Národní úřad pro kybernetickou a informační bezpečnost

Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací dle § 3 písm. a) ZKB

Poskytovatelem služby elektronických komunikací je ten, kdo ve smyslu § 2 písm. n) zákona č. 127/2005 Sb., o elektronických komunikacích, obvykle za úplatu poskytuje službu, která spočívá zcela nebo převážně v přenosu signálů po sítích elektronických komunikací, včetně telekomunikačních služeb a přenosových služeb v sítích používaných pro rozhlasové a televizní vysílání a v sítích kabelové televize, s výjimkou služeb, které nabízejí obsah prostřednictvím sítí a služeb elektronických komunikací nebo vykonávají redakční dohled nad obsahem přenášeným sítěmi a poskytovaným službami elektronických komunikací. Také se nejedná o služby informační společnosti, které nespočívají zcela nebo převážně v přenosu signálů po sítích elektronických komunikací.

Subjektem zajišťujícím síť elektronických komunikací je takový subjekt, který zajišťuje přenosové systémy, popřípadě spojovací nebo směrovací zařízení a jiné prostředky, včetně prvků sítě, které nejsou aktivní, které umožňují přenos signálů po vedení, rádiovými, optickými nebo jinými elektromagnetickými prostředky, včetně družicových sítí, pevných sítí s komutací okruhů nebo paketů a mobilních zemských sítí, sítí pro rozvod elektrické energie v rozsahu, v jakém jsou používány pro přenos signálů, sítí pro rozhlasové a televizní vysílání a sítí kabelové televize, bez ohledu na druh přenášené informace ve smyslu § 2 písm. h) zákona č. 127/2005 Sb., o elektronických komunikacích.

Orgán nebo osoba zajišťující významnou síť dle § 3 písm. b) ZKB

Orgánem nebo osobou zajišťující významnou síť je takový orgán nebo osoba, která ve smyslu § 2 písm. h) zákona č. 127/2005 Sb., o elektronických komunikacích, zajišťuje přenosové systémy, popřípadě spojovací nebo směrovací zařízení a jiné prostředky, včetně prvků sítě, které nejsou aktivní, které umožňují přenos signálů po vedení, rádiovými, optickými nebo jinými elektromagnetickými prostředky, včetně družicových sítí, pevných sítí s komutací okruhů nebo paketů a mobilních zemských sítí, sítí pro rozvod elektrické energie v rozsahu, v jakém jsou používány pro přenos signálů, sítí pro rozhlasové a televizní vysílání a sítí kabelové televize, bez ohledu na druh přenášené informace, a to ovšem pouze za situace, že tato síť zajišťuje přímé zahraniční propojení do veřejných komunikačních sítí nebo zajišťující přímé připojení ke kritické informační infrastruktuře ve smyslu § 2 písm. h) zákona č. 181/2014 Sb., o kybernetické bezpečnosti.

Proces určování:

Správce nebo provozovatel informačního nebo komunikačního systému kritické informační infrastruktury je povinen neprodleně informovat subjekt zajišťující síť elektronických komunikací v případě, že tento subjekt zajišťuje síť připojující prvek kritické informační infrastruktury. Tímto se ze subjektu zajišťujícího síť elektronických komunikací stává orgán nebo osoba zajišťující významnou síť.

Správce a provozovatel informačního nebo komunikačního systému kritické informační infrastruktury dle § 3 písm. c) a d) ZKB

Správcem informačního nebo komunikačního systému kritické informační infrastruktury je takový orgán nebo osoba, která určuje účel komunikačního systému nebo účel zpracování informací a podmínky provozování informačního nebo komunikačního systému.

Provozovatelem informačního nebo komunikačního systému kritické informační infrastruktury je takový orgán nebo osoba, která zajišťuje funkčnost technických a programových prostředků tvořících informační nebo komunikační systém, správce je určil a o této skutečnosti informoval.

Kritickou informační infrastrukturou (KII) se dle § 2 písm. g) a písm. i) zákona č. 240/2000 Sb., krizového zákona, rozumí prvek nebo systém prvků kritické infrastruktury, v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti dle § 2 písm. b) zákona č. 181/2014 Sb. o kybernetické bezpečnosti.

V praxi se jedná o takové informační nebo komunikační systémy, příp. ICS/SCADA systémy, které naplní kritéria pro určení prvků KII viz níže uvedené schéma v PDF.

Proces určování kritické informační infrastruktury lze nalézt zde.

