Připravovaný zákon o kybernetické bezpečnosti a jeho prováděcí vyhlášky vyžadují pro poskytovatele v nižším i vyšším režimu povinností řídit bezpečnost dodavatelů. Pro tuto činnost je vžitý anglický termín Vendor security assesment (VSA). VSA zahrnuje nastavení pravidel, řízení a kontrolu dodržování povinností v ochraně bezpečnosti informací v dodavatelském řetězci. Tyto činnosti provádí manažer kybernetické bezpečnosti nebo osoba pověřené řízením kybernetické bezpečnosti.

V nižším režimu nestanovuje návrh vyhlášky přesnou podobu organizačního opatření, smlouvy s dodavateli by přesto měly minimálně obsahovat:

• náležitosti smlouvy o úrovni služeb (SLA),
• ustanovení pravidel pro dodavatele, se kterými byli odpovídající zaměstnanci prokazatelně seznámení,
• ustanovení o sankcích za porušení povinností,
• ustanovení o možnosti auditu dodavatele.

Ve vyšším režimu je nutné identifikovat a řídit takové dodavatele, kteří svými službami nebo produkty mohou ovlivňovat bezpečnost informací a dat. Návrh zákona také definuje tzv. významné dodavatele, kteří mohou významně ovlivnit bezpečnost informací regulované služby. Dodavatele, které organizace vyhodnotí jako významné, musí organizace písemně o této skutečnosti informovat.

V rámci politik řízení dodavatelů, bude například nutné stanovit:

• pravidla určování významných dodavatelů,
• pravidla a principy výběru dodavatelů,
• pravidla pro hodnocení rizik souvisejících s dodavateli,
• pravidla pro vedení evidence kontaktních údajů dodavatelů,
• pravidla pro provádění kontroly bezpečnostních opatření,
• relevantní požadavky na dodavatele plynoucí z bezpečnostních politik organizace.

Návrh vyhlášky pro režim vyšších povinností mimo jiné také stanovuje povinné náležitosti obsahu smluv uzavíraných s významnými dodavateli. Například povinnost zahrnout do smluv ustanovení o bezpečnosti informací, o oprávnění využívat data, o kontrole a auditu dodavatele.

S účinností od 1.1.2025 se dále rozšířil seznam subjektů, pro které je stanovena povinnost přijímat eDoklady. Místo fyzického občanského průkazu se tak můžete prokazovat dokladem nahraným v aplikaci eDoklady například na poštách a v bankách.

Přehled míst, kde lze eDoklady nově použít od 1.1.2025:
okrskové volební komise
školy, vysoké školy
zdravotní pojišťovny
banky
notáři, exekutoři
obce I. a II. stupně
obecní policie obcí I. a II. stupně
pošta
státní podniky
zastupitelské úřady
příspěvkové organizace

Přejeme našim klientům a partnerům příjemné svátky a šťastný a úspěšný rok 2025.

Vyhlášku 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy, připravila do schvalovacího procesu DIA (Digitální a informační agentura) a jsou v ní stanoveny tyto požadavky směřující k posílení kybernetické bezpečnosti informačních systémů orgánů veřejné správy:

• požadavky na strukturu a náležitosti hodnocení ekonomické výhodnosti způsobu provozu informačních systémů veřejné správy
• požadavky na hodnocení ekonomické výhodnosti provozu informačního systému veřejné správy
• požadavky na hodnocení ekonomické výhodnosti využití poptávaného cloud computingu
• požadavky na strukturu a náležitosti informační koncepce orgánu veřejné správy, postupy orgánů veřejné správy při jejím vytváření, vydávání, při vyhodnocování jejího dodržování,
• požadavky na řízení informačních systémů veřejné správy, včetně bezpečnostních úrovní a dekomponování informačních systémů veřejné správy,
• technické požadavky na informační systémy veřejné správy,
• pravidla pro strukturování dat v informačních systémech veřejné správy,
• bezpečnostní požadavky na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy spravovaných orgány veřejné správy, které nejsou orgány nebo osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost,
• požadavky na strukturu a náležitosti provozní dokumentace a na rozsah provozní dokumentace předkládané při atestaci

Mezi novinky patří zejména přechod na jednotnou doménu gov.cz, povinné zavedení IPv6 a požadavky na zveřejnění zdrojových kódů jako Open Source.

