Je nutné spolupracovat se zahraničními partnery při řešení kybernetických bezpečnostních incidentů, stejně jako při nalézání nových zranitelností a hrozeb,

řekl CzechIndustry Dušan Navrátil, ředitel Národního bezpečnostního úřadu

Pane řediteli, můžete našim čtenářům představit v krátkosti Národní bezpečností úřad?

Národní bezpečnostní úřad vznikl v roce 1998 jako ústřední správní úřad pro oblast ochrany utajovaných informací a k prověřování a ověřování bezpečnostní způsobilosti osob, to jsou takzvané bezpečnostní prověrky. Bylo to mimo jiné nutné kvůli vstupu České republiky do NATO. NBÚ zároveň zajišťuje mezinárodní spolupráci v oblasti ochrany utajovaných informací, provádí certifikace technologií pro nakládání s utajovanými informacemi, zajišťuje výzkum, vývoj a výrobu národních kryptografických prostředků a další činnosti spojené s bezpečností národních utajovaných informací.

V roce 2011 byl NBÚ ustaven gestorem problematiky kybernetické bezpečnosti a národní autoritou pro tuto oblast. Na základě tohoto pověření vybudoval Národní centrum kybernetické bezpečnosti (NCKB), jehož součástí je i vládní CERT, což je pracoviště pro zvládání kybernetických bezpečnostních incidentů.

 

Které hlavní úkoly NBÚ řeší?

Zejména rozhoduje o již zmíněných bezpečnostních prověrkách. Správně se jim říká osvědčení fyzické osoby, osvědčení podnikatele a osvědčení o vydání dokladu o bezpečnostní způsobilosti fyzické osoby.

Další úkoly plní v oblasti ochrany utajovaných informací v souladu se závazky vyplývajícími z členství České republiky v Evropské unii, Organizaci Severoatlantické smlouvy, tedy NATO, a z mezinárodních smluv, jimiž je Česká republika vázána.

Úřad provádí výkon státního dozoru a ukládá sankce za nedodržení povinností stanovených zákonem o ochraně utajovaných informací. Dále zajišťuje činnost Národního střediska komunikační bezpečnosti, Národního střediska pro distribuci kryptografického materiálu, Národního střediska pro měření kompromitujícího elektromagnetického vyzařování a Národního střediska pro bezpečnost informačních systémů, které jsou jeho součástí. Zajišťuje již zmíněný výzkum, vývoj a výrobu národních kryptografických prostředků, vyvíjí a schvaluje národní šifrové algoritmy a vytváří národní politiku kryptografické ochrany.

A v neposlední řadě, jak už jsem řekl v předchozí odpovědi, vykonává státní správu v oblasti kybernetické bezpečnosti.

 

Jak jste uvedl, v roce 2011 vláda rozhodla, že NBÚ bude gestorem problematiky kybernetické bezpečnosti a schválila status Rady pro kybernetickou bezpečnost. Následně nato vzniklo Národní centrum kybernetické bezpečnosti, které je součástí Národního bezpečnostního úřadu. Které hlavní důvody vedly k vytvoření Rady a jaký je vztah mezi Radou a Národním centrem pro kybernetickou bezpečnost?

Rada pro kybernetickou bezpečnost, zkráceně RKB, je poradním orgánem předsedy vlády České republiky pro oblast kybernetické bezpečnosti. Na základě této platformy jsou prezentovány problémy, výzvy i výsledky, kterých bylo v oblasti kybernetické bezpečnosti dosaženo.

Spíše než o vztahu mezi NCKB a RKB bych hovořil o vztahu mezi NBÚ a RKB, jelikož NCKB je pouze jednou z více součástí NBÚ.

RKB například koordinuje činnost státních institucí v oblasti kybernetické bezpečnosti a přispívá k zajištění plnění závazků meziresortní povahy, koordinuje státní instituce při plnění závazků v oblasti kybernetické bezpečnosti, které vyplývají z členství České republiky v mezinárodních organizacích a koordinace zastupování České republiky v mezinárodních organizacích a v dalších zahraničních aktivitách souvisejících s kybernetickou bezpečností. Rada řeší aktuální otázky kybernetické bezpečnosti, spolupracuje s odbornými subjekty, a využívání jejich výstupů v zájmu zajišťování kybernetické bezpečnosti České republiky.

