Kybernetická bezpečnost

Kybernetická bezpečnostKybernetická bezpečnost

Ochrana utajovaných informací v ICT

Ochrana utajovaných informací v ICTOchrana utajovaných informací v ICT

Galileo PRS

Galileo PRSGalileo PRS

Vybrané informace

Výzva odborné veřejnosti k podání připomínek

Záměr vyhlášky o obsahu a rozsahu bezpečnostních pravidel pro orgány veřejné moci využívající služby poskytovatelů cloud computingu (tzv. Cloudová vyhláška).

Cílem zveřejněného dokumentu je poskytnout veřejnosti, zájmovým skupinám, úřadům a odborníkům možnost seznámit se se záměrem vyhlášky o obsahu a rozsahu bezpečnostních pravidel pro orgány veřejné moci využívající služby poskytovatelů cloud computingu, včetně bezpečnostních úrovní pro využívání cloud computingu orgány veřejné moci (tzv. Cloudová vyhláška) a k tomuto záměru podat své připomínky. Připomínky NÚKIB využije při finalizaci návrhu vyhlášky.

Vydáním této vyhlášky bude NÚKIB realizovat zmocnění vyplývající z § 6 písm. e) zákona č. 181/2014 Sb., o kybernetické bezpečnosti.

Vyhláška nestanovuje přímé povinnosti soukromému sektoru. Upravuje však podmínky, za kterých mohou orgány veřejné moci využívat cloud computingové služby ze strany soukromého sektoru.

NÚKIB dále upozorňuje, že:

Zveřejněný dokument není nijak právně závazný a slouží jako podklad pro připomínky ze strany odborné veřejnosti. Odborná veřejnost může podávat připomínky do 17. srpna 2020. Postup jak podat připomínku, je obsažen v dokumentu. Konečná podoba vyhlášky o bezpečnostních pravidlech pro orgány veřejné moci využívající služeb cloud computingu [dle §6 písm. e) ZKB], se může podstatně lišit. Tento postup nijak nenahrazuje řádné připomínkové řízení podle legislativních pravidel vlády. Dokument nelze považovat za finální a bude na základě připomínek měněn.

Výsledný návrh vyhlášky poté bude předložen do řádného legislativního procesu v souladu s legislativními pravidly vlády. Návrh takto předložené vyhlášky bude pomocí informačního systém eKLEP také k dispozici veřejnosti.

Dokumenty jsou ke stažení v Návrzích legislativy zde.

Celá zpráva

Představujeme Bezpečnostní standard pro videokonference

Nejen kvůli nedávné karanténě, ale i kvůli čím dál větší oblibě práce z domova spojili síly experti z Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a Národní agentury pro komunikační a informační technologie (NAKIT) a vytvořili Bezpečnostní standard pro videokonference. Dokument nabízí velké množství rad, doporučení a příkladů, jak zabezpečit videokonferenční hovory. Dokument je využitelný nejen pro instituce státní správy či samosprávy, ale i pro soukromé firmy či neziskové organizace, které chtějí mít nastavené bezpečné prostředí pro komunikaci se svými zaměstnanci, spolupracovníky či partnery.

