Zákon o kybernetické bezpečnosti (ZOKB) je sám o sobě milníkem v české legislativě, krokem k vyšší bezpečnosti v digitálním prostředí státních institucí i firem. Jeho návrh byl schválen 18. června 2014 ve Sněmovně a nyní čeká na schválení v senátu a podpis prezidenta. V současnosti už je zákon v téměř konečné podobě, čeká se ještě upřesňování související vyhlášky v průběhu podzimu, především části povinných osob.

Většina lidí má obavy ze zásahu kybernetického centra do soukromí občanů. Zákon však naopak významně zvyšuje standard bezpečnosti a dostupnosti služeb, které jsou v kyberprostoru občanům poskytovány. My se zaměříme na to, jakým způsobem chce zákon zajistit bezpečnost, ať už formou organizačních nebo technických opatření.

Ve firmách v České republice chybí, právě co se bezpečnosti týče, dostatečná míra systematičnosti a organizovaného přístupu. Tím je ohrožena bezpečnost občanů a jejich dat spíše než zásahy „velkého bratra“. Vedoucí pracovníci a ředitelé firem obvykle vnímají bezpečnostní rizika jako problémy, které lze vyřešit jednorázovým úsilím. Zhruba třetina exekutivních osob k bezpečnosti přistupuje proaktivně a systém řízení rizik je pro ně způsobem, jak zajistit efektivnější dosažení cílů společnosti a vyvážit míru rizik a investic. Zeptejte se sami sebe: „Byli byste s neomezenými prostředky schopni vyřešit všechny ty bezpečnostní ‚problémy‘ a nic už vám nehrozilo?“ Klíčové je uvědomit si, že bezpečnost je o míře pokrytí rizik, ne o řešení jednotlivých technických problémů. A právě systém řízení rizik je jedním ze základních požadavků nového zákona.

Obvykle jsou vnímány kroky společností, které se řídí pouze zákonnými povinnostmi v oblasti bezpečnosti, jako nesystémové, avšak doposud se jednalo o legislativu zaměřenou na užší oblast, například HIPAA pro bezpečnost údajů pacientů nebo PCI-DSS směrem k platebním údajům. Se ZOKB je však úplně jiná situace a jestli je zákonná povinnost jedinou cestou, jak dohnat nedostatky firem, tak podoba našeho zákona je výborným startem. Pokud bych dnes zakládal společnost a nevěděl bych, jak se postavit k problematice bezpečnosti, je nový zákon výborným vodítkem. Nezaměřuje se pouze na úzkou oblast problému, ale nabízí kompletní návod, jak postavit základy bezpečnosti ve společnosti a dále ji vylepšovat. Zákon se spíše než legislativám typu HIPAA podobá například standardu řízení bezpečnosti informací ISO 27001. Dokonce společnosti, které dosáhnou poslední verze certifikace ISO 27002, mají shodu s tímto zákonem téměř v kapse.

Zákon rozděluje požadavky zajištění kybernetické bezpečnosti na technická a organizační opatření, a právě na organizační opatření je potřeba se zaměřit. Dá se říci, že pokud implementujete nějaké bezpečnostní IT řešení, které se nachází v komplexitě o úroveň výše nad antiviry, firewally a podobnými programy, je mnohem vyšší šance na úspěch takového projektu, pokud je zde podpora na organizační úrovni. Znovu zmíním proaktivní „exekutivce“, kteří správně vnímají priority a bezpečnost a integrita je silnou součástí jejich firemní kultury. Například u implementace řešení pro podporu systému řízení bezpečnosti informací, který je pro efektivní soulad se zákonem potřebný, je pouze poloviční šance na úspěch. Pokud zde není podpora shora a ředitel přesune takový projekt na IT oddělení a nijak se neangažuje, projekt se s velkou pravděpodobností nikdy nedokončí nebo nepřinese vyvážení investice.

Profesionálové si uvědomují, že znalosti a vzdělání v oblasti bezpečnosti jsou jedním z hlavních důvodů, proč si vůči jiným oblastem někdy u českých firem připadáme jako v době kamenné. Jedním z požadavků zákona je školení zaměstnanců (skrývá se pod §9 Bezpečnost lidských zdrojů). Právě tato oblast dnes na světovém trhu značně posiluje, a to ve smyslu samotného způsobu školení a předávání znalostí zaměstnancům. Nejedná se již o přístup ve stylu krátkého proškolení zaměstnance ve zkušební době, ale o systematické a srozumitelné vzdělávání. Hrozby se neustále mění a samotné proškolení uživatelů již nestačí, nýbrž je potřeba je kontinuálně vzdělávat. Hledání možností, jak bezpečnost implementovat dovnitř do firmy a předávat znalosti srozumitelnou a poutavou formou, je cesta, jak efektivně snížit náklady na pokrytí rizik. IT bezpečnost, jakožto virtuální, nehmatatelný svět, navíc v kontextu rizik, tedy negativního myšlenkového procesu, je pro pochopení značně náročné. V rámci školení bezpečnosti se osvědčuje použití metafor, abstrakcí a příběhů z hmatatelného světa s navázáním vlivů na cíle společnosti.