 

Co vše zahrnuje pojem kybernetická bezpečnost?

Kybernetická bezpečnost je velmi široký pojem. Nad jeho vymezením se vede mnoho akademických debat. NBÚ k ní aktuálně přistupuje z pozice nově schválené Národní strategie kybernetické bezpečnosti na období let 2015 až 2020, která ji definuje jako souhrn organizačních, politických, právních, technických a vzdělávacích opatření a nástrojů směřujících k zajištění zabezpečeného, chráněného a odolného kyberprostoru. Hlavním smyslem zmíněné strategie je ochrana prostředí k realizaci informačních práv člověka.

Rád bych zdůraznil, že kybernetická bezpečnost není pojmem pouze technickým. Naopak zahrnuje množství společenských opatření, od právních, organizačních až po vzdělávací. Bohužel není vůbec výjimečné, že i u technicky dobře zabezpečeného systému je způsoben závažný bezpečnostní incident právě neznalostí a neopatrností jejich uživatelů. Z tohoto ohledu je pak nejlepším řešením řádné vzdělávání, čímž se například i vzdělávací opatření také stávají součástí kybernetické bezpečnosti.

 

Které jsou hlavní hrozby, jímž čelíme v kyberprostoru?

V kyberprostoru v současné době existuje značné množství hrozeb, jímž je třeba čelit. Na úrovni jednotlivců se jedná zejména o případy kyberkriminality, kdy pachatelé nebo organizované kriminální skupiny využívají jisté neopatrnosti uživatelů a slabin jejich systémů k získání zejména finančního prospěchu. Jinou hrozbou, de facto na opačné straně škály, jsou snahy cizích států či jiných aktérů získávat citlivé informace strategického významu. V kyberprostoru můžeme také vidět časté projevy hacktivismu, kdy se aktéři určitým narušením systémů a sítí snaží o dosažení pozornosti veřejnosti za účelem dosažení politických cílů.

Hrozeb je zde řada a všechny vycházejí ze závislosti naší společnosti na správném fungování informačních a komunikačních technologií. Čím více tyto technologie potřebujeme ke svému osobnímu či ekonomickému životu, nebo k fungování a zabezpečení státu, tím více hrozeb a více rizik je zde možné nalézt.

 

Jak se vyvíjí a rozvíjí mezinárodní spolupráce při ochraně kyberprostoru, v jakých oblastech především? 

Mezinárodní spolupráce je v rámci kybernetické bezpečnosti naprosto zásadní. Ač nelze říci, že je kyberprostor naprosto nezávislý na geografii, jelikož potřebná infrastruktura se vždy nachází na teritoriu určitého státu, popř. teritoriu s určitým mezinárodně-právním režimem, je kyberprostor charakteristický stíráním vzdáleností a jiných geografických překážek a svou značnou komplexností, která zjednodušeně řečeno umožňuje relativně snadno ovlivňovat systémy na druhém konci světa pouhým kliknutím myši u svého stolu. Stejně jako je kyberprostor mezinárodně propojený, jsou podobně propojeny i příležitosti a hrozby, které se v něm vyskytují.

Z tohoto důvodu je nutné spolupracovat při řešení kybernetických bezpečnostních incidentů, stejně jako při nalézání nových zranitelností a hrozeb, se zahraničními partnery. Za současného stavu není možné pracovat pouze na „našem hřišti“, jelikož jakékoli opatření a aktivity pouze v rámci České republiky by byly neefektivní.

