15. Kybernetická bezpečnost

1. Právní úprava

Kybernetickou bezpečnost upravuje zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen „zákon o kybernetické bezpečnosti“) a jeho prováděcí předpisy, z nichž nejvýznamnější je vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „vyhláška o kybernetické bezpečnosti“).

Dalšími prováděcími právními předpisy k zákonu o kybernetické bezpečnosti jsou:

• vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, ve znění vyhlášky č. 205/2016 Sb. a vyhlášky č. 360/2020 Sb.,
• vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby, ve znění vyhlášky č. 573/2020 Sb.,
• vyhláška č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci.

Zákon o kybernetické bezpečnosti:

• upravuje
  • práva a povinnosti osob a
  • působnost pravomoci orgánů veřejné moci v oblasti kybernetické 
    bezpečnosti,
• reflektuje příslušné předpisy EU,
• upravuje zajišťování bezpečnosti sítí elektronických komunikací a informačních systémů.

Působnost tohoto zákona se nevztahuje na informační a komunikační systémy, v nichž uživatelé pracují s utajovanými informacemi.

2. Hlavní cíle zákona

• definovat orgány a osoby, kterým tento zákon ukládá povinnosti v oblasti 
  kybernetické bezpečnosti,
• povinným osobám uložit povinnost zavádět bezpečnostní opatření pro zajištění kybernetické bezpečnosti, tedy souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací, dostupnosti a spolehlivosti služeb v kybernetickém prostoru,
• zavést povinnost detekovat kybernetické bezpečnostní incidenty a hlásit je vládnímu nebo národní skupině pro reakci na počítačové hrozby (Computer Emergency Response Team, dále jen „CERT“),
• uložit povinnost hlášení kontaktních údajů,
• upravit činnost dohledových pracovišť – Národního úřadu pro kybernetickou a informační bezpečnost, národního CERT a vládního CERT.

Zákon o kybernetické bezpečnosti mimo jiné vymezuje tyto základní pojmy, které je potřeba znát:

2.1. Kybernetický prostor

Kybernetickým prostorem je digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, službami a sítěmi elektronických komunikací.

Pod pojmem kybernetický prostor si lze představit například celosvětovou síť Internet, stolní počítače, notebooky, chytrá mobilní zařízení a další produkty - jako jsou třeba chytré hodinky.

2.2. Bezpečnost informací

V rámci bezpečnosti informací se řeší ochrana informací, tedy zajištění jejich důvěrnosti, dostupnosti a integrity.

• Důvěrnost je vlastnost charakterizující, že informace není dostupná nebo není odhalena neautorizovaným jednotlivcům, entitám nebo procesům.
• Dostupnost je vlastnost přístupnosti a použitelnosti na žádost autorizované entity.
• Integrita je vlastnost ochrany přesnosti a úplnosti dat a jistota, že data nebyla změněna.

Bezpečnost informací je takový stav, kdy jsou zajištěny tyto základní charakteristiky současně a v souladu s požadavky na míru jejich zajištění.

Je zřejmé, že i v oblasti zajišťování kybernetické bezpečnosti zahrnuje bezpečnost informací nejen bezpečnost IS/ICT, ale také s tím úzce související oblasti, jako je fyzická bezpečnost, ochrana osobních údajů, řízení lidských zdrojů, řízení vztahů s dodavateli atd.

2.3. Kritická informační infrastruktura

Kritickou informační infrastrukturou je prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti.

Patří sem systémy, jejichž nefunkčnost nebo špatná funkčnost by měly závažný dopad na bezpečnost státu, jeho ekonomiku, veřejnou správu a v důsledku na zabezpečení základních životních potřeb obyvatelstva.

2.4. Významný informační systém

Významným informačním systémem je informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou ani informačním systémem základní služby a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci.

V případě veřejné správy lze mezi významné informační systémy zařadit například spisovou službu nebo systém elektronické pošty (e‑mail).

2.5. Správce informačního systému

Správcem informačního systému je orgán nebo osoba, které určují účel zpracování informací a podmínky provozování informačního systému.

2.6. Správce komunikačního systému

Správcem komunikačního systému je orgán nebo osoba, které určují účel komunikačního systému a podmínky jeho provozování.

2.7. Provozovatel informačního nebo komunikačního systému

Provozovatelem informačního nebo komunikačního systému je orgán nebo osoba zajišťující funkčnost technických a programových prostředků tvořících informační nebo komunikační systém.

2.8. Kybernetická bezpečnostní událost

Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací.

Např. byl detekován nepovedený pokus o průnik do systému, přičemž v praxi se jednalo např. o nevalidní pokus o přihlášení uživatele do systému z důvodu zapomenutého hesla.

2.9. Kybernetický bezpečnostní incident

Kybernetickým bezpečnostním incidentem je narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události. Např. neoprávněný přístup do systému pomocí privilegovaných (administrátorských) uživatelských účtů umožňující závažný zásah do systému a plnou kontrolu nad ním.

2.10. Hlášení kybernetického bezpečnostního incidentu

Orgány a osoby uvedené v zákoně o kybernetické bezpečnosti jsou povinny hlásit kybernetické bezpečnostní incidenty v jejich významné síti, informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury, informačním systému základní služby nebo významném informačním systému, a to bezodkladně po jejich detekci.