Stejně jako v loňském roce jsme se pokusili sepsat nejpravděpodobnější kybernetické hrozby pro rok 2024. Kromě přirozeně rostoucího využívání informačních technologií, ale hlavně jejich adaptace uživatelům, kterým není používání elektronických kanálů přirozené (např. senioři) a kteří byli k používání on-line obsluhy donuceni jako zákazníci bank, operátorů nebo dodavatelů energií, kteří takto dlouhodobě cílí na snížení nákladů, bude významnou míru mezi hrozbami v roce 2024 hrát tzv. umělá inteligence (Artificial intelligence – AI). V roce 2024 lze očekávat, že i seznam potenciálních hrozeb bude blízko těmto trendům.

1. Nárůst role AI v kybernetické kriminalitě a strojové učení

Pravidelně se objevují umělou inteligencí (AI) upravené obrázky, videa nebo hlasy reálných osob. Nástup AI byl v posledním roce signifikantní a to se přirozeně projeví i v trendech kybernetické kriminality. Tvorba reálně vypadajících videí nebo volání je na vzestupu a často v první moment dokáží obelstít i odborníky. A s každým pokusem se může díky strojovému učení takový nástroj zdokonalovat. Pak už jde jen o otázku vhodných scénářů podvodu a lineárně se zdokonalováním AI může růst i množství a sofistikovanost podvodů. Předpokladem je, že tyto podvody budou směřovány hlavně na běžnou populaci.

Oproti tomu lze očekávat, že podobně bude AI využívána i na straně aplikací, starajících se o kybernetickou bezpečnost, kde má naopak trend rychlého rozvoje pozitivní efekt. Toho dokáží nejlépe využít firmy. Pokročilé schopnosti AI v oblasti analýzy dat se stále častěji využívají k identifikaci a předvídání kybernetických hrozeb, čímž se zdokonalují systémy včasné detekce. Algoritmy strojového učení se vyvíjejí tak, aby lépe rozpoznávaly nové hrozby a dokázaly na ně reagovat. Dá se tedy předpokládat, že algoritmy AI budou poskytovat analýzu hrozeb v reálném čase, což umožní rychlejší a přesnější detekci kybernetických incidentů a reakci na ně.

2. Pokračující trend práce na dálku

Práce na dálku, bude i v roce 2024 významně ovlivňovat profesní prostředí. I přesto, že hlavní posun tímto směrem již proběhl, postupné nastavení práce na dálku jako jednu z běžných norem znamená vyžadovat zvýšený důraz i na kybernetickou bezpečnost, zejména na zabezpečení vzdáleného přístupu do pracovního prostředí. Kromě šifrování komunikace budou významnou roli hrát metody autentifikace a autorizace uživatelů. Díky tomu poroste význam systémů označovaných jako CIAM (Customer Identity and Access Management – Správa identit a přístupu zákazníků). Tyto funkce mají zásadní význam pro ochranu před neoprávněným přístupem a kybernetickými hrozbami, které jsou v prostředí vzdálené práce stále častější. Nejde tedy jen o to oprávněného uživatele do vnitřní sítě pustit, ale nastavit mu i odpovídající práva na přístup k jednotlivým službám, funkcím nebo datům.

3. Narůstající útoky vyděračského software (ransomware)

Ransomware zůstane velmi významnou hrozbou i v roce 2024. Současně vzrůstá komplexita jeho taktiky, často za podpory nástrojů AI a útoky jsou stále složitější a jednání vyděračů agresivnější. Očekává se, že v roce 2024 budou škody způsobené ransomware vyšší než v roce 2023 a tento trend bude pravděpodobně pokračovat i v roce 2025. Kromě vlastního znepřístupnění dat formou zašifrování roste i oblast vyhrožování zveřejněním ukradených dat, pokud nedojde k platbě. A k několika významným únikům dat do veřejného prostoru touto cestou již proběhlo. I nadále trvá doporučení vyděračům neplatit.

Ochranou před ztrátou dat je jedině nastavení robustní záložní strategie, školení zaměstnanců, kybernetické pojištění (jehož význam také poroste), odborné znalosti v oblasti ochrany a plány reakce na incidenty. V roce 2024 vstoupí v platnost evropská směrnice NIS2, která systémově řeší oblasti kybernetické bezpečnosti, ale i bez ní se stane standardem na trhu provádění penetračních testů, ověřování integrity sítě, identifikace neoprávněných aktivit a monitorování podezřelého chování (třeba i s využitím AI).

