Kybernetický zákon a kyberpanika

Bezpečnost je vždy oblastí, která je často neoblíbená. Bezpečnostní pravidla a opatření obtěžují a komplikují život i práci. Při laickém pohledu často bez valných výsledků. To vychází z přirozené vlastnosti člověka bagatelizovat hrozby, které ho obklopují. Tento přístup zřejmě pochází z dob, kdy si náš druh začal uvědomovat svou inteligenci. Začal být sebevědomým, začal vyrábět zbraně, stavět obydlí. Zřejmě v té době začal člověk mít pocit, že je neohroženým. Podobné to je s kybernetickou bezpečností. S rozvojem technologií a s rostoucím sebevědomím máme tendenci bagatelizovat fakt, že jsme díky technologiím více zranitelnými.

Mnozí IT manažeři nejednou slyšeli či dokonce sami vyřkli argumenty – kdo by kradl naše data, proč by na nás útočili, koupili jsme firewall a celý rok se nic nestalo, je zbytečný apod. To všechno je používáno jako důvod nerealizovat bezpečnost. Obvykle do prvního bezpečnostního incidentu. Pak nastává něco, co můžeme pojmenovat kyberpanikou. Obvykle po nenadálém zjištění, že kybernetické hrozby jsou reálné, nastává často zběsilá snaha nějak se zabezpečit. Počítače, sítě, data atd. Pod vládou paniky a bez systémového přístupu běžně dochází k realizaci nesystémových kroků a chybných investic.

V České republice se začala aktivně řešit kybernetická bezpečnost po kompromitaci diplomatické komunikace USA s jejich partnery v roce 2010. Je zřejmě jedno, jestli to byla panika politiků a diplomatů, nebo osvícená aktivita NBÚ, ale od roku 2011 se začal připravovat zákon o kybernetické bezpečnosti. Politickými otřesy došlo ke zdržení, ale možná díky další aféře (Snowden, 2013) došlo k dokončení a schválení legislativy v roce 2014. Při přípravě zákona a prováděcích vyhlášek prakticky převzetí obsahu standardů řady ISO 27000. To je i přes určité výhrady nakonec dobře. Tyto standardy jsou již ověřené, prošly si svou genezí a nabízí dobrý způsob řízení kybernetické bezpečnosti. To však v žádném případě neznamená, že jejich implementace je jednoduchá, zejména pokud se realizuje odpovědně. Zákon je pro vybrané organizace povinný a splnění požadavků podléhá kontrole NBÚ pod hrozbou sankcí. Tak vznikla nová úroveň kyberpaniky. Z kybernetického zákona.

Záludnosti kybernetického zákona

Zákon má ambici zavést systémové řízení kybernetické bezpečnosti, který má efektivně řídit bezpečnost, pracovat s riziky a kontrolovat shodu se zákonem a jeho požadavky. Důležitým aspektem řízení kybernetické bezpečnosti je provázanost jednotlivých bezpečnostních opatření. Jedná se o systém řízení, jednotlivé činnosti tak na sebe musí navazovat, využívat správná data, poskytovat informace atd. Zásadním prvkem je delegování odpovědností a přiřazení k nim souvisejících povinností s možností kontrolovat jejich plnění. Administrativní opatření musí korespondovat s technickými, vzniklé incidenty je třeba aktivně řešit a vše je třeba dokumentovat. Důležité výstupy a informace pak předávat a komunikovat v rámci organizace. Propojení všech činností, opatření, odpovědností a sdílení informací je nezbytné k tomu, aby organizace mohla kybernetickou bezpečnost řídit cíleně a efektivně.

Zákon jako takový, respektive jeho prováděcí předpis, vyhláška 316/2014 Sb. o kybernetické bezpečnosti, vyžaduje čtyři základní pilíře bezpečnosti:

• organizační opatření,
• technická opatření,
• dokumentace,
• zvládání bezpečnostních incidentů.

Kromě technických opatření, která jsou poměrně jednoznačně určená a pokud již nejsou realizována, představují finančně náročné investice, mají velký vliv na řízení bezpečnosti také organizační opatření. Z pohledu finančních nákladů a toho, že se jedná „pouze“ o organizační opatření, jsou často vnímána jako ta méně důležitá část a jednodušší část implementace systému řízení kybernetické. Nejednou se v praxi potvrdil přesný opak. Zatímco u technologií se vždy jedná o jasně definovanou sadu funkcionalit, které víceméně stačí pouze spustit. Naproti tomu, organizační opatření jsou přímo závislá na každé jednotlivé organizaci. Každá organizace využívá své informační systémy, zpracovává a chrání informace, má nastavené odpovědnosti, má určité prostorové či personální možnosti. Organizační opatření musí vždy maximálně korespondovat se specifiky každé organizace a není možné pouze přebírat postupy od jiných organizací. Velikost organizace má přímý vliv na náročnost implementace zákonem požadovaných organizačních opatření. Mnohé organizace mají zavedenou většinu technických opatření, ale v organizačních tápou, nebo je mají zavedeny pouze administrativně. Výsledkem pak je, že celý systém nefunguje správně nebo vůbec. Správná implementace organizačních opatření není jednoduchá a má významný vliv na správnou funkčnost celého systému řízení kybernetické bezpečnosti. Konkrétní rozsah organizačních opatření je určen §3 - §15 vyhlášky 316/2014 Sb., např. řízení rizik, řízení aktiv, zvládání bezpečnostních událostí, business kontinuity plány atd. jedná se o velmi rozsáhlý soubor požadavků, které musí být naplněny.

