designated as partners, and of their respective professional qualifications, is open to inspection at that address.
Page 31 © Bird & Bird LLP 2014
twobirds.com
