Vyhlášku 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy, připravila do schvalovacího procesu DIA (Digitální a informační agentura) a jsou v ní stanoveny tyto požadavky směřující k posílení kybernetické bezpečnosti informačních systémů orgánů veřejné správy:

• požadavky na strukturu a náležitosti hodnocení ekonomické výhodnosti způsobu provozu informačních systémů veřejné správy
• požadavky na hodnocení ekonomické výhodnosti provozu informačního systému veřejné správy
• požadavky na hodnocení ekonomické výhodnosti využití poptávaného cloud computingu
• požadavky na strukturu a náležitosti informační koncepce orgánu veřejné správy, postupy orgánů veřejné správy při jejím vytváření, vydávání, při vyhodnocování jejího dodržování,
• požadavky na řízení informačních systémů veřejné správy, včetně bezpečnostních úrovní a dekomponování informačních systémů veřejné správy,
• technické požadavky na informační systémy veřejné správy,
• pravidla pro strukturování dat v informačních systémech veřejné správy,
• bezpečnostní požadavky na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy spravovaných orgány veřejné správy, které nejsou orgány nebo osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost,
• požadavky na strukturu a náležitosti provozní dokumentace a na rozsah provozní dokumentace předkládané při atestaci

Mezi novinky patří zejména přechod na jednotnou doménu gov.cz, povinné zavedení IPv6 a požadavky na zveřejnění zdrojových kódů jako Open Source.

Přejeme našim klientům a partnerům šťastný a úspěšný rok 2024.

Protože říjen není jen měsícem kybernetické bezpečnosti, ale tradičně je i měsícem věnovaným problematice rakoviny prsu, zúčastnili jsme se v neděli 4. ročníku charitativního běhu Race for the cure. Výtěžek ze startovného bude věnován na aktivity Aliance žen s rakovinou prsu a projektu Bellis – mladé ženy s rakovinou prsu.

Kdy nastanou změny v souvislosti s NIS2 a proč jim věnovat pozornost již nyní?

Platnost zákona je očekávána v druhé polovině roku 2024. Dle dostupných informací bude existovat roční přechodné období, ale vybrané požadavky zákona (např. povinnost plnit protiopatření NÚKIB nebo hlásit kontaktní údaje a jejich změny) bude nutné začít plnit již v druhé polovině roku 2024. Zavedení souladu s NIS2 bude časově náročná činnost a proto lze očekávat, že bude implementace do dané společnosti trvat minimálně několik měsíců. Vzhledem k tomu že právní úprava se blíží finálnímu znění a v odborné veřejnosti je již známa, lze interní harmonogram začít plánovat již nyní. Vzhledem k tomu, že některá opatření vyvolají dodatečné náklady, bude důležité zahájit plánování i z důvodu nárokování odpovídajících částek v rozpočtu podniku. 

Za nesplnění budou hrozit vysoké sankce. Maximální pokuta za nedodržení bude 10 000 000 Kč, nebo 2 % z celkového celosvětového ročního obratu společnosti. Minimální výše není stanovena, sankce by však neměla být likvidační, přesto je však nutné zohlednit i to, že vlastní sankce může být jen zlomkem skutečných škod, které kybernetický útok způsobí.

Kromě toho hrozí i správní tresty, mezi něž patří pozastavení platnosti certifikace a pozastavení výkonu řídicí funkce (u poskytovatelů regulovaných služeb v režimu vyšších povinností). Pokud by se hypoteticky vrcholné vedení regulované organizace soustavně vyhýbalo plnění svých zákonných povinností vyplývajících z návrhu zákona o kybernetické bezpečnosti a jeho prováděcích předpisů, hrozí v krajním případě až pozastavení výkonu řídicí funkce přímo fyzické osobě.

 

Absolvovali jsme OneWelcome CIAM Advanced Training.

Pětidenní program tohoto pokročilého školení nám poskytl nové zajímavé zkušenosti s konfiguračními aspekty řešení OneWelcome. V rámci praktických cvičení také prověřil důkladné pochopení technických aspektů produktu a naše schopnosti efektivně implementovat řešení CIAM.

