Od 1. ledna 2015 nabyl účinnosti zákon 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). O tom, co tento zákon přináší firmám v oblastech průmyslu, energetiky, distribučních sítí, telekomunikací, dopravy a v dalších oborech, jsme hovořili s Jakubem Kejvalem, generálním ředitelem Bureau Veritas Czech Republic.
Pane řediteli, mohl byste stručně říci, co je obsahem zákona o kybernetické bezpečnosti?
Zákon 181/2014 Sb., o kybernetické bezpečnosti, se v šesti hlavách zabývá definicí bezpečnostních opatření v oblasti zabezpečení informačních a komunikačních systémů a tím, které subjekty je mají plnit. Dále stanovuje, co je to kybernetické nebezpečí a jak na ně mají jednotlivé povinné subjekty, jichž je podle tohoto zákona pět typů, reagovat; další dvě hlavy popisují výkon státní správy, to znamená, co má v této oblasti dělat NBÚ, co a jak má kontrolovat, jaká nápravná opatření má nařizovat, jaké jsou správní delikty a pokuty za ně.
Kdo je mezi zmíněnými povinnými subjekty?
To je právě problém: zákon perfektně definuje bezpečnostní opatření, ale koho se vlastně týkají, neříká jasně. Zákon v paragrafu tři uvádí: „Orgány a osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti, jsou:
a) poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací, pokud není orgánem nebo osobou podle písmene b),
b) orgán nebo osoba zajišťující významnou síť, pokud nejsou správcem komunikačního systému podle písmene d),
c) správce informačního systému kritické informační infrastruktury,
d) správce komunikačního systému kritické informační infrastruktury,
e) správce významného informačního systému.“
Kdo přesně do těchto skupin spadá, je specifikováno až poměrně pozdě přijatými prováděcími předpisy. Konkrétně vyhláškou č. 317/14 Sb., o významných informačních systémech a jejich určujících kritériích, a nařízením vlády č. 315/2014 Sb., kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury. Vyhláška byla 8. října 2014 předána k meziresortnímu připomínkovému řízení a ve Sbírce zákonů vyšla až 19. prosince 2014. To je vzhledem k účinnosti kybernetického zákona od 1. ledna 2015 velmi pozdě. Tuto situaci jsme často kritizovali já i moji kolegové z jiných certifikačních agentur.
Vyhláška 317 vyjmenovává, které informační systémy považuje NBÚ za významné a které subjekty je vlastní. Celkem určuje 92 systémů vedených 38 subjekty výčtem, další orgány veřejné moci naplní definici významného informačního systému splněním daných kritérií. Příkladem vyjmenovaných subjektů jsou ministerstva, zdravotní pojišťovny, státní úřady, např. Státní úřad pro kontrolu léčiv nebo Český telekomunikační úřad, Česká národní banka, a tak dále. Vláda se nakonec rozhodla počet subjektů a systémů co nejvíce zúžit s tím, že postupně, za rok nebo za dva, může být vyhláška novelizována a okruh významných informačních systémů doplněn. Správce informačního systému musí v souladu s vyhláškou svůj systém sám prohlásit za významný, jestliže splňuje určující kritéria. Například se má stanovit, zda výpadek informačního systému může způsobit smrt více než deseti lidí, zranění více než sta osob nebo zasáhnout práva více než 50 000 subjektů. Zákon by se tedy měl podle všeho týkat i větších nemocnic. Ovšem podle vyhlášky jen těch, které jsou zřizovány státem, protože na instituce zřizované obcemi, kraji a hlavním městem Prahou se zákon nevztahuje. Proč jedna nemocnice zákonu podléhá a druhá, stejně
velká, nikoliv?