4. Rostoucí důležitost internetu věcí (IoT)

V roce 2024 bude pokračovat exponenciální nárůst zařízení označovaných jako internet věcí (IoT). Jako každá jiná expanze i tato však s sebou nese řadu bezpečnostních rizik a výzev. Různorodá ale všudypřítomná zařízení internetu věcí z nich činí atraktivní cíle kybernetických útoků a jejich propojená povaha může vést k rozsáhlým zranitelnostem. Mohou být přímo napadeny, ale také mohou sloužit jako prostředek k hromadnému napadení jiných zařízení, nebo mohou fungovat jako spící agenti, připravení zaútočit na pokyn útočníka.

V roce 2024 bude kladen hlavní důraz na zvýšení bezpečnosti internetu věcí různými prostředky. Jeden z významných pokroků se očekává ve vývoji robustnějších, standardizovaných bezpečnostních protokolů pro zařízení internetu věcí. To by mohlo zahrnovat univerzální šifrovací standardy a povinné bezpečnostní certifikace pro nová zařízení. V systémové oblasti pak bude zacíleno na monitorování a vyhodnocování neobvyklých vzorců chování, které mohou indikovat narušení a patrně bude i v této oblasti narůstat význam AI a strojového učení.

Celosvětově již probíhají kampaně pro vzdělávání uživatelů v oblasti bezpečnosti internetu věcí. S tím, jak si uživatelé budou lépe uvědomovat potenciální rizika a osvědčené postupy dojde i ke zlepšení celkového zabezpečení sítí IoT.

5. Vzestup kvantových počítačů a jejich dopad na kybernetickou bezpečnost

Kvantové počítače se čím dál častěji hlásí o své místo a nejinak tomu bude i v roce 2024. Kvantové výpočty přinášejí převrat v myšlení o zpracování dat a řešení problémů. Zatímco klasické počítače používají bity reprezentované jako 0 nebo 1, kvantové počítače využívají tzv. qubity, které mohou existovat ve více stavech současně. To dovoluje kvantovým počítačům zpracovávat obrovské objemy dat nebývalou rychlostí a řešit složité problémy řádově rychleji než tradiční počítače.

Rozvoj kvantových počítačů představuje pro kybernetickou bezpečnost hrozby i příležitosti. Na jedné straně představuje významné hrozby pro současné protokoly kybernetické bezpečnosti. Schopnost rychle prolomit tradiční šifrovací metody, jako jsou RSA a ECC, by mohla způsobit zranitelnost mnoha stávajících bezpečnostních systémů. Tato zranitelnost zdůrazňuje naléhavou potřebu vývoje kvantově odolných šifrovacích technik, které se označují jako postkvantová kryptografie a které by měly časem nahradit stávající šifrovací algoritmy.

Na druhou stranu nabízí obrovský výpočetní výkon potenciál pro posílení kyberbezpečnostních opatření. Kvantová výpočetní technika může zdokonalit metody šifrování, vyvinout sofistikovanější algoritmy pro odhalování kybernetických hrozeb a efektivně řídit rozsáhlé a bezpečné datové operace.

6. Evoluce phishingových útoků

Phishingové útoky jsou ve světě kybernetické bezpečnosti již dlouho přetrvávající hrozbou a v roce 2024 se jejich sofistikovanost a účinnost bude i nadále zvyšovat a to i díky AI. Moderní phishingové útoky se zdokonalily v obcházení tradičních bezpečnostních opatření a k oklamání uživatelů používají personalizovanější a technicky vyspělejší taktiky, ke kterým využívají i strojové učení. Pro rok 2024 to bude znamenat zvýšení bezpečnosti prostřednictvím robustních autentizačních a autorizačních systémů. Lze očekávat vyšší míru zavedení silných systémů vícefaktorového ověřování (Multi Factor Authorization – MFA). Stejně tak budou firmy zavádět systémy pro monitoring chování uživatelů, aby například i z nestandardních kroků odhalily, že přihlášený uživatel není oprávněnou osobou. Stejně jako phishingové útoky a obrana proti nim se bude muset významně rozvíjet.

7. Vztah blockchainu a kybernetické bezpečnosti

V průběhu roku 2024 poroste důležitost technologie blockchainu, která bude stále více uznávána pro svůj potenciál významně zvýšit kybernetickou bezpečnost. Blockchain jako decentralizovaná technologie účetní knihy, která je známá svými unikátními bezpečnostními vlastnostmi, jako je neměnnost, transparentnost a odolnost proti manipulaci, se začne významně zapojovat v oblasti kybernetické bezpečnosti. Její vlastnosti z ní činí atraktivní možnost zabezpečení digitálních transakcí a ochrany dat před kybernetickými hrozbami.