Upozornění:
Rádi bychom upozornili na skutečnost, že určování prvků KII probíhá po vzájemném jednání mezi potenciálními povinnými subjekty (potenciálními správci prvků KII) a zástupci Národního úřadu pro kybernetickou a informační bezpečnost. O finálním určení prvku KII je vždy informován jeho správce, příp. jeho nadřízená organizace.

Správce a provozovatel významného informačního systému dle § 3 písm. e) ZKB

Správcem významného informačního systému je takový orgán nebo osoba, která určuje účel zpracování informací a podmínky provozování informačního systému.

Provozovatelem významného informačního systému je takový orgán nebo osoba, která zajišťuje funkčnost technických a programových prostředků tvořících informační systém, správce je určil a o této skutečnosti informoval.

Významným informačním systémem (VIS) je informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou ani informačním systémem základní služby a u kterého narušení bezpečnosti informací (narušení důvěrnosti, dostupnosti a integrity) může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci.

Proces určování významných informačních systémů je podrobněji vysvětlen v tomto schématu.

Provozovatel základní služby nebo správce a provozovatel informačního systému základní služby dle § 3 písm. f) a g) ZKB

Provozovatelem základní služby je takový orgán nebo osoba, která poskytuje základní službu a zároveň byl určen rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost.

Správcem informačního systému základní služby je takový orgán nebo osoba, která určuje účel zpracování informací a podmínky provozování informačního systému základní služby, provozovatel základní služby je určil a o této skutečnosti informoval.

Provozovatelem informačního systému základní služby je takový orgán nebo osoba, která zajišťuje funkčnost technických a programových prostředků tvořících informační systém, provozovatel základní služby je určil a o této skutečnosti informoval.

Základní službou (ZS) je dle § 2 písm. i) zákona č. 181/2014 Sb., o kybernetické bezpečnosti, služba, jejíž poskytování je závislé na sítích elektronických komunikací nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení společenských nebo ekonomických činností v některém z těchto odvětví

energetika,
doprava,
bankovnictví,
infrastruktura finančních trhů,
zdravotnictví,
vodní hospodářství,
digitální infrastruktura,
chemický průmysl.

Informačním systémem základní služby je dle § 2 písm. j) zákona č. 181/2014 Sb., o kybernetické bezpečnosti, informační systém, na jehož fungování je závislé poskytování základní služby.

Proces určování provozovatele základní služby a informačního systému základní služby je spolu s podrobnostmi o institutu základní služby a dalšími informacemi dostupný zde.

Poskytovatel digitální služby dle § 3 písm. h) ZKB

Digitální službou (DS) je dle zákona č. 480/2004 Sb., o některých službách informační společnosti jakákoliv služba poskytovaná elektronickými prostředky na individuální žádost uživatele podanou elektronickými prostředky, poskytovaná zpravidla za úplatu; služba je poskytnuta elektronickými prostředky, pokud je odeslána prostřednictvím sítě elektronických komunikací a vyzvednuta uživatelem z elektronického zařízení pro ukládání dat, dle § 2 písm. h) zákona č. 181/2014 Sb., o kybernetické bezpečnosti, spočívá v provozování:

on-line tržiště, které spotřebiteli nebo prodávajícímu umožňuje on-line uzavírat s prodávajícím podnikatelem kupní smlouvu nebo smlouvu o poskytnutí služeb, a to prostřednictvím internetové stránky on-line tržiště nebo prostřednictvím internetové stránky prodávajícího, který využívá službu poskytovanou on-line tržištěm,
internetového vyhledávače, který umožňuje provádět vyhledávání v zásadě na všech internetových stránkách, a to na základě dotazu uživatele na jakékoliv téma v podobě klíčového slova, sousloví nebo jiného zadání, přičemž služba poskytuje odkazy, na nichž lze nalézt informace související s požadovaným obsahem, nebo
cloud computingu, který umožňuje přístup k rozšířitelnému a přizpůsobitelnému úložišti nebo výpočetním zdrojům, které je možné sdílet.

Podrobné informace o institutu poskytovatele digitální služby naleznete zde.

