V roce 2014 byl vydán zákon č. 181/2014 Sb., o kybernetické bezpečnosti (dále jen Zákon). Konkrétní bezpečnostní opatření poté stanovila vyhláška č. 316/2014 Sb., o kybernetické bezpečnosti (dále jen Vyhláška).
Nejedná se ale o zcela novou myšlenku. Mnoho firem a státních institucí začalo zabezpečovat své systémy již mnohem dříve, protože to prostě bylo potřeba. Legislativa jen definuje pevná pravidla.
Týká se mě kybernetická bezpečnost?
Zákon definuje pět typů subjektů, které musejí bezpečnostní opatření aplikovat. Jedná se o poskytovatele komunikačních služeb a správce kritických nebo významných informačních systémů (zjednodušeně řečeno, přesné definice naleznete v § 3 Zákona).
Povinné subjekty musejí být v souladu se Zákonem do jednoho roku od okamžiku, kdy byl jejich systém prohlášen za kritický nebo významný. Kritické systémy jsou stanoveny na základě jednání Národního bezpečnostního úřadu a správce daného systému. Významné systémy státní správy byly stanoveny vyhláškou č. 317/2014 Sb., o významných systémech.
Vládní a národní CERT
Zákon zavádí koordinační orgány pro oblast kybernetické bezpečnosti, tzv. vládní a národní CERT (Computer Emergency Response Team). Jejich úkolem je přijímat bezpečnostní incidenty od povinných subjektů, navrhovat opatření a oznamovat je všem subjektům.
Příprava na implementaci
Než začneme horlivě „zabezpečovat“, je vhodné si stanovit rozsah oblasti kybernetické bezpečnosti. Stanoví se tzv. perimetr bezpečnosti, kterým může být oplocení pozemku, obvodový plášť budovy nebo vymezené prostory v datacentru.
Dále se provede identifikace aktiv – všeho, co má pro nás hodnotu. Mohou to být hardware a software, ale třeba také samotná data, zaměstnanci nebo pověst firmy. Aktiva je zapotřebí ohodnotit a přiřadit jim odpovědné osoby – garanty aktiv. Při hodnocení aktiv může pomoci příloha č. 1 Vyhlášky.
Následuje analýza rizik. Ta spočívá v identifikaci hrozeb a zranitelností aktiv. Stanoví se pravděpodobnost výskytu hrozby a dopad (výše škod). Výsledné riziko je dáno jako součin pravděpodobnosti vzniku hrozby, dopadu a zranitelnosti. Takto získáme přehled o tom, která aktiva jsou nejohroženější, a na tato aktiva se zaměříme při definování bezpečnostních opatření. Příloha č. 2 Vyhlášky nabízí pro tyto účely hodnotící stupnice hrozeb a dopadů.
Také je potřeba stanovit bezpečnostní role (např. výbor bezpečnosti, manažer bezpečnosti, architekt bezpečnosti, auditor bezpečnosti) a obsadit je kompetentními zaměstnanci.
Organizační opatření
Zákon rozděluje opatření kybernetické bezpečnosti na organizační a technická opatření. Vyhláška pak tato opatření upřesňuje.
Lze říci, že organizační opatření lze splnit nasazením systému řízení bezpečnosti informací (ISMS – Information Security Management System) podle normy ISO 27000. Máte-li tedy ISMS ve vaší společnosti již implementován, velkou část požadavků Zákona a Vyhlášky již budete splňovat.
ISMS se popíše v bezpečnostní dokumentaci, jejíž základ tvoří bezpečnostní politika a prohlášení o aplikovatelnosti. Vyhláška stanovuje v § 28 seznam vyžadovaných dokumentů a v příloze č. 4 popisuje doporučenou strukturu bezpečnostní dokumentace.
Bezpečnost je potřeba zohlednit v pravidlech spolupráce s dodavatelskými firmami. Musejí se provádět bezpečnostní školení uživatelů, řídit kapacity lidských zdrojů a zastupitelnost. Je potřeba vykonávat celou řadu bezpečnostních procesů, jako jsou řízení aktiv, rizik a kapacit, správa dokumentace, řízení provozu, řízení kontinuity a audit bezpečnosti.
Technická opatření
Prvním technickým opatřením je zajištění fyzické bezpečnosti. Sem spadají kontrola vstupu, ostraha, systémy EZS, EPS, UPS, hasicí systémy, detektory zaplavení vodou, klimatizace.
Zabezpečení komunikačních sítí obnáší nasazení bezpečnostních síťových prvků, rozdělení sítě do více segmentů a filtrování síťové komunikace.
Ověřování identity uživatelů se řeší pomocí LDAP adresářů, systémů identity managementu a přístupových bran. Řízení přístupových oprávnění se zase provádí v administračních aplikacích přiřazováním aplikačních rolí a dalších oprávnění.
Ochranu před škodlivým kódem zajistí antivirové produkty kontrolou síťové komunikace, serverů, datových úložišť i uživatelských stanic.
Dalším technickým opatřením je logování činnosti IS a jeho uživatelů. Vyhláška definuje seznam logovaných činností a uchovávání logů minimálně po dobu tří měsíců.
Detekce bezpečnostních událostí se provádí pomocí IPS řešení (Intrusion Prevention System). Pro sběr a vyhodnocení kybernetických událostí zase slouží tzv. SIEM řešení (Security Information and Event Management).
V rámci aplikační bezpečnosti se provádí bezpečnostní testy zranitelností aplikací.
V případě kryptografických prostředků je potřeba stanovit pravidla jejich používání, šifrování dat a správy klíčů. V příloze č. 3 Vyhlášky jsou uvedeny doporučené kryptografické algoritmy a minimální požadavky na ně.
Zajišťování úrovně dostupnosti informací znamená zajistit vysokou dostupnost informačního systému za použití redundantních prvků. Sem spadá také zálohování a ověřování čitelnosti zálohovacích médií. Nesmí se zapomínat ani na tvorbu, testování a aktualizaci plánů obnovy.
Posledním definovaným technickým opatřením je bezpečnost průmyslových a řídicích systémů. Je nutné zabezpečit přístup k těmto systémům a připravit si plány obnovy provozu po bezpečnostním incidentu.
Zabezpečením to nekončí
Je nutné si uvědomit, že kybernetická bezpečnost je nepřetržitý proces, a ne jednorázová implementace bezpečnostních nástrojů. Existující opatření se musejí pravidelně posuzovat a na základě nových okolností implementovat opatření nová.
K hodnocení úrovně zabezpečení slouží bezpečnostní audity a kontroly pomocí nástrojů (bezpečnostní skeny sítě, penetrační testování). Také je potřeba reagovat na aktuální hrozby ve spolupráci s vládním nebo národním CERT.
A co domácí uživatelé?
Zákon a Vyhláška cílí na státní úřady nebo komerční firmy. Jedna významná skupina subjektů je tím pádem opomenuta. Domácnosti.
A přitom i domácí uživatelé by se měli v kyberprostoru chovat obezřetně a v přiměřené míře si zabezpečit své počítače a domácí síť alespoň antivirovým programem a firewallem. Zapomínat by neměli ani na pravidelné zálohování svých dat.
Autor Martin Šlancar je business analytikem ve firmě NEWPS.CZ