Kam kráčí česká kyber bezpečnost?

Končící vláda Jiřího Rusnoka schválila závěrem minulého roku návrh zákona z dílny Národního bezpečnostního úřadu, který ošetřuje problematiku počítačové bezpečnosti v zemi. Dotkne se veřejných institucí i soukromých subjektů.

Kam kráčí česká kyber bezpečnost?


Takzvaný kybernetický zákon vytvořil a vládě předložil Národní bezpečnostní úřad (NBÚ) vloni v červenci. Jde o první legislativní opatření, které se věnuje počítačovým útokům. Vzniklo i jako reakce na tlak některých nadnárodních organizací, jichž je ČR členem. Primárně jde o EU a NATO.

Norma má za cíl zefektivnit a zrychlit reakci na kybernetické hrozby, které by mohly představovat nebezpečí pro zájmy České republiky. Zároveň by připravovaná úprava měla zajistit spolupráci mezi soukromým sektorem a veřejnou správou při prevenci útoků na informační infrastruktury. Jde o první komplexní právní akt v této oblasti. Jeho cílem je především zabránit kybernetickým útokům, a to zejména na část infrastruktury, která je významná pro fungování státu, uvádí předkládací zpráva.

Návrh zákona je založen na třech základních pilířích, a to na zavedení bezpečnostních opatření (a jejich standardizaci) ve vybraných informačních a komunikačních systémech, na hlášení kybernetických bezpečnostních incidentů a na protiopatřeních. Na dodržování legislativního ustanovení budou dohlížet organizace CSIRT a CERT (Computer Security Incident Response Team a Computer Emergency Response Team). První uvedená se zaměří na akademickou a soukromou sféru, druhá na státní.

Všechny subjekty – komerční i veřejné – budou mít povinnost hlásit bezpečnostní incidenty NBÚ, pokud provozují tzv. kritickou informační infrastrukturu. Ten do té doby pravděpodobně vytvoří Národní centrum počítačové bezpečnosti, jež by hlášení minimálně evidovalo a nejspíše na ně i v rámci svého omezeného 60milionového rozpočtu reagovalo. Ředitel NBÚ navíc v případě skutečně velkých problémů může vyhlásit takzvaný stav kybernetického ohrožení, který v souhrnu nesmí trvat déle než 30 dnů.

Vládou schválený návrh zákona byl vytvořen na základě dvou propojených zásad: první minimalizuje zásahy do práv soukromých subjektů, druhá těmto subjektům ukládá povinnost zabezpečit informační systémy. V podstatě jde o formu zodpovědnosti. Za zanedbání bezpečnostních opatření mohou být právnické osoby pokutovány částkou nejvýše 100 tisíc orun. Fyzické osoby uhradí maximálně polovinu. Pokuty mají tedy spíše jen symbolický charakter. Návrh zákona bude předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky. Poslední závažnější kybernetické útoky se odehrály v březnu loňského roku. Napadeny byly především zpravodajské servery a finanční instituce včetně České národní banky a Burzy cenných papírů Praha. Útočníci se zaměřili i na internetové stránky některých telekomunikačních operátorů.

Čtěte také:
→ Rok 2013: nejvíce bezpečnostních hrozeb v historii IT
Analýza odhaduje, že pro boj s kybernetickým zločinem bude v roce 2014 na celém světě chybět milion IT specialistů. Kdo se specializuje na počítačovou bezpečnost, asi nebude mít problém s uplatněním.
→ Bezpečnost mnohdy řešíme příliš složitě
Data jsou v trvalém ohrožení. Různé dokumenty, návody, postupy – obecně tedy informace – byly předmětem krádeží a snahy o kompromitaci, co svět světem stojí.


Úvodní foto: Fotolia © ktsdesign

Vyšlo v CIO Business World 1/2014
Časopis lze koupit se slevou 20 %





Komentáře