Orgán veřejné moci využívající služeb poskytovatelů cloud computingu dle § 4 odst. 5 ZKB

Povinnou osobou dle zákona o kybernetické bezpečnosti je od novely účinné od 1. 9. 2021 taktéž orgán veřejné moci využívající služeb poskytovatelů cloud computingu dle § 4 odst. 5 zákona o kybernetické bezpečnosti. Z tohoto ustanovení plynou orgánům veřejné moci dvě hlavní povinnosti:
- Zařadit poptávaný cloud computing do bezpečnostní úrovně s ohledem na povahu dotčeného informačního nebo komunikačního systému a
- zajistit, že budou dodržována bezpečnostní pravidla pro poskytování služeb cloud computingu.

Službou cloud computingu je taková služba, která umožňuje vzdálený samoobslužný přístup k rozšiřitelnému a pružnému seskupení sdílitelných výpočetních zdrojů.
Takovými výpočetními zdroji jsou zejména sítě, servery, či jiná infrastruktura, operační systémy, software, úložiště, aplikace a služby.
Národní úřad pro kybernetickou a informační bezpečnost má dle § 23 zákona o kybernetické bezpečnosti kontrolní pravomoc pouze vůči těm orgánům veřejné moci využívající služeb poskytovatelů cloud computingu, které jsou zároveň jednou z povinných osob dle § 3 písm. a) až g) zákona o kybernetické bezpečnosti, v některých případech i vůči poskytovateli digitální služby dle § 3 písm. h) zákona o kybernetické bezpečnosti. Orgány veřejné moci využívající služeb poskytovatelů cloud computingu, které nejsou zároveň výše uvedenými povinnými osobami, nejsou pod kontrolní pravomocí Národního úřadu pro kybernetickou a informační bezpečnost, mohou ovšem být pod kontrolní pravomocí jiného orgánu veřejné moci. Zároveň za porušení povinností vyplývajících z § 4 odst. 5 nebo 6 zákona o kybernetické bezpečnosti subjekty, které nejsou povinnými osobami dle § 3 písm. c) až g) zákona o kybernetické bezpečnosti nelze uložit sankci dle zákona o kybernetické bezpečnosti.

Hrozby

Upozornění na kompromitaci routerů Ubiquity Edge OS aktérem sponzorovaným ruským státem

Podle informací amerického ministerstva spravedlnosti a jejich tiskové zprávy měl ruským státem sponzorovaný aktér APT28 (též známý jako Forest Blizzard, Fancy Bear či Sofacy Group), podléhající ruskému vojenskému zpravodajství (GRU), vytvořit síť kompromitovaných routerů Ubiquity Edge OS (tzv. botnet síť). Kompromitace se týká stovek těchto zařízení pro malé či domácí kanceláře (SOHO routers), přičemž největší riziko kompromitace platí pro zařízení s výchozími administrátorskými hesly.

Podle amerických autorit se současný ruský botnet liší od předchozích způsobem jeho budování. APT28 totiž měla využít již dříve kompromitované routery malwarem Moobot spojovaným se známou kyberkriminální skupinou. Skrze tento malware poté došlo k instalaci dalších skriptů na kompromitovaných zařízeních, a tedy převzetí celé sítě. Cílem APT28 měla být kyberšpionáž skrze spear-phishingové kampaně či sběr přihlašovacích údajů, které byly vedeny vůči americkým i zahraničním vládním institucím, ale i společnostem obranného sektoru nebo dalším organizacím podléhajícím zpravodajskému zájmu ruské vlády.

Americký Federální úřad pro vyšetřování (FBI) byl autorizován k zásahu vůči kompromitovaným zařízením a zamezení dalším škodlivým aktivitám. Dotčeným routerům bylo upraveno nastavení firewallu, které omezilo možnost jejich vzdálené správy, a tím i možnost komunikace s infrastrukturou útočníka. Pro úplnou mitigaci je však třeba provést následující kroky:

Obnovit tovární nastavení routerů, aby došlo k odstranění škodlivých souborů. Aktualizovat zařízení na nejnovější verzi firmwaru. Změnit přednastavená uživatelská jména a hesla. Upravit nastavení firewallu k zamezení vzdálené správy zařízení. FBI dále silně doporučuje odpojit routery od přístupu k internetu, dokud nedojde ke změně přednastavených hesel.

NÚKIB doporučuje všem majitelům či uživatelům potenciálně kompromitovaných routerů Ubiquity Edge OS provést výše popsané kroky.

Do mezinárodní operace vedené USA se zapojilo také Vojenské zpravodajství, které o věci informovalo na svých webových stránkách. Vyjádření k tomu poskytl také předseda vlády Petr Fiala na svém profilu na sociální síti X.

Celá zpráva 16.02.2024

Povinné osoby