Kybernetická bezpečnost
Pro úplnost je vhodné v tomto článku uvést několik informací o kybernetické bezpečnosti. V oblasti bezpečnosti informačních technologií je v médiích obvykle zmiňován zákon č. 181/2014 Sb., o kybernetické bezpečnosti, v platném znění (dále jen „ZOKB“), a to ve vztahu k pravomocem kybernetického centra a zásahům do soukromí občanů. Jedná se o poměrně nový zákon, který byl připravován delší dobu a jeho dopady na samotnou praxi ukáže čas. V tomto článku je možné zmínit se o některých jeho dopadech pro firmy a na požadavky zákona na zajištění bezpečnosti.
ZOKB je sám o sobě milníkem v české legislativě, krokem k vyšší bezpečnosti v digitálním prostředí státních institucí i firem. Většina lidí, pokud se v dané problematice orientují, má obavy ze zásahu kybernetického centra do soukromí občanů. Zákon však naopak významně zvyšuje standard bezpečnosti a dostupnosti služeb, které jsou v takzvaném kyberprostoru občanům poskytovány. ZOKB si však klade mimo jiné za cíl zajistit bezpečnost, ať už formou organizačních nebo technických opatření.
Ve firmách v České republice chybí, co se bezpečnosti týče, dostatečná míra systematičnosti a organizovaného přístupu. Tím je ohrožena bezpečnost občanů a jejich dat spíše než zásahy v médiích populárního „velkého bratra“.
Vedení jednotlivých společností obvykle vnímají bezpečnostní rizika jako problémy, které lze vyřešit jednorázovým úsilím. Zhruba třetina osob odpovědných ve společnosti za realizaci, resp. výkon opatření k bezpečnosti přistupuje proaktivně a systém řízení rizik je pro ně způsobem, jak zajistit efektivnější dosažení cílů společnosti a vyvážit míru rizik a investic. V návaznosti na zaměření tohoto článku je klíčové uvědomit si, že bezpečnost spočívá v míře pokrytí rizik, ne v řešení jednotlivých technických problémů. A právě systém řízení rizik je jedním ze základních požadavků nového zákona.
Kroky společností, které se řídí pouze zákonnými povinnostmi v oblasti bezpečnosti, jsou obvykle vnímány jako nesystémové, avšak doposud se jednalo o legislativu zaměřenou na užší oblast (například týkající se bezpečnosti údajů pacientů nebo platebních údajů). ZOKB by měl nabídnout kompletní návod, jak postavit základy bezpečnosti ve společnosti a dále ji vylepšovat. Zákon se v některých ohledech podobá například standardu řízení bezpečnosti informací ISO 27001. Dokonce společnosti, které dosáhnou poslední verze certifikace ISO 27002, mají shodu s tímto zákonem téměř zabezpečenou.
Zákon rozděluje požadavky zajištění kybernetické bezpečnosti na technická a organizační opatření, a právě na organizační opatření je potřeba se zaměřit. Dá se říci, že pokud je ve společnosti implementováno nějaké bezpečnostní IT řešení, je mnohem vyšší šance na úspěch takového projektu, pokud existuje jeho podpora ze strany vedení společnosti, nebo osob odpovědných za vedení projektu.
Implementace řešení pro podporu systému řízení bezpečnosti informací, který je pro efektivní soulad se zákonem potřebný, je pouze polovičním úspěchem. V této oblasti je jedním z důležitých faktorů podpora vedení společnosti, aby nedošlo k situaci, kdy je pouze problém přesunut na IT oddělení a hrozí, že projekt se s velkou pravděpodobností nikdy nedokončí.
Jak již bylo naznačeno výše, nevyhovující stav znalostí a vzdělání v oblasti bezpečnosti je jedním z hlavních důvodů, proč je potřebné je v některých společnostech upřednostňovat. Jedním z požadavků zákona je školení zaměstnanců (§5 odst. 2 písm. g ZOKB – Bezpečnost lidských zdrojů). Právě tato oblast dnes na světovém trhu značně posiluje, a to ve smyslu samotného způsobu školení a předávání znalostí zaměstnancům.
Nejedná se již o přístup ve stylu krátkého proškolení zaměstnance ve zkušební době, ale o systematické a srozumitelné vzdělávání. Hrozby se neustále mění a samotné proškolení uživatelů již nestačí, nýbrž je potřeba je kontinuálně vzdělávat. Hledání možností, jak bezpečnost implementovat dovnitř firmy a předávat znalosti srozumitelnou a poutavou formou, je cesta, jak efektivně snížit náklady na pokrytí rizik.