Základem takové mezinárodní kooperace je přímá spolupráce jednotlivých bezpečnostních týmů, které konkrétní incidenty řeší. U těch se vžilo označení CERT nebo CSIRT a sdružují se do svých organizací. Jako příklad mohu uvést Trusted Introducer na evropské úrovni nebo FIRST, jenž působí na úrovni globální. Jsme rovněž součástí kybernetické obrany NATO, která je řešena na úrovni aliance. V rámci EU pak Česká republika vyvíjí svou aktivitu při přípravě směrnice o bezpečnosti sítí a informací nebo spolupracuje s evropskou agenturou ENISA. Česká republika byla také jednou ze zakládajících zemí Středoevropské platformy pro kybernetickou bezpečnost, která slouží k posílení spolupráce mezi středoevropskými zeměmi v této oblasti.

Naše země je také důvěryhodným partnerem v rámci bilaterální spolupráce s jednotlivými státy. Spolupráce je pak nastolena v mnoha oblastech, od již zmíněného řešení kybernetických incidentů, přes výměnu informací o hrozbách a zranitelnostech, přes sdílení know-how a zkušeností s implementací opatření k zajištění kybernetické bezpečnosti.

Zvláštní roli hrají v rámci mezinárodní spolupráce cvičení kybernetické bezpečnosti, kterých se Česká republika aktivně účastní, ať již na úrovni EU či v rámci NATO.

 

Zmínil jste, že vláda schválila Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020. Jaké konkrétní úkoly a kroky z ní vyplývají pro NCKB, jsou obsaženy v Akčním plánu k národní strategii kybernetické bezpečnosti nebo i dalších dokumentech?

Těch úkolů a kroků, které je třeba učinit v následujícím období, je poměrně hodně. Akční plán stanovuje celkem 141 hlavních úkolů, kterých má být dosaženo, přičemž množství dílčích úkolů je ještě vyšší. Je nutné říci, že ne všechny tyto úkoly padají na bedra NBÚ. Strategie i akční plán jsou totiž národními dokumenty, které stanovily úkoly v této oblasti i jiným odpovědným subjektům České republiky. NBÚ je však stále odpovědný za hlavní část úkolů a zejména pak plní koordinační roli.

Z úkolů lze konkrétně uvést například průběžné určování subjektů kritické informační infrastruktury a identifikaci významných informačních systémů, jichž se dotýká zákon o kybernetické bezpečnosti. Následují konzultace a metodická podpora zejména subjektům KII a VIS, ale nejen jim. Pro vysvětlení, systémy kritické informační infrastruktury jsou označovány jako KII a významné informační systémy jako VIS.

Dalšími úkoly je například podpora vytváření mezinárodních informačních kanálů mezi CERT/CSIRT pracovišti, mezinárodními organizacemi a akademickými centry, účastnit se a organizovat mezinárodní školení, kurzy a semináře v oblasti kybernetické bezpečnosti, účastnit se i připravovat cvičení kybernetické bezpečnosti a další. Úkolů je opravdu řada a nejlépe bude podívat se přímo do akčního plánu, který najdete na internetových stránkách www.govcert.cz.

 

Od 1. ledna tohoto roku vstoupily v platnost zákon č. 181/2014 Sb., o kybernetické bezpečnosti, dále vyhláška o kybernetické bezpečnosti a vyhláška o významných informačních systémech a jejich určujících kritériích. V této souvislosti se setkáváme s Vámi již uvedenými pojmy kritická informační infrastruktura a významné informační systémy. Můžete nám podrobněji vysvětlit, co vše zahrnují?

Oba tyto pojmy, které zkracujeme jako KII a VIS, zahrnují informační nebo komunikační systémy, které jsou nějakým způsobem důležité pro chod či bezpečnost státu. Kritická informační infrastruktura zahrnuje ty informační a komunikační systémy, jejichž omezení či výpadek by mohl mít závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu. Určování této infrastruktury je pak navázáno na „krizový zákon“. Významné informační systémy jsou naopak systémy, které nejsou pro stát kritické, ale jsou stále natolik důležité, aby stát určil alespoň minimální požadavky na jejich zabezpečení. Významnými informačními systémy mohou být pouze systémy, které spravuje orgán veřejné moci, typicky se jedná o informační systémy ministerstev, ústředních správních úřadů či jiných úřadů, ovšem vyjma obecních.

 

Na které osoby a organizace zákon o kybernetické bezpečnosti především dopadá? 