„Krize spojená s pandemií koronaviru ukázala a ještě více posílila naši závislost na komunikačních technologiích. Zaměstnanci firem i úřadů se ze dne na den museli přesunout na home office, což nebývalým způsobem vyzdvihlo důležitost bezpečné komunikace, kterou je obtížné narušit nebo odposlechnout. Proto jsme spolu s kolegy z NAKIT vytvořili tento standard, který mohou využít nejen úřady, ale i soukromý či neziskový sektor,“ říká ředitel NÚKIB Karel Řehka. „Digitalizace státní správy se týká i problematiky lepšího a efektivnějšího fungování úřadů a organizací. Videokonference se díky opatřením nouzového stavu staly ze dne na den standardem i nutností pro každodenní práci. I tyto technologie je třeba do informačních systémů zakomponovat bezpečným způsobem, aby jejich instalací a používáním nevznikla bezpečnostní hrozba. Spolu s NÚKIB, a za přispění státních i komerčních partnerů, jsme připravili tento dokument, který by měl všem organizacím pomoci s definicí požadavků na videokonferenční systém, jeho implementaci a bezpečný provoz,“ říká ředitel NAKIT a vládní zmocněnec pro ICT Vladimír Dzurilla.Hlavním cílem předloženého dokumentu je poskytnutí uceleného návodu na zajištění bezpečnosti videokonferenčních hovorů bez ohledu na to, kdo je využívá. „Řada postupů a požadavků sice vychází ze zákona o kybernetické bezpečnosti a souvisejících vyhlášek, ale dokument je schválně koncipován tak, aby byl aplikovatelný pro jakoukoli organizaci bez ohledu na to, zda musí, nebo nemusí plnit nároky stanovené zákonem o kybernetické bezpečnosti,“ říká ředitel odboru regulace NÚKIB Adam Kučínský s tím, že dokument se také netýká ochrany utajovaných informací, která podléhá zcela jiným pravidlům. „Standard pro videokonference je další dokument, který vznikl díky spolupráci NÚKIB a NAKIT. Jeho cílem je posílit kybernetickou bezpečnost nejen subjektů, které spadají pod zákon o kybernetické bezpečnosti, ale i všech ostatních. Dokument by měl pomoci se velmi rychle vyrovnat s řešením bezpečnostních problémů v tomto specifickém prostředí. Videokonference nám přinesly nové bezpečnostní výzvy a my jsme dali dohromady expertní tým, který na tyto výzvy vytvořením standardu reaguje,“ dodává ředitel sekce Bezpečnost NAKIT, Vladimír Rohel.Dokument stojí zejména na nutnosti klasifikace informací, které mají být prostřednictvím videokonference přenášeny. Zavádí tři úrovně, kdy úroveň jedna značí informace, které jsou nebo v brzké době budou veřejné nebo jejich zveřejněním nehrozí organizaci žádná újma. Do druhé kategorie spadá běžná pracovní komunikace, která je chráněna zejména obecnou povinností mlčenlivosti podle zákoníku práce. Třetí úroveň pak patří strategickým rozhodnutím, obchodním tajemstvím a bezpečnostním informacím. S těmito kategoriemi pracuje celý dokument a jednotlivá doporučení jsou koncipována v závislosti na citlivosti přenášených informací. Kromě NÚKIB a NAKIT, což jsou hlavní autoři, se na dokumentu podílela řada dalších partnerů včetně zpravodajských služeb, armády i velkých hráčů soukromého sektoru. Celkový výčet všech partnerů je uveden v samotném bezpečnostním Standardu.

Odkaz na kompletní materiál naleznete zde:https://www.govcert.cz/download/kii-vis/obecne/2020-07-17_Standard-pro-VTC_1.0.pdfZákladní bezpečnostní doporučení pro uživatele videokonferencí shrnuje následující dokument:

 Doporučení k VTC pro uživatele - barevné.pdf  Doporučení k VTC pro uživatele - černobílé.pdf Celá zpráva

Experti z NÚKIB, NAKIT a Ministerstva vnitra spojili síly kvůli zabezpečení menších organizací

Experti z Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), Národní agentury pro komunikační a informační technologie (NAKIT) a Ministerstva vnitra spojili síly, aby připravili dokument s názvem Minimální bezpečnostní standard. Jeho cílem je pomoci s kybernetickou bezpečností organizacím, které sice nespadají pod zákon o kybernetické bezpečnosti, ale přesto je žádoucí, aby jejich pracovníci znali a respektovali základní pravidla ochrany před hrozbami kyberprostoru. Typickým příkladem takových organizací jsou obecní úřady, zdravotnická zařízení, školy nebo i soukromé firmy.