Druhou částí jsou potom informační a komunikační systémy kritické infrastruktury. Co je kritická infrastruktura, bylo stanoveno nařízením vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury. Jenže i toto nařízení bylo loni v prosinci novelizováno, a v současné době tedy platí nařízení vlády č. 315/2014 Sb., kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury. Nařízení definuje, co se považuje za kritickou infrastrukturu. Jde o oblasti energetiky, distribuce zemního plynu, ropy, pitné vody, dopravy, zdravotnictví, komunikací nebo finančních trhů. Zde není žádný přesný seznam jako u významných systémů, příslušnost ke kritické infrastruktuře se musí rozhodovat podle kritérií daných vyhláškou. Zcela jistě sem bude patřit policie, hasičský záchranný sbor a velké podniky, jako jsou Net4Gas, ČEZ, Veolia, T-Mobile a další. Podle mého odhadu daná kritéria pro zařazení do kritické infrastruktury splní v celé České republice přibližně padesát subjektů.
Zákonodárci si naštěstí uvědomili, kolik práce je se splněním povinností vyplývajících ze zákona o kybernetické bezpečnosti, a stanovili pro správce informačních a komunikačních systémů kritické infrastruktury roční odklad, dokdy musí systém zabezpečení informací zavést. U velkých firem, a zejména státních organizací to ale vůbec není dlouhá doba a navíc to bude vyžadovat náklady v řádu milionů korun, s nimiž se musí v rozpočtu na rok 2015 počítat.
Opusťme nyní na chvíli zákon o kybernetické bezpečnosti a pojďme se věnovat normě ISO 27001. Vaše společnost provádí audity a uděluje firmám podle této normy certifikáty o zavedení systému informační bezpečnosti. Pro které subjekty je tato norma určena?
Norma ISO 27001, v češtině jako ČSN ISO/IEC 27001 Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky, byla vytvořena pro soukromé firmy, které pracují s informacemi v papírové i elektronické formě a pro něž mají tyto informace zásadní význam. To je dosti obecná definice, do níž se v současné době podle mě vejdou v podstatě všechny soukromé firmy. Jestliže si myslíte, že vám například jednodenní výpadek informačního systému podniku nezpůsobí vážné problémy, nemusíte se touto normou vůbec zabývat. Jestliže to ale způsobí významné
škody vám i vašim zákazníkům, měli byste se o tuto normu zajímat.
Norma tedy byla a priori vytvořena pro soukromý sektor a vychází z britských standardů. Jako norma ISO byla přijata v roce 2005. Kromě ní obsahuje soubor ISO 27000 ještě další normy, z nichž je pro nás důležitá zejména ČSN ISO/IEC 27002 Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací, v níž jsou stanoveny nejlepší praktiky, jak dosáhnout bezpečnosti informací v podniku.
Když se na vás obrátí firma, že chce projít certifikací podle ISO 27001, na co se má připravit? Co budete ve firmě zkoumat?
Norma definuje několik oblastí, které by si firma před zahájením certifikace měla projít a zodpovědět si, zda se jí dané téma týká, jak hluboce, jaká rizika pro ni tato oblast představuje a jak je zvládá. Patří sem politiky bezpečnosti informací, organizace bezpečnosti informací, správa aktiv, ale také ochrana lidských zdrojů – jde například o pracovníky, kteří mají zásadní vliv na bezpečnost, například proto, že znají kritické informace nebo přístupová hesla k nim, a je třeba se zabývat tím, jak jsou tito lidé zastupitelní, kdyby se jim něco přihodilo. Patří sem také fyzická bezpečnost pracovišť a zařízení, tj. např. zabezpečení proti krádežím, dále je to bezpečnost provozu nebo kontinuita podnikání s ohledem na informační bezpečnost (pozn. red.: přehled oblastí viz tab. 1).
Z toho vyplývá, že certifikace je velmi široký proces a nezabýváme se pouze vlastním informačním systémem, ale třeba právě i fyzickou bezpečností výpočetní techniky: fantastický systém je firmě k ničemu, když zloděj ukradne server i s daty, která nejsou nikde zálohovaná. Velice významná jsou opatření k řízení přístupových práv a ochraně hesel, zvláště v době, kdy je možné se k informačnímu systému připojit i prostřednictvím WiFi nebo sítě GSM. Musí se myslet také na to, aby byl zabezpečen přístup nejen z pracovních stanic a terminálů, ale i z mobilních zařízení, tabletů a chytrých telefonů, které dnes dokážou vykonávat mnohé operace stejně jako běžný počítač, ale jejich ochrana a správa hesel bývají podceňovány.