IT bezpečnost, jakožto oblast virtuálního, nehmatatelného světa, navíc v kontextu rizik, tedy negativního myšlenkového procesu, je pro pochopení značně náročná. V rámci školení bezpečnosti se osvědčuje použití metafor, abstrakcí a příběhů z hmatatelného světa s navázáním vlivů na cíle společnosti.
Dopad na IT prostředí
ZOKB vyžaduje další znalost tří prováděcích vyhlášek, které jej provází. Například Vyhláška o kybernetické bezpečnosti stanovuje celkem 21 bezpečnostních politik, ze kterých je 10 společných pro všechny povinné osoby.
Povinná osoba uvedená v § 3 písm. ZOKB stanoví bezpečnostní politiky v následujících oblastech – systém řízení bezpečnosti informací, organizační bezpečnost, řízení dodavatelů, klasifikace aktiv, která zahrnuje pravidla pro bezpečné nakládání s aktivy, bezpečnost lidských zdrojů, řízení provozu a komunikací, řízení přístupu, bezpečné chování uživatelů, používání kryptografické ochrany a nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí.
Přestože je zákon téměř ideálem postupů a opatření v kybernetické bezpečnosti, nebude jeho naplnění snadné ani levné, pokud již společnost nemá většinu z požadavků vyřešenou. Jednotlivé firemní politiky a jejich požadavky na počet softwarových nástrojů, které jsou potřeba k jejich realizaci, přesahují minimálně desítku řešení.
Společně s organizačními opatřeními, která budou klást vyšší časové nároky na zaměstnance společnosti, se jedná o značné zdroje, které si plnění požadavků zákona vyžádá. Přestože je zákon nyní cílen spíše na větší společnosti a instituce, i pro ně bude často znamenat nové investice, neboť ani tyto subjekty většinou nedosahují plné shody se zákonem v aktuální podobě.
Jednou ze slabších oblastí společností je systém řízení bezpečnosti informací, jehož implementace bývá technicky zajištěna vhodným řešením pro ochranu dat. Prevence ztráty dat a její řešení pokrývají takové oblasti jako klasifikace dat, řízení práce s daty a příslušná hlášení bezpečnostních incidentů.
Vzhledem k nárokům na zapojení celé společnosti a zejména, jak již bylo zmíněno, na výši podpory vedení společnosti se jedná o jeden z náročnějších projektů v IT bezpečnosti. Právě kvůli nízké angažovanosti osob mimo IT oddělení tyto projekty v historii selhávaly. Splnění výše uvedených podmínek a vhodná motivace zaměstnanců může zachránit celý projekt a vzhledem ke značně sníženému riziku úniku dat i samotnou společnost.
Systém řízení bezpečnosti informací je jmenován na prvním místě v bezpečnostních politikách ZOKB, a není náhodou, že k naplnění zákona bude do značné míry vyhovovat, pokud již společnost splnila nároky kladené směrnicí ISO 27002. Tento standard pokrývá bezpečnostní rizika významné kategorie – bezpečnosti dat.
Obecně ZOKB klade požadavky, které se dají kategorizovat jako požadavky na řízení, kontrolu a monitoring osob nebo aktiv (např. data nebo informační systém). Společnost by se tedy měla zaměřit na řešení, které bude mít technicky největší kontrolu nad činnostmi koncových uživatelů a jejich prací s daty a aplikacemi. Projevuje se zde opět návaznost na přesné vymezení činností a odpovědnosti zaměstnanců v pracovní smlouvě a správná definice pojmu uživatele, a nikoliv procesu, nebo zařízení. Díky schopnosti řídit a kontrolovat práci uživatelů a aplikací s daty z výše uvedeného plyne i vhodnost využití procesů při implementaci ISO 27001.
Bezpečnost nespočívá v jednorázovém opatření
Zákon o kybernetické bezpečnosti je významným krokem směrem k bezpečnějšímu digitálnímu prostředí. Klade velké nároky na zdroje pro povinné osoby, které momentálně pokrývají pouze část požadavků, proto bude nutné hledat efektivní řešení pro podporu naplnění požadavků. Je ale postaven na solidních základech a nabízí inspiraci i podnikům, které nejsou povinnými osobami. Pomůže zvýšit povědomí o bezpečnosti a vhodných praktikách i o tom, že bezpečnost není pouhé jednorázové technické řešení problému, ale naopak organizační úsilí podpořené adekvátními technickými řešeními.
Důsledky porušení odpovědnosti
Jak plyne z výše uvedených informací, důsledky nedodržení zákonné úpravy nebo prevenční povinnosti pak spočívají v závažných následcích – snížení důkazní síly v případě sporu, vyslovení neplatnosti právního jednání soudem, neaplikovatelnost některých právních domněnek, nebo dokonce přímo trestní odpovědnost (ať už jednotlivých osob, nebo společnosti, vzhledem k tomu že lze stíhat i právnické osoby).