Bezmála padesátistránkový dokument se dělí na dvě základní části, z nichž první je zaměřená na management organizací a druhá na IT specialisty. „Pro manažery popisujeme zejména nastavení řídících a kontrolních procesů, které je v organizaci nezbytné zavést a dodržovat. Zároveň zdůrazňujeme jejich důležitost, neboť podle našich zkušeností je základním předpokladem systematického přístupu ke kybernetické bezpečnosti právě podpora ze strany vrcholového vedení při jejím prosazování,“ říká ředitel odboru regulace NÚKIB Adam Kučínský. Druhá část dokumentu je pak převážně technická a zaměřená na IT specialisty. V této části je řada návodů, jak zajistit alespoň určitou úroveň zabezpečení. Mezi problémy, které poskytnuté návody pomáhají řešit, figuruje například fyzická bezpečnost, ochrana proti škodlivému kódu případně parametry kryptografických prostředků. „Je dobře, že takový dokument vznikl a může pomoci všem, kteří budují kybernetickou bezpečnost ve svých organizacích. Je to něco, co tu podle mě dlouhodobě chybělo. Ti, kteří se musí řídit zákonem o kybernetické bezpečnosti, mají svůj standard nastavený tímto zákonem a pro ty ostatní jsme se pokusili standard, který si myslíme, že by měli splňovat, popsat v tomto dokumentu,“ říká ředitel sekce Bezpečnost NAKIT, Vladimír Rohel.Celý dokument není právně závazný a slouží jako vodítko pro ty, kteří chtějí, aby jimi spravované organizace byly odolnější proti hrozbám v kyberprostoru. „U subjektů, které spadají pod náš zákon o kybernetické bezpečnosti, což jsou správci systémů nezbytných pro chod státu, je regulace mnohem tvrdší a navíc právně závazná. Tento dokument má sloužit organizacím, aby měly z čeho vycházet,“ dodává Kučínský. „Opakovaně říkám, že kybernetickou bezpečnost nemůže zajistit jeden úřad, ale že jde o oblast, na které se musíme podílet všichni. Vzniklý dokument je důkazem, že to je možné. Doufám, že práce všech tří partnerů najde uplatnění v co největším množství organizací veřejného i soukromého sektoru,“ říká ředitel NÚKIB Karel Řehka. „Dokument je důkazem dobré spolupráce klíčových státních organizací v oblasti kyberbezpečnosti a věřím, že pomůže se zaváděním bezpečnostních opatření všem organizacím i firmám v České republice. Důležité je, že tento dokument je k dispozici zdarma a jsme připraveni ho do budoucna společně rozvíjet,“ říká ředitel NAKIT a vládní zmocněnec pro ICT Vladimír Dzurilla. „Konečně je na světě všem přístupná a srozumitelná ‚kuchařka‘ pravidel, jak se bezpečně chovat v kyberprostoru. Digitalizace a bezpečnost se týká v podstatě každého, nejen kritické infrastruktury, proto je skvělé, že má odborná veřejnost k dispozici jasný dokument, jak postupovat při zabezpečení své firmy nebo instituce,“ říká ministr vnitra Jan Hamáček.Odkaz na celý materiál naleznete zde:https://www.govcert.cz/download/kii-vis/obecne/2020-07-17_Minimalni-bezpecnostni-standard_v1.0.pdf

Celá zpráva

Evropská komise varuje před závislostí na rizikových dodavatelích 5G technologií

Členské státy spolu s Evropskou komisí dnes vydaly průběžnou zprávu o plnění tzv. EU 5G toolbox. Jde o soubor nástrojů představujících společný přístup členských států EU k zabezpečení budoucích sítí 5G založený zejména na objektivním hodnocení rizik spojených s nástupem sítí 5G a adekvátních opatřeních, která mají za cíl tato rizika snižovat. Podle Komise všechny členské státy učinily řadu konkrétních kroků k vyšší bezpečnosti, čímž demonstrují svou ochotu postupovat v této oblasti koordinovaně na celounijní úrovni, ale zároveň říká, že je nutné bezodkladně začít snižovat riziko závislosti na jednom dodavateli a také přidat v nastavování procesu screeningu přímých zahraničních investic.