Výběr z témat: dynamická registrace klientů, OAuth klient pro ověřování, konfigurace souhlasu s dokumenty, získávání souhlasů s dokumenty prostřednictvím rozhraní API, konfigurace a ověřování postupného souhlasu s dokumenty, konfigurace atributového souhlasu spolu s účelem zpracování, integrace služeb třetích stran, BPMN, konfigurace BPMN pro snadný registrační tok

Od tohoto týdne se spolu můžeme vídat na naší nové adrese Bělehradská 299/132, Praha 2

V minulém článku jsme se věnovali tomu, kterých firem se nově budou týkat povinnosti v oblasti zajišťování kybernetické bezpečnosti vyplývající z nové směrnice Evropské unie NIS2.

U většiny subjektů lze v návrhu nového zákona o kybernetické bezpečnosti vysledovat souvislost určení míry povinností zejména s velikostí podniku, roli však také hraje rozsah a míra dopadu bezpečnostního incidentu. Režim povinností není v rozhodovací pravomoci subjektu, požadovaná úroveň je určena definovanými kritérii v prováděcí vyhlášce a dále může být určena Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB).

Pokud u subjektu bude identifikována některá služba v režimu vyšších povinností, pak automaticky všechny ostatní služby budou též zařazeny do režimu vyšších povinností, ačkoliv samy o sobě by kritéria nenaplňovaly.

V zásadě se však povinnosti subjektů v obou režimech příliš neliší, podrobnosti uvádí následující tabulka.

Následující minisérii článků věnujeme nové směrnici Evropské unie  NIS2 a změnám, které v České republice přinese. Tyto změny nastanou s účinností nového zákona o kybernetické bezpečnosti.

První výraznou změnou v oblasti zajišťování kybernetické bezpečnosti je rozšíření okruhu firem, jichž se týkají požadavky Evropské unie.

Povinně dopadne nově na, dle odhadů, tisíce firem a těch se bude nově týkat množství povinností.

Nepředpokládáme, že by tyto firmy kybernetickou a informační bezpečnost neřešily již nyní, ale bude nutné, aby prováděly např. identifikaci a hodnocení aktiv, analýzu rizik, aby měly nastavené procesy pro řešení bezpečnostních incidentů, aby u nich pravidelně probíhal audit bezpečnostních opatření, nastavení šifrování, zabezpečení nouzové komunikace, byly zpracovány plány obnov a kontinuity činností a mnoho dalších činností, na které dosud nemusely být zvyklé. Proto jsme se rozhodli připravit toto shrnutí.

Povinnosti se podle režimu rozdělují do dvou, resp. tří základních kategorií a to na „organizační opatření“, „technická opatření“ a „zpracování dat v zahraničí“ (pouze v režimu vyšších povinností).

 

Koho se nově NIS2 týká

Podle návrhu prováděcí vyhlášky se povinnosti nového kybernetického zákona budou týkat veřejné správy (včetně např. obcí s rozšířenou působností), dále pak středních a velkých podniků v oblastech energetika, výrobní průmysl, potravinářský průmysl, chemický průmysl, vodní hospodářství, odpadové hospodářství, doprava, digitální infrastruktura a služby, finanční trh, zdravotnictví, věda, výzkum a vzdělávání, poštovní služby, vojenský průmysl a vesmírný průmysl.

Z dat statistického úřadu vyplývá, že podle počtu zaměstnanců je v ČR 2411 velkých podniků, malých a středních pak 30539. Počet zaměstnanců samozřejmě není jediným kritériem pro určení velikosti podniku, z uvedených čísel se však zdá odhad 6000 dotčených subjektů jako podhodnocený. Důležité je si uvědomit, že mnoha dalších podniků se nová právní úprava dotkne nepřímo, jelikož je na ně přenese některý z jejich velkých zákazníků, pro kterého se stane NIS2 povinnou a bude některá opatření požadovat i od svých dodavatelů.

(https://www.czso.cz/csu/czso/res_cr)

Další díl naší série Kybernetické útoky je věnován otázkám používání hesel v různých službách. Sledujte na stránce Kybernetická bezpečnost.

V minulém článku jsme popsali pět nejvíce očekávaných kybernetických hrozeb pro rok 2023. Dynamický rozvoj informačních technologií se nutně odráží i v dynamickém rozvoji oblastí kybernetické kriminality a proto jsme se pokusili zaměřit na pět dalších, které v roce 2023 budou mít významný dopad na fungování společnosti jako celku.