Dopad na IT prostředí

Vyhláška o kybernetické bezpečnosti stanovuje celkem 21 bezpečnostních politik, z toho 10 je společných pro všechny povinné osoby.

Povinná osoba uvedená v § 3 písm. e) zákona stanoví bezpečnostní politiky v oblastech

• systém řízení bezpečnosti informací,
• organizační bezpečnost,
• řízení dodavatelů,
• klasifikace aktiv, která zahrnuje pravidla pro bezpečné nakládání s aktivy,
• bezpečnost lidských zdrojů,
• řízení provozu a komunikací,
• řízení přístupu,
• bezpečné chování uživatelů,
• používání kryptografické ochrany a
• nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí.

Přestože je zákon téměř ideálem postupů a opatření v kybernetické bezpečnosti, nebude jeho naplnění snadné ani levné, pokud už nemáte většinu z požadavků vyřešenou. Pokud bychom měli spočítat jednotlivé firemní politiky a jejich požadavky na počet softwarových nástrojů, které budeme potřebovat, bude se jednat o minimálně desítku řešení. Spolu s organizačními opatřeními, které budou klást vyšší časové nároky na zaměstnance společnosti, se jedná o značné zdroje, které si plnění požadavků zákona vyžádá. Přestože je zákon nyní cílen spíše na větší společnosti a instituce, i pro ně to bude často znamenat nové investice, neboť ani ty většinou nedosahují plné shody se zákonem v aktuální podobě.

Jednou ze slabších oblastí firem je systém řízení bezpečnosti informací, jehož implementace bývá technicky zajištěna DLP řešeními pro ochranu dat. Data Loss Prevention řešení pokrývají takové oblasti jako klasifikace dat, řízení práce s daty a reporting bezpečnostních incidentů. Vzhledem k nárokům na zapojení celé organizace a vedoucích pracovníků se jedná o jeden z náročnějších projektů v IT bezpečnosti. Právě kvůli nízké angažovanosti osob mimo IT oddělení tyto projekty v historii selhávaly. Pokud je zde však podpora shora a proaktivní přístup, může takové úsilí zachránit celý projekt a vzhledem ke značně sníženému riziku úniku dat i samotnou společnost.

Systém řízení bezpečnosti informací je jmenován na prvním místě v bezpečnostních politikách ZOKB, a není náhodou, že k naplnění zákona bude do značné míry vyhovovat, pokud už máte ISO 27002. Tento standard, nyní propojen s ISMS, pokrývá bezpečnostní rizika významné kategorie – bezpečnosti dat.

Obecně zákon klade požadavky, které se dají kategorizovat jako požadavky na řízení, kontrolu a monitoring osob nebo aktiv (např. data, informační systém). Hledáme tedy řešení, které bude mít technicky největší kontrolu nad činnostmi koncových uživatelů a jejich prací s daty a aplikacemi. endpoint řešení se v praxi přímo nabízí a bude pravděpodobně tvořit klíčovou součást sady nástrojů, které budou pomáhat v plnění politik z kybernetické vyhlášky. Vzhledem k tomu, že už se osvědčilo řešení DLP pro podporu takového systému v případě ISO 27001, bude vhodné i k plnění Zákona o kybernetické bezpečnosti. A to především díky schopnosti řídit a kontrolovat práci uživatelů a aplikací s daty.

V DLP řešeních však chybí nástroje pro kontrolu a monitoring činnosti osob s aplikací a daty, ale i další vlastnosti, které by člověk předpokládal od takového nástroje, jako např. šifrování. Pokud je společnost teprve na začátku, je poměr cena – výkon v případě potřeby plnění komplexních a rozsáhlých požadavků ze zákona jedním z klíčových parametrů. Ideální variantou jsou nově vznikající řešení pro zajištění interní bezpečnosti typu CMMP. Ty rozšiřují DLP nástroje o auditing činnosti uživatelů – osob a řízení přístupu k aplikacím a jejich monitoringu. Není tedy potřeba spravovat více druhů řešení, což by v případě volby samostatných specializovaných řešení mohlo vytvořit přílišné nároky na zdroje společnosti.

Bezpečnost není o jednorázovém opatření

Zákon o kybernetické bezpečnosti je významný krok směrem k bezpečnějšímu digitálnímu prostředí. Klade velké nároky na zdroje pro povinné osoby, které momentálně pokrývají pouze část požadavků, proto bude nutné hledat efektivní řešení pro podporu naplnění požadavků. Je ale postaven na solidních základech a nabízí inspiraci i podnikům, které nejsou součástí povinných osob. Pomůže zvýšit povědomí o bezpečnosti a vhodných praktikách i o tom, že bezpečnost není pouhé jednorázové technické řešení problému, ale naopak organizační úsilí podpořené adekvátními technickými řešeními.

Pavel Krátký Autor působí jako CTO společnosti Safetica Technologies.