GRC řešení – make it easy

Realizace opatření určených pro kybernetickou bezpečnost není z pohledu implementace nijak zásadně odlišná od realizace požadavků standardu řady ISO 27000. Obvyklé postupy již definovány a ověřeny praxí. Například provádění analýzy rizik můžeme nazvat běžným úkolem. Rovněž ověřeným nástrojem provádění analýzy rizik je tabulkový editor. Ten však řeší jen část potřeb a v určitých situacích je jeho použití nevhodné, nebo dokonce vytváří překážky. Příkladem může být udržení vzájemných propojení mezi aktivy, riziky, vlastníky apod. Soubory s podklady pro analýzu rizik, nebo dokonce samotné výpočty riziky se mnohdy vyskytují v různých verzích. Vazby na další opatření, změny, vazby na politiky vyžadují velké množství práce a běžně dojde k tomu, že se mnoho z potřebných činností neprovádí. Celkově jde o časově i organizačně poměrně náročnou činnost.

Použití řešení typu GRC diametrálně změní celou problematiku plnění požadavků kybernetického zákona. Představy zákona jsou v podstatě shodné s principy GRC, tedy aby organizace vládly své kybernetické bezpečnosti, řídily svá rizika a byly v souladu s kybernetickým zákonem a dalšími souvisejícími normami. Toto přirovnání je samozřejmě zjednodušené, ale principálně vystihuje, proč je GRC vhodné pro realizaci a řízení kybernetické bezpečnosti.

GRC řešení běžně nabízí komplexní řešení téměř pro všechny požadavky na organizační opatření kybernetického zákona. Počínaje evidencí aktiv přes řízení rizik, řešení bezpečnostních událostí až po provádění auditů. Nekompromisní výhodou GRC je vnitřní provázanost použitých dat. Přesněji řečeno, GRC integruje různá data, která spolu souvisí, dohromady. Kdykoli je možné přesně určit, které aktivum má vliv na jaké riziko. Pokud nastane bezpečnostní událost, je odpovědný manažer velmi rychle schopen určit, kde bude mít případný incident dopad, jak se zvýší riziko, a stejně jsem schopen sledovat aktivně vývoj rizika při realizaci nápravných či preventivních opatřeních. Analýzu rizik je možné provádět bez nutnosti obcházet jednotlivá pracoviště osobně. Data se ukládají a zpracovávají centrálně v návaznosti na evidenci aktiv. GRC mohou být propojena s dalšími zdroji informací (LDAP, evidenční databáze apod.) K aktivům lze vytvořit plány kontinuity, testovat je. Evidovat bezpečnostní události, klasifikovat je, řešit incidenty. Takto by bylo možné pokračovat do nekonečna. Lze konstatovat, že s využitím GRC je možné automatizovaně realizovat a řídit většinu organizačních opatření definovaných zákonem o kybernetické bezpečnosti a výrazně je tak zefektivnit. Výsledkem toho všeho je stav, kdy je organizace schopna řídit kybernetickou bezpečnost efektivně a systémově.

Jednotlivá GRC řešení se navzájem liší, nabízejí různé funcionality, ale vnitřní myšlenka je stejná. Společným rysem je hlavní přínos GRC - integrovaná data a informace. Zejména manažerské výstupy usnadní distribuci důležitých informací potřebný pro správná rozhodnutí managementu. Pomáhají sledovat vývoj a určovat trendy, vyhodnocovat účinnost a efektivitu bezpečnosti. To vše v podstatě v reálném čase. Samozřejmě, GRC systémy nejsou kouzelným proutkem, který vyřeší kybernetickou bezpečnost jedním mávnutím. Jsou závislé na správné implementaci, navržení interních procesů a workflow, a to rozhodně není jednoduché. Ale při dostatečném úsilí, které na začátku věnujete důkladné implementaci, kybernetická bezpečnost a z ní plynoucí povinnosti už nikdy nebudou strašákem.

Marian Němec, BA (Hons) Autor článku je konzultantem pro IT bezpečnost ve společnosti AEC a.s.