Zákon o kybernetické bezpečnosti v praxi a v obklíčení dalšími zákony
Ing. Aleš Špidla Prezident Českého institutu manažerů informační bezpečnosti
[email protected] Manažer v oddělení řízení rizik PwC
[email protected]
Agenda: •Zákon o kybernetické bezpečnosti - vlastní zkušenosti se zaváděním do praxe •Proč je kybernetická bezpečnost více otázkou pudu sebezáchovy než jen zákona o kybernetické bezpečnosti •Proč a jak se v kyberprostoru sami nezahubit, nezahubit druhé a nebýt zahubeni druhými
Zákon o kybernetické bezpečnosti - vlastní zkušenosti se zaváděním do praxe •
Kdo jsou osoby povinné • Kritická informační infrastruktura (KII) + Kritická komunikační infrastruktura (KKI) Ze soukromé sféry a státní správy např.: ČNB, ČSOB, Česká spořitelna, Komerční banka, ČEPS, ČEPRO, ŘLP, TMobile, O2, Vodafone, Ministerstvo dopravy, Ministerstvo práce a sociálních věcí, Ministerstvo vnitra • Významné informační systémy (VIS) - pouze orgány veřejné moci (OVM) cca 90 informačních systémů
Zákon o kybernetické bezpečnosti - vlastní zkušenosti se zaváděním do praxe •
Kritická infrastruktura - kybernetické bitevní pole • •
Tiché nebezpečí Podceňování bezpečnosti systémů pro řízení a monitorování technologických procesů (ICS/SCADA) •
•
Katastrofální následky • • •
•
Iluze vzduchové mezery Vysoká rizika hmotných škod Lidských obětí Reputační rizika atd.
Již zdokumentované příklady útoků • • •
Ocelárna v Německu Stuxnet Útok z rozumu na Ettlingen
Zákon o kybernetické bezpečnosti - vlastní zkušenosti se zaváděním do praxe •
Co je nutno pod zákon o kybernetické bezpečnosti doplnit • •
Zdravotnictví Kritickou výrobu
….. průběžně provádět analýzu rizik a doplňovat nepokryté oblasti
Zákon o kybernetické bezpečnosti - vlastní zkušenosti se zaváděním do praxe •
Přístup povinných • • •
Osvícený ( týká se i nepovinných) Rezistentní Rezignující
Proč je kybernetická bezpečnost více otázkou pudu sebezáchovy než jen zákona o kybernetické bezpečnosti •
Zákon o ochraně osobních údajů •
Prokazatelné dohledání kdy, kdy a co s osobními údaji prováděl dobrého či zlého
Proč je kybernetická bezpečnost více otázkou pudu sebezáchovy než jen zákona o kybernetické bezpečnosti •
Trestní zákoník •
Od úmyslných až po nedbalostní trestné činy
Proč a jak se v kyberprostoru sami nezahubit, nezahubit druhé a nebýt zahubeni druhými •
Změnit přístup •
Od technologií k lidem ( i s procesy, kterými se mají řídit) • • •
Nestačí informační systémy obehnat ostnatým drátem z firewallů, sond, IDS,IPS,DLP atd. Je nutno se věnovat nejslabšímu článku Je to v lidech
… už Mittnick to říkal
Proč a jak se v kyberprostoru sami nezahubit, nezahubit druhé a nebýt zahubeni druhými •
Změnit přístup •
Od čínské zdi k řízení rizik • • •
Systémy jsou stále složitější Propojenější Zranitelnější
Proč a jak se v kyberprostoru sami nezahubit, nezahubit druhé a nebýt zahubeni druhými Řízení rizik znamená • V každém okamžiku vědět: • • • • • •
Co stojí za to chránit (Aktiva) Proti čemu (Hrozby a zranitelnosti) S jakými riziky (plynoucími z hrozeb a zranitelností) Za jakou cenu (Náklady) Co mi ochrana přinese (Přínosy) …. a sebere (efektivita provozu, nevrlí IT administrátoři, finanční ředitelé apod.)
Proč a jak se v kyberprostoru sami nezahubit, nezahubit druhé a nebýt zahubeni druhými •
Rizika je nutno: • • • • •
Vnímat Analyzovat Minimalizovat, vyhnout se jim, přijmout, přenést na jiného atd. Komunikovat Nikdy nepřestat řídit …pořád dokola v cyklu PDCA
Proč a jak se v kyberprostoru sami nezahubit, nezahubit druhé a nebýt zahubeni druhými Řízení rizik neznamená • Hledání překážek a zdůvodnění proč je lepší nic nedělat
Proč a jak se v kyberprostoru sami nezahubit, nezahubit druhé a nebýt zahubeni druhými To vše musíte dělat hezky česky … furt (pořád) dokola v cyklu PDCA
Proč a jak se v kyberprostoru sami nezahubit, nezahubit druhé a nebýt zahubeni druhými … protože proč?
Proč a jak se v kyberprostoru sami nezahubit, nezahubit druhé a nebýt zahubeni druhými Protože máte-li pocit, že je vše v naprostém pořádku, potom jste zcela určitě něco přehlédli. (Murphy)
Děkuji za pozornost
[email protected] [email protected]