EU 5G toolbox byl vydán letos koncem ledna a ukazuje shodu členských států spolu s Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA) na nutnosti bezpečného budování sítí 5G. Jednotlivá opatření tohoto dokumentu se opírají například o vytváření rizikových profilů jednotlivých dodavatelů technologií a tvorbu konkrétních opatření, která zamezí vstupu těm dodavatelům, kteří budou shledáni jako vysoce rizikoví. Jako další velké riziko toolbox identifikuje hrozbu závislosti na jednom dodavateli. Konkrétní podoba a rychlost přijetí opatření jsou v kompetenci členských států

Aktuální zpráva mapuje pokrok, který jednotlivé členské státy učinily v přijímání nezbytných opatření. Hlavní pokroky podle zprávy přišly v oblasti zvyšování pravomocí národních regulátorů, aby mohli lépe vymáhat zajištění kybernetické bezpečnosti sítí 5G. Podobný pokrok je podle Komise v opatřeních směřujících k možnému omezení vstupu dodavatelů do infrastruktury na základě jejich rizikového profilu. Naopak přidat je nezbytné v oblasti řešení rizika závislosti na jednom dodavateli nebo v nastavování procesu screeningu přímých zahraničních investic.

„Z mého pohledu je klíčové, že Evropská komise prosazuje v podstatě identický přístup, jaký dlouhodobě prosazuje i Česká republika. To znamená přístup založený na hodnocení rizik. Zároveň posun v implementaci EU 5G toolboxu je jednoznačnou známkou snahy o celounijní řešení, o které Česká republika rovněž usiluje,“ říká ke zprávě Evropské komise ředitel NÚKIB Karel Řehka.

Česká republika nezaostává ani v další oblasti, kterou EU 5G toolbox zmiňuje, a tou je screening přímých zahraničních investic, jehož zavedení má v gesci Ministerstvo průmyslu a obchodu. „Ministerstvo na zavedení národního mechanismu prověřování přímých zahraničních investic intenzivně pracuje. Vypracovalo návrh zákona na jeho zavedení, který již prošel prvním čtením v parlamentu. Legislativní proces bude pokračovat hned na začátku září. Zároveň se připravujeme na zapojení do systému evropské spolupráce v této oblasti, která bude formálně zahájena v říjnu tohoto roku,“ říká náměstkyně sekce Evropské unie a zahraničního obchodu na Ministerstvu průmyslu a obchodu Martina Tauberová.

Toolbox patří k základním dokumentům EU o bezpečnosti 5G sítí. Na jeho přípravě se dominantně podílela Česká republika spolu s Francií. „Spolu s kolegy z francouzské Národní agentury pro kybernetickou bezpečnost (ANSSI) jsme měli v přípravě toolboxu řídicí roli. Nijak nepřeháním, když uvedu, že právě zásluhou ČR se do finální podoby dokumentu dostalo hodnocení rizikovosti dodavatelů technologií do sítí 5. generace včetně zařazení netechnických parametrů, jako je důvěra v daného dodavatele,“ uvádí český kyber attaché Národního úřadu pro kybernetickou a informační bezpečnost Lukáš Pimper, který měl tento proces v Bruselu na starosti.

Komise v závěru zprávy také zdůrazňuje, že zajištění odolnosti sítí 5G je pro naši společnost naprosto nezbytné, neboť tato technologie nebude mít vliv jen na elektronickou komunikaci, ale bude ovlivňovat i kriticky důležité sektory, jakými jsou například energetika, doprava, bankovnictví nebo zdravotnictví. Stejně tak umožní výrazně vyšší míru automatizace průmyslu, než jaká je patrná už v dnešní době.

Celá zpráva