2.11. Stav kybernetického nebezpečí

Stavem kybernetického nebezpečí se rozumí stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost služeb elektronických komunikací anebo bezpečnost a integrita sítí elektronických komunikací, čímž by mohlo dojít k porušení nebo došlo k ohrožení zájmu ČR ve smyslu zákona upravujícího ochranu utajovaných informací.

Stav kybernetického nebezpečí vyhlašuje ředitel Národního úřadu pro kybernetickou a informační bezpečnost.

Není‑li možné odvrátit ohrožení bezpečnosti informací v informačních systémech nebo bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v rámci stavu kybernetického nebezpečí, ředitel Národního úřadu pro kybernetickou a informační bezpečnost neprodleně požádá vládu o vyhlášení nouzového stavu. Rozhodnutí o opatření obecné povahy vydaná Národním úřadem pro kybernetickou a informační bezpečnost
podle § 13 zákona o kybernetické bezpečnosti před vyhlášením nouzového stavu zůstávají v platnosti, pokud tato opatření nejsou v rozporu s krizovými opatřeními vyhlášenými vládou.

3. Národní úřad pro kybernetickou a informační bezpečnost

Národní úřad pro kybernetickou a informační bezpečnost je ústředním správním orgánem pro kybernetickou bezpečnost včetně ochrany utajovaných informací v oblasti informačních a komunikačních systémů a kryptografické ochrany. Dále má na starosti problematiku neveřejné služby v rámci družicového systému Galileo.

Vznikl 1. srpna 2017 na základě zákona č. 205/2017 Sb., kterým se změnil zákon o kybernetické bezpečnosti. Národní úřad pro kybernetickou a informační bezpečnost vykonává kontrolu v oblasti kybernetické bezpečnosti, přičemž zjišťuje, jak povinné osoby plní mimo jiné povinnosti stanovené zákonem.

Národní úřad pro kybernetickou a informační bezpečnost je oprávněn vydat opatření, tedy úkony nezbytné k ochraně před hrozbou v oblasti kybernetické bezpečnosti, před kybernetickým bezpečnostním incidentem, příp. k řešení již nastalého kybernetického incidentu. Těmito opatřeními jsou varování, reaktivní opatření a ochranné opatření.

4. Vládní CERT

Vládní CERT je nedílnou součástí Národního úřadu pro kybernetickou a informační bezpečnost a spolu s týmy typu CSIRT hraje klíčovou roli při ochraně kritické informační infrastruktury a významných informačních systémů podle zákona o kybernetické bezpečnosti a jeho prováděcích předpisů. Každá země, která má své kritické systémy připojeny do internetu, musí být schopna efektivně a účinně čelit bezpečnostním výzvám, reagovat na incidenty, koordinovat činnosti při jejich řešení a účelně působit při předcházení incidentům.

5. Vyhláška o kybernetické bezpečnosti

Vyhláška o kybernetické bezpečnosti

5.1. Předmět právní úpravy

K provedení zákona o kybernetické bezpečnosti byla vydána vyhláška 
o kybernetické bezpečnosti.

Tato vyhláška zapracovává směrnici Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii. Dále pak pro informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury, významný informační systém, informační systém základní služby anebo informační systém nebo síť elektronických komunikací, které využívá poskytovatel digitálních služeb, upravuje:

• obsah a strukturu bezpečnostní dokumentace,
• obsah a rozsah bezpečnostních opatření,
• typy, kategorie a hodnocení významnosti kybernetických bezpečnostních 
  incidentů,
• náležitosti a způsob hlášení kybernetického bezpečnostního incidentu,
• náležitosti oznámení o provedení reaktivního opatření a jeho výsledku,
• vzor oznámení kontaktních údajů a jeho formu a
• způsob likvidace dat, provozních údajů, informací a jejich kopií.

Vyhláška o kybernetické bezpečnosti definuje v ustanoveních § 3 až 28 nezbytná bezpečnostní opatření v oblasti kybernetické bezpečnosti, na základě kterých je dosaženo přiměřené bezpečnosti informací.

5.2. Bezpečnostní opatření dle vyhlášky

Vyhláška rozděluje bezpečnostní opatření na:

• organizační a
• technická.

Organizační opatření

Organizační opatření se týkají především ustanovování systému řízení bezpečnosti informací, jeho plánování, kontroly, zlepšování atd. Tedy například odpovídají na otázku, proč vůbec zavádět konkrétní technické opatření, a řeší plánování jeho nasazení. Ustanovení týkající se organizačních opatření jsou:

Příklad organizačního opatření (§ 9 bezpečnost lidských zdrojů) může představovat vytvoření plánu rozvoje bezpečnostního povědomí, který definuje obsah, formu a rozsah školení pro uživatele v oblasti kybernetické bezpečnosti. Díky následnému školení v souladu s tímto plánem dochází ke zvyšování bezpečnostního povědomí uživatelů.

Technická opatření

Technická opatření jsou konkrétní technická řešení, která zajišťují požadované bezpečnostní funkce. Ustanovení týkající se technických opatření jsou:

Jako příklad technického opatření (§ 19 správa a ověřování identit) lze uvést implementaci vícefaktorové autentizace se dvěma různými typy faktorů pro přihlášení ke klientské stanici. Tedy pro přihlášení uživatele ke stanici je nutné uživatelské jméno, heslo a také bezpečnostní token (tj. zařízení pro ověření přístupu ke službě nebo do systému), který může mít například podobu čipové karty, USB tokenu nebo nepřipojitelného tokenu, který generuje autentizační kód nutný pro úspěšné přihlášení.