V normě ISO 27001 je dále popsáno 114 základních bezpečnostních opatření, z nichž se dále odvozují konkrétní a specifické bezpečnostní funkce. Ne každá firma musí využívat všechna bezpečnostní opatření, naopak specifických bezpečnostních funkcí může být i mnohem více. Je tedy vidět, že s certifikací podle ISO 27001 je spojeno obrovské množství náročné práce.
Čím tedy celý proces začínáte?
Když přijdeme do firmy na audit, začínáme vstupním pohovorem s vedením. Potom procházíme veškerou dokumentaci, kde je popsána bezpečnostní politika a krizový plán, podíváme se do počítačového systému a dotazujeme se lidí, abychom zjistili, jak se bezpečnostní politika dodržuje v praxi. Potom se soustředíme na největší rizika, která si firma na základě své analýzy stanovila, a zjišťujeme, jak jsou zvládnuta, případně dáváme doporučení, jak situaci zlepšit. V případě zásadních neshod s normou, např. když firma pravidelně nemění přístupová hesla, dáváme lhůtu třiceti dní na to, aby firma problém odstranila a mohla auditem úspěšně projít. Když jsou neshody s normou odstraněny, můžeme firmě vydat certifikát.
Jaké jsou nejčastější problémy, s nimiž se při auditech setkáváte?
Obecně bych řekl, že je to vztah k dodavatelům a třetím stranám. Firma často má svoji interní bezpečnost perfektně zajištěnou, ale pokud jde o externí vazby, má pocit, že to už není její starost. Jestliže ale informace uniknou při přenosu mezi firmou a jejím dodavatelem nebo poskytovatelem služeb, poškodí to vždycky dobré jméno obou subjektů, přestože se prokáže, že vina je jen na jedné straně. Proto musí firma vždy věnovat pozornost i tomu, s kým spolupracuje a zda jsou její informace u spolupracujícího subjektu v bezpečí.
Vysvětleme nyní, proč jsme začali o zákoně o kybernetické bezpečnosti a dostali jsme se k normě ISO 27001. Jaký je jejich vztah?
Toho se týká další vyhláška, a sice vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti). V této vyhlášce se v §29 říká, že povinný subjekt může svůj soulad s požadavky kybernetického zákona prokázat certifikátem podle ISO 27001. Znamená to, že má-li od nás subjekt příslušný certifikát a předloží jej NBÚ, úřad už dále nebude jeho bezpečnostní systém prověřovat, protože má jistotu, že jsou požadavky zákona splněny. Norma ISO 27001 jde v některých ohledech dokonce nad rámec zákona o kybernetické bezpečnosti, ale já osobně bych povinným subjektům vždy doporučil projít certifikací podle ISO 27001, protože konec konců nejde jen o shodu se zákonem, ale o skutečně spolehlivé zajištění kybernetické bezpečnosti. Navíc je to zvláště výhodné pro ty firmy, které už systém zajištění kybernetické bezpečnosti mají: certifikovat tento systém podle ISO 27001 je administrativně mnohem snazší než podle vyhlášky 316/2014. ISO 27001 je totiž sice o trochu přísnější v oblasti bezpečnostních funkcí, ovšem vyhláška 316/2014 zase přísněji vyžaduje splnění formálních požadavků na systém.
Jaký je o certifikace podle ISO 27001 zájem?
Řekl bych, že zájem teprve začíná růst. Firmy o tyto certifikáty neprojevují zájem, dokud je k tomu nedonutí jejich partneři, legislativní požadavky nebo okolnosti, např. špatná zkušenost s krádeží informací. Počet bezpečnostních incidentů tohoto typu přitom strmě roste. Druhým důvodem, proč se firmy brání certifikaci, je obava z toho, že si do jejich životně důležitého systému, kde jsou velmi citlivé informace, „pustí“ externí firmu. Mezi certifikační agenturou a zákazníkem proto musí existovat vztah naprosté důvěry, bez toho to nejde.