6.       Postupný tlak na snižování nákladů na informační technologie a související služby vedl k tomu, že s časem narůstá i riziko, že některá z podfinancovaných oblastí bude znamenat kritické ohrožení pro fungování technologických celků. Vzniká tak nekončící spirála, která díky sníženému rozpočtu bude znamenat vyšší riziko napadení, díky napadení a únikům informací porostou náklady na opatření, která budou po takovém útoku zavedena, zvýší se náklady na právní služby, náklady na vyšetřování příčin i hledání útočníků, náklady na výměnu poskytovatelů bezpečnostních řešení a toto vše pak bude mít zákonitě vliv na další snížení investic do informačních technologií a bezpečnosti, jelikož všechny výše vyjmenované služby si navzájem konkurují v rámci rozpočtu, který je na oblast informačních technologií a bezpečnosti určen.

7.       Výrazný nárůst pojištění následků kybernetických útoků bude způsoben tím, že v oblasti pojištění již nejde o novinku a obor se rychle etabloval jako jedna ze součástí řešení kybernetické kriminality. Velké společnosti začnou tlačit na své dodavatele a něm nezbyde nic jiného, než mít kromě všech jiných požadavků povinně i pojištění proti následkům kybernetických útoků. To povede ke zvýšení poptávky a poskytovatelé takového pojištění a jejich zajišťovny získají prostor pro vyjednání zajímavé prémie a tím i zvýšení svého zisku. Sekundárním faktorem nárůstu nákladů na toto pojištění bude i zkušenost pojišťoven s reálnými škodami, díky kterým budou nuceny vyplácet odškodnění a rostoucí počet takových událostí jednoznačně promítnou do své kalkulace pojistného na další období.

8.       Velkou oblastí se v kybernetické bezpečnosti jednoznačně stane prostředí „internetu věcí“ neboli IoT. Miliardy jednoduchých zařízení připojených k internetu budou s narůstajícím počtem a dobou svého použití znamenat narůstající riziko kybernetického útoku nebo jejich zneužití. Zařízení jsou často tak jednoduchá, že neumožňují automatické nahrání bezpečnostních oprav nebo i když takovou funkci v sobě mají, po velmi krátké době mezi 18 měsíci až třemi roky pro ně výrobce přestane bezpečnostní opravy vydávat a to i přesto, že jejich životnost bude mnohem delší. A nikdo nebude po tak krátkém čase obdobné zařízení vyměňovat a tak poroste množina napadnutelných zařízení a jejich prostřednictvím pak mohou vznikat kybernetické útoky i na služby a aplikace, s kterými vzdáleně komunikuji, nebo kterým předávají svá data.

9.       Cílem útoku se stanou zákonitě i platformy DevSecOps. Vzhledem k současnému způsobu tvorby aplikací za pomocí skládání knihoven od různých výrobců, přebírání celých vývojářských frameworků nebo tvorby knihoven z knihoven jiných autorů roste riziko, že takto přejatý kód bude v rámci komplexity současných informačních technologií převzat včetně bezpečnostní chyby. Před necelými třemi roky přesně podle tohoto scénáře proběhl útok nazvaný SolarWinds, kdy se do prostředí soužícího k řízení IT služeb dostalo několik řádků škodlivého kódu, který byl následně i využit. Kromě vlastního útoku na konkrétní firmy tak panika na trhu způsobila, že i další uživatelé tohoto prostředí začali omezovat své služby, aniž by byli napadeni, jelikož v daném okamžiku neexistovalo jednoduché řešení, jak riziko napadení prostřednictvím škodlivého kódu ošetřit a současně nikdo neměl jistotu, zda se v dané platformě nevyskytuje takových míst se škodlivým kódem více.

10.       Velkou výzvou pro kybernetickou bezpečnost se stane i poskytování vzdáleného výkonu (často označovaného termínem edge computing). Mobilní telefony a další zařízení se stanou terminálem nebo zobrazovačem pro aplikace, které poběží v supervýkonných datových centrech. Tím bude možné používat v mobilním zařízení vzdálený výpočetní výkon pro rozsáhlé matematické výpočty, pro animace v reálném čase, nebo například optimalizace dopravní situace napříč celým městem na základě poskytovaných informací z jednotlivých vozidel. To povede k daleko vyšší závislosti na připojení, distribuovaném výpočetním výkonu, diverzifikaci používaných zařízení atd. A právě ochrana těchto oblastí se stane významnou výzvou pro oblast kybernetické bezpečnosti, jelikož jakýkoliv úspěšný útok by pak mohl mít fatální následky.

Vytvořeno ve spolupráci s Thales