Thursday, April 17, 2014

Zákon o kybernetické bezpečnosti. Co přinese?

Kyberkriminalita je v poslední době celosvětově často skloňované téma. Ani Česká republika není výjimkou. Na zpravodajských serverech se v posledních několika měsících objevují zprávy o tom, že tu unikly informace, tu došlo ke krádeži přístupových hesel, tu se někdo naboural do klíčového systému například pojišťovny. Důkazem mohou být titulky z předchozích 2 měsíců: Kyberútoky straší i české úřady, Internetové účty nejsou v bezpečí, varují banky, Pětiletý chlapec obelstil zabezpečení Microsoftu, ale i téma týkající se Chyby krvácejícího srdce, o které toho bylo napsáno mnoho. Všechny tyto případy dokazují, že zákon o kybernetické bezpečnosti, který na konci loňského roku schválila vláda, byl již nutností.

V současnosti v  České republice funguje speciální komise, kterou zřídil Národní bezpečnostní úřad. Ta může být v případě přímého ohrožení soukromých subjektů svolána, aby s okamžitou platností vyřešila aktuální problém. Podobný úřad zároveň formuje i Národní centrum kybernetické bezpečnosti. Fungování těchto orgánu však není dostačující a navíc tento duální model není do budoucna udržitelný.

Nový zákon na kybernetickou ochranu je v současné době v takovém stádiu, že prošel prvním čtením v Poslanecké sněmovně. Neznamená to ovšem, že je již vyhráno a že zákon bude ustanoven jako platný v předpokládaném termínu. Ve skutečnosti to znamená, že budou následovat další čtení, na kterých se bude sněmovna zákonem zabývat.

Nejdůležitější body připravovaného zákona

1. Povinnosti plynoucí ze zákona o kybernetické bezpečnosti by se měly primárně týkat poskytovatelů služeb elektronických komunikací a sítí elektronických komunikací či jiných sítí, správců informačního nebo komunikačního systému kritické informační infrastruktury a správců významných informačních systémů. Z toho jasně vyplývá, že provozovatelé dalších služeb, například běžných e-shopů, nebudou tedy povinni se novým zákonem řídit.

2. Zákon obecně nařizuje jak organizační, tak technická opatření. Do těch technických spadají primárně nástroje pro ověřování identity uživatelů, pro ochranu před škodlivým kódem, prevence proti DDOS útokům nebo pro detekci nebezpečného chování v sítí včetně zaznamenávání jednotlivých událostí, což jsou podle odborníků klíčové prvky předcházení úniku dat a dalších ataků.

3. Klíčové je i to, že všechny zmiňované osoby budou muset povinně hlásit kybernetické bezpečnostní incidenty provozovateli národního CERT (Computer Emergency Response Team), a to okamžitě po jejich zjištění. Tím se zamezí, aby docházelo k mystifikaci klientů, a bude se předcházet dalším podobným napadením či závažnějším škodám, které by například na základě úniku osobních dat mohly vzniknout.

Toto jsou 3 hlavní sdělení, která nově chystaný zákon obsahuje. Pokud jej schválí Parlament ČR, měl by být podle všech předpokladů platný od začátku roku 2015. Tyto faktory jsou však podle odborníků klíčové i pro ty, kteří nejsou zahrnuti jako primární cílová skupina, která je povinna se zákonem řídit a podle odborníků to neznamená, že by riziko jim hrozící bylo úměrně menší a měli by své působení na internetu zabezpečit.
Možností, jak se bránit proti útokům, je podle odborníků několik: V prvé řadě je důležité správně definovat bezpečnostní kritéria s cílem minimalizovat rizika úniku citlivých informací a dostatečně chránit kritické systémy státu a dalších komerčních organizací. Bezpečnostní systémy musí zajistit komplexní bezpečnost, kombinovat v sobě sofistikované bezpečnostní technologie, analytické nástroje a to včetně metodologie řešení incidentů, organizační a personální pravidla práce s citlivými informacemi i fyzickou ochranu objektů

Zdroje: 
TZ: Martin Půlpán, net.pointers: "Zákon o kybernetické bezpečnosti byl nutností, ke kybernetickým útokům bude docházet stále častěji."










Posted by at

1 comment:

Subscribe to: Post Comments (Atom)