V současné době máme třicet subjektů certifikovaných podle ISO 27001. Většinou jsou to soukromé průmyslové firmy střední velikosti s velkým potenciálem dalšího růstu. Certifikace přitom firmám přináší další výhody: během přípravy na certifikaci se mnohdy podaří procesy zajištění kybernetické bezpečnosti zefektivnit tak, že nakonec dosahují lepších výsledků při menších nákladech. I proto bych certifikaci doporučil i těm firmám, pro něž podle zákona o kybernetické bezpečnosti zatím není povinná.
Pane řediteli, děkuji vám za rozhovor.
(Rozhovor vedla Eva Vaculíková.)
Bureau Veritas Group
V roce 1828 byla v Antverpách v Belgii založena informační kancelář v oblasti námořního pojištění, která měla jednoduché poslání: dávat pojistitelům lodí aktuální informace o pojistném používaném v obchodních centrech a poskytovat přesné informace o stavu lodí a zařízení.
V roce 1829 byla společnost přejmenována na Bureau Veritas, přijala symbol pravdy za své oficiální logo a vydala svůj první rejstřík přibližně 10 000 lodí. V roce 1833 bylo hlavní sídlo přestěhováno z Antverp do Paříže. Společnost šla od úspěchu k úspěchu a expandovala do nových oblastí, jako např. do oblasti kontroly materiálů v rychle se rozvíjejícím železničním průmyslu i kontroly zařízení továren. V roce 1922 francouzská vláda pověřila společnost Bureau Veritas prováděním oficiálních kontrol způsobilosti civilních letadel k letu. Ani automobilový průmysl nezůstal opomenut: společnost Bureau Veritas vytvořila v roce 1927 službu pro kontroly autobusů a nákladních vozidel.
V současné době má Bureau Veritas rozsáhlou síť regionálních a místních kanceláří, které udržují vztahy se zákazníky a zajišťují kompletní řadu služeb zahrnujících kontroly, testování, audity, certifikace a související technickou pomoc, školení a poradenské služby v oblastech průmyslu, stavebnictví, maloobchodu i mezinárodního obchodu. Soustřeďuje se na dodržování souladu výrobků a výrobních procesů s technickými normami a legislativními požadavky, na bezpečnost práce, požární bezpečnost, kontroly elektroinstalací, tlakových zařízení, ochranu životního prostředí a nově i na kybernetickou bezpečnost.
Velké i malé organizace, bez ohledu na to, zda soukromé nebo veřejné, se mohou spolehnout na podporu firmy Bureau Veritas při ochraně svých značek, prostředků a podnikání.
Společnost Bureau Veritas využívá znalosti více než 64 000 zaměstnanců v 1 330 kancelářích a laboratořích ve 140 zemích světa, včetně České republiky.
Obr. 1. Jakub Kejval, generální ředitel Bureau Veritas Czech Republic
Tab. 1. Oblasti opatření ISMS podle ČSN ISO/IEC 27001:2013, příloha A
A.5 Politiky bezpečnosti informací |
A.6 Organizace bezpečnosti informací |
A.7 Bezpečnost lidských zdrojů |
A.8 Management aktiv |
A.9 Opatření k přístupu a řízení přístupových práv |
A.10 Metody šifrování |
A.11 Fyzická bezpečnost pracovišť a zařízení |
A.12 Bezpečnost provozu |
A.13 Bezpečná komunikace a přenos dat |
A.14 Bezpečná akvizice, vývoj a podpora informačních systémů |
A.15 Bezpečnost pro dodavatele a třetí strany |
A.16 Management incidentů |
A.17 Kontinuita podnikání s ohledem na informační bezpečnost |
A.18 Shoda s interními i externími požadavky |