Jedním z hlavních způsobů, jak blockchain dokáže zvýšit kybernetickou bezpečnost, je jeho schopnost zabránit manipulaci s daty. Jakmile jsou data zaznamenána v blockchainu, nelze je bez konsensu sítě změnit, což hackerům téměř znemožňuje jejich manipulaci. Tato vlastnost je obzvláště užitečná pro zabezpečení citlivých dat, jako jsou údaje o osobní identitě, finanční transakce, údaje o kritické infrastruktuře apod. Blockchain se také stále více prosazuje při vytváření bezpečnějších a decentralizovanějších systémů správy identit. Ukládáním údajů o identitě do blockchainu mohou mít jednotlivci a organizace větší kontrolu nad tím, kdo má k jejich informacím přístup, což snižuje riziko krádeže identity a podvodů.

Předpokládá se, že v roce 2024 bude role blockchainu narůstat při zabezpečení zařízení internetu věcí (IoT). Integrace blockchainu do sítí IoT umožňuje, aby každé zařízení fungovalo jako bezpečný, nezávislý uzel, díky čemuž je celá síť odolnější vůči útokům, které obvykle využívají slabin centralizovaného zabezpečení. Kromě toho lze očekávat, že inteligentní kontrakty založené na blockchainu budou mít větší využití při automatizaci a zabezpečení digitálních dohod. Tyto samovykonatelné smlouvy mohou zvýšit bezpečnost různých online transakcí, zajistit dodržování předpisů a snížit riziko narušení.

8. Zvýšený dopad na mobilní bezpečnost

V roce 2024 se dále posílí role mobilních zařízení, která se stávají stále více nedílnou součástí osobního i profesního života. Tím se ještě zvýší důraz na mobilní bezpečnost. Zvýšená závislost na mobilních zařízeních pro různé úkoly, pro práci na dálku, v rámci finančních transakcí nebo pro osobní komunikaci z nich činí atraktivní cíle pro kybernetické hrozby. Proto poroste poptávka po řešení pro bezpečný mobilní přístup. Sem patří silné šifrovací protokoly, které zajišťují přenosy chráněné před neoprávněným zachycením nebo přístupem, vícefaktorové ověřování u transakcí s citlivými daty. Další oblastí bude protokolování komunikace s automatizovanou analýzou, což představuje prevenci neoprávněného přístupu, nebo poroste role monitorování jakékoli podezřelé aktivity, která se může během vzdálené relace vyskytnout. A to vše musí být v souladu s uživatelskou přívětivostí, aby uživatelé bezpečnostní pravidla neobcházeli.

9. Nedostatečné znalosti a vliv vzdělávání na kybernetickou bezpečnost

Rok 2024 bude v odvětví kybernetické bezpečnosti znamenat významnou výzvu, kterou je nedostatek kvalifikovaných pracovníků. Zavádění NIS2, nový zákon a vyhláška o kybernetické bezpečnosti tento trend ještě akcelerují. S tím, jak se kybernetické hrozby stávají sofistikovanějšími, roste poptávka po kvalifikovaných odbornících na kybernetickou bezpečnost. Současně je patrný nedostatek osob obecně vybavených potřebnými dovednostmi a znalostmi, aby mohly účinně bojovat proti těmto vyvíjejícím se hrozbám. Tento nedostatek představuje riziko nejen pro jednotlivé organizace, ale také pro globální kybernetickou infrastrukturu. Řešení tohoto problému se věnuje řada iniciativ, ať již v rámci vzdělávacích institucí, které rozšiřují své studijní programy v oblasti kybernetické bezpečnosti a nabízejí specializované tituly a certifikace, nebo i přímo ve firemním vzdělávání a to jak specializované, tak obecné pro širší okruh zaměstnanců ve formě seminářů, školících programů, workshopů nebo praktických cvičení a informační osvětě.

V období do roku 2024 hrají tyto vzdělávací a školicí iniciativy zásadní roli při snižování nedostatku kybernetických dovedností, což v konečném důsledku povede k robustnějšímu a odolnějšímu digitálnímu ekosystému firem.

10. Pojištění proti kybernetickým útokům

Pojištění kybernetické bezpečnosti se v roce 2024 nezbytně stane běžnou součástí strategií řízení podnikových rizik. Ať to souvisí s trendem narůstajících kybernetických rizik nebo i se zaváděním evropské směrnice NIS2 a nového zákona o kybernetické bezpečnosti, rok 2024 bude znamenat pro mnoho firem nutnost se proti obdobným rizikům pojistit. Souvisí to s rostoucí složitostí a četností kybernetických hrozeb, a s tím souvisejícími finančními riziky. Ještě důležitější však bude pojištění rizik spojených s úniky dat, jelikož jde často o obchodní, osobní nebo dokonce citlivé informace. Náklady na toto pojištění budou vždy významně ovlivněny postojem pojištěné organizace v oblasti kybernetické bezpečnosti a pojišťovny budou vyžadovat dodržování široké sady pravidel. Půjde například o zavedení robustního šifrování, vícefaktorového ověřování, komplexních protokolů o přístupu apod.

