Ukrajinské varování

Že se nejedná o hypotetická nebezpečí, ale o reálné hrozby, ukázaly nedávné výpadky elektrické energie na Ukrajině způsobené kybernetickým útokem, který na 3 hodiny odřízl od zdroje elektřiny více než 80 tisíc lidí. Výpadky nezpůsobil samotný škodlivý software, hackeři použili malware zvaný BlackEnergy3, který jim umožnil získat přístup k počítačům pro obsluhu elektrárny. Útočníci s pomocí malwaru dokázali na dálku ovládat správu elektrárny stejně jako její pracovníci, což je ještě hrozivější scénář než v případě útoků, které „pouze“ vyřadí systém z provozu. Hackeři navíc spustili TDoS (telephone denial-of-service) útok, podobný DDoS útoku, kterým zahltili telefonické centrum falešnými hovory a znemožnili zákaznickému centru reagovat na stížnosti a dotazy odběratelů.

Nová evropská směrnice

Evropská unie si je podobných hrozeb vědoma, proto už v roce 2013 vydala strategii pro kybernetickou bezpečnost (Network and Information Security – NIS). Prvním konkrétním krokem, který na tuto strategii navazuje, je směrnice iniciovaná Evropskou komisí, která byla schválena všemi zúčastněnými zástupci členských zemí 7. 12. 2015. Tato směrnice se bude projednávat na jarním zasedání Rady ministrů a po dokončení legislativního procesu budou mít jednotlivé členské země EU 6 měsíců na identifikaci subjektů, kterých se bude legislativa týkat, a dalších 21 měsíců na implementaci do svého právního řádu. Dotčené organizace jsou definovány jako kritická infrastruktura státu, to znamená producenti ropy, plynu, elektřiny a vody a jejich přenosové soustavy, letecká, železniční, vodní a silniční doprava, banky a další finanční instituce, zdravotnictví a také digitální infrastruktura.

Česká republika je napřed

Česká republika je spolu s Estonskem a Maďarskem jednou z mála zemí EU, která je v řešení těchto bezpečnostních otázek napřed. Již na začátku roku 2015 u nás totiž vstoupil v platnost zákon o kybernetické bezpečnosti, který mimo jiné reguluje i organizace, které se podílejí na kritické infrastruktuře státu. Nová směrnice tedy v případě přijetí naši právní úpravu pouze rozšíří o internetové uzly (u nás NIX.CZ a Peering.cz), poskytovatele DNS služeb a nejvyšší doménové registry, ale také třeba o nemocnice. Důležité v tuto chvíli je, jakým způsobem se nová směrnice přenese do naší právní úpravy a zda dojde k dílčím úpravám během schvalovacího procesu na půdě Evropského parlamentu a následně pak během schvalovacího procesu v České republice. Nicméně díky již dříve schválenému zákonu o kybernetické bezpečnosti se dá očekávat, že okruh institucí, kterých se v České republice bude směrnice týkat, se výrazně měnit nebude.

Ohlašovací povinnost

Přijetí evropské směrnice bude v praxi znamenat, že nově dotčené organizace budou muset reportovat veškeré bezpečnostní incidenty příslušným autoritám stejným způsobem, jakým to již dělají subjekty zahrnuté v českém zákonu o kybernetické bezpečnosti z roku 2015. U nás to bude s největší pravděpodobností Národní Centrum Kybernetické Bezpečnosti (NCKB) pro státní instituce a Computer Security Incident Response Team (CSIRT.CZ) pro soukromé subjekty.

Nově bude tato data schraňovat agentura Enisa – European Agency for Network and Information Security a zveřejňovat je pro lepší připravenost proti bezpečnostním hrozbám. Nejedná se o další nepotřebnou administrativní zátěž ze strany Evropské unie, jak si mnoho společností myslí, ale o systém, který by měl pomoci účinněji bojovat proti stále častějším a sofistikovanějším útokům ohrožujícím IT bezpečnost. NCKB i CSIRT.CZ již nyní nabízejí odbornou pomoc při řešení bezpečnostních incidentů, spolupráci s IT odděleními napadených firem a v případě útoku na více subjektů jsou připraveny koordinovat společný postup k jeho řešení. Vzhledem k rozsáhlé spolupráci napříč různými institucemi mohou obě centra zprostředkovat spolupráci se zahraničními partnery při útocích s mezinárodním přesahem a v současné době již nabízejí penetrační a zátěžové testy, nasazení a správu honeypotů, informační huby i vzdělávací semináře.

Pro IT manažery to znamená, že podle nového nařízení budou muset disponovat nástroji, kterými hrozbu detekují, zastaví a následně odreportují, jaká data se dostala do rukou útočníků. Cílem IT manažerů by určitě nemělo být pouze slepé dodržování nařízení jedné či druhé legislativy, ale snaha získat ucelený přehled o tom, co se v jejich síti děje, a schopnost pružně reagovat na bezpečnostní incidenty. Zákon o kybernetické bezpečnosti i nová evropská směrnice tedy pouze institucionalizují to, co by již měla každá větší firma nebo státní instituce dodržovat bez ohledu na legislativu, především kvůli efektivní ochraně dat společnosti, zákazníků nebo pacientů.

Předpokládané rozšíření působnosti kyberzákona

Je velice pravděpodobné, že u nás dojde pouze ke změnám kybernetického zákona tak, aby byl v souladu s evropskou směrnicí. Zejména se bude jednat o rozšíření okruhu institucí, kterých se bude regulace týkat, ale dá se očekávat i změna v sankční politice, jelikož kybernetický zákon nyní ukládá nejvyšší pokutu v hodnotě 100 tisíc Kč, což se v evropském kontextu může jevit jako nedostatečné a dá se předpokládat, že se z důvodu souladu s NIS budou pokuty za nedodržení příslušných předpisů navyšovat. Případná pokuta ovšem není tím hlavním rizikem, kterého by se měly organizace v souvislosti s bezpečnostními incidenty obávat. Z praxe totiž víme, že útok kyberzločinců může napáchat ztrátu mnohonásobně převyšující pokutu za porušení zákona o kybernetické bezpečnosti.

Václav Petrželka Autor článku působí v místní pobočce společnosti Trend Micro.