Obecně lze říci, že zákon o kybernetické bezpečnosti dopadá zejména na ty subjekty, které jsou zásadní pro zajištění bezpečného kyberprostoru, a na ty, u kterých by výpadek jejich systémů mohl mít závažný dopad pro stát. V prvním případě lze hovořit zejména o poskytovatelích služeb elektronických komunikací a subjektech zajišťujících sítě elektronických komunikací, stejně jako o subjektech, které zajišťují zahraniční propojení do veřejných komunikačních sítí anebo zajišťují přímé připojení kritické informační infrastruktury do veřejných komunikačních sítí. Ve druhém případě se pak jedná o již zmíněné subjekty se systémy kategorie kritická informační infrastruktura, tedy subjekty řekněme velmi důležité pro řádný chod a bezpečnost státu, a také orgány veřejné moci, u kterých by výpadek informačních systémů mohl ohrozit výkon jejich působnosti.

 

Jak by měly být podle Vás implementovány bezpečností role z hlediska kybernetické bezpečnosti do struktury organizací?

Postupy, jak implementovat jednotlivé bezpečnostní role, jsou popsány v různých metodikách a vychází z jistých nejlepších praktik, takzvaných Best Practices. Zákon o kybernetické bezpečnosti ani jeho vyhláška tento postup konkrétně nespecifikuje, a to zejména z důvodu rozdílnosti organizační struktury jednotlivých povinných subjektů a z důvodu rozdílnosti jejich řízení. Obecně však mohu říct, že zmiňované bezpečnostní role vycházejí ze standardu ISO/IEC 27000 a zasahují do všech úrovní řízení, tedy do strategické, taktické i operativní.

 

Jaký by měl být odborný profil manažera kybernetické bezpečnosti a jak velké společnosti by měly tuto pozici zřídit?

Manažer kybernetické bezpečnosti, jak jej definuje zákon, není pozice, ale role. Je to osoba odpovědná za systém řízení bezpečnosti informací. Jde o obdobnou roli, jakou je manažer systému řízení bezpečnosti informací - ISMS.

Manažer kybernetické bezpečnosti zodpovídá za plánování, organizování, koordinování a řízení realizace bezpečnostních opatření. Obecně řečeno, manažer kybernetické bezpečnosti řídí všechny procesy spojené s řízením kybernetické bezpečnosti. Měl by být orientovaný na naplnění cílů kybernetické bezpečnosti organizace a mít přehled o úlohách, rolích, postavení a cílech organizace jako celku, dále by měl být schopen spolupracovat s týmem lidí a mít zkušenosti s řízením projektů a rizik, ideálně v oblasti ICT bezpečnosti. Manažer kybernetické bezpečnosti by měl mít znalosti a praxi z oblasti řízení bezpečnosti informací, například podle norem ISO/IEC 27000.

Subjekty, které jsou správci kritické informační infrastruktury, musí mít tuto roli v organizaci zřízenu ze zákona. U dalších subjektů se tato role bude určovat spíše na základě oboru činnosti, cílech organizace, aktivech, procesech organizace a jiných specifik.

 

V předcházejících otázkách jsme hovořili v zjednodušeném vyjádření o strategicko-legislativní oblasti a managementu kybernetické bezpečnosti. Třetí částí je technická oblast. Co vše do ní konkrétně patří?

Kromě organizačních opatření, definujeme ve vyhlášce o kybernetické bezpečnosti také opatření technická. Mezi ně můžeme zařadit fyzickou bezpečnost, která zahrnuje například používání mechanických zábranných prostředků, systémů pro kontrolu vstupů, kamerových systémů a podobně. Dále mezi technická opatření patří nástroje pro segmentaci sítí, třeba pomocí demilitarizovaných zón, VLANů, nástrojů pro detekci kybernetických útoků a jiných prostředků. V této části jsou kladeny požadavky také na aplikační bezpečnost, bezpečnost průmyslových a řídicích systémů a požadavky na zajištění dostupnosti. Jsou tu například definovány i prostředky kryptografické ochrany.

Celý článek ke stažení zde:

CI02_48_49_Je nutné spolupracovat.pdf