Protože říjen není jen měsícem kybernetické bezpečnosti, ale tradičně je i měsícem věnovaným problematice rakoviny prsu, zúčastnili jsme se v neděli 4. ročníku charitativního běhu Race for the cure. Výtěžek ze startovného bude věnován na aktivity Aliance žen s rakovinou prsu a projektu Bellis – mladé ženy s rakovinou prsu.

Kdy nastanou změny v souvislosti s NIS2 a proč jim věnovat pozornost již nyní?

Platnost zákona je očekávána v druhé polovině roku 2024. Dle dostupných informací bude existovat roční přechodné období, ale vybrané požadavky zákona (např. povinnost plnit protiopatření NÚKIB nebo hlásit kontaktní údaje a jejich změny) bude nutné začít plnit již v druhé polovině roku 2024. Zavedení souladu s NIS2 bude časově náročná činnost a proto lze očekávat, že bude implementace do dané společnosti trvat minimálně několik měsíců. Vzhledem k tomu že právní úprava se blíží finálnímu znění a v odborné veřejnosti je již známa, lze interní harmonogram začít plánovat již nyní. Vzhledem k tomu, že některá opatření vyvolají dodatečné náklady, bude důležité zahájit plánování i z důvodu nárokování odpovídajících částek v rozpočtu podniku. 

Za nesplnění budou hrozit vysoké sankce. Maximální pokuta za nedodržení bude 10 000 000 Kč, nebo 2 % z celkového celosvětového ročního obratu společnosti. Minimální výše není stanovena, sankce by však neměla být likvidační, přesto je však nutné zohlednit i to, že vlastní sankce může být jen zlomkem skutečných škod, které kybernetický útok způsobí.

Kromě toho hrozí i správní tresty, mezi něž patří pozastavení platnosti certifikace a pozastavení výkonu řídicí funkce (u poskytovatelů regulovaných služeb v režimu vyšších povinností). Pokud by se hypoteticky vrcholné vedení regulované organizace soustavně vyhýbalo plnění svých zákonných povinností vyplývajících z návrhu zákona o kybernetické bezpečnosti a jeho prováděcích předpisů, hrozí v krajním případě až pozastavení výkonu řídicí funkce přímo fyzické osobě.

 

Absolvovali jsme OneWelcome CIAM Advanced Training.

Pětidenní program tohoto pokročilého školení nám poskytl nové zajímavé zkušenosti s konfiguračními aspekty řešení OneWelcome. V rámci praktických cvičení také prověřil důkladné pochopení technických aspektů produktu a naše schopnosti efektivně implementovat řešení CIAM.

Výběr z témat: dynamická registrace klientů, OAuth klient pro ověřování, konfigurace souhlasu s dokumenty, získávání souhlasů s dokumenty prostřednictvím rozhraní API, konfigurace a ověřování postupného souhlasu s dokumenty, konfigurace atributového souhlasu spolu s účelem zpracování, integrace služeb třetích stran, BPMN, konfigurace BPMN pro snadný registrační tok

Od tohoto týdne se spolu můžeme vídat na naší nové adrese Bělehradská 299/132, Praha 2

V minulém článku jsme se věnovali tomu, kterých firem se nově budou týkat povinnosti v oblasti zajišťování kybernetické bezpečnosti vyplývající z nové směrnice Evropské unie NIS2.

U většiny subjektů lze v návrhu nového zákona o kybernetické bezpečnosti vysledovat souvislost určení míry povinností zejména s velikostí podniku, roli však také hraje rozsah a míra dopadu bezpečnostního incidentu. Režim povinností není v rozhodovací pravomoci subjektu, požadovaná úroveň je určena definovanými kritérii v prováděcí vyhlášce a dále může být určena Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB).

Pokud u subjektu bude identifikována některá služba v režimu vyšších povinností, pak automaticky všechny ostatní služby budou též zařazeny do režimu vyšších povinností, ačkoliv samy o sobě by kritéria nenaplňovaly.

V zásadě se však povinnosti subjektů v obou režimech příliš neliší, podrobnosti uvádí následující tabulka.