Kybernetická bezpečnost (kyberbezpečnost). Definice, význam, řízení, povinnosti a legislativa

Rubrika: Kybernetická bezpečnost a bezpečnost informací

Datum: 04.10.2022

Aktualizace: 11.07.2024

Rubriky

Mohlo by Vás zajímat

Obsah:

  • Co je kybernetická bezpečnost
  • Význam aktivní kybernetické bezpečnosti
  • Řízení úspěšné kybernetické bezpečnosti
  • Legislativa na národní i evropské úrovni

Co je kybernetická bezpečnost

Pojem „Kybernetická bezpečnost“ vycházející z anglického „Cyber Security“ označuje soubor nástrojů, technologií, technik, činností, zásad a procesů, jejichž cílem je prevence, ochrana a související správa zabezpečení počítačových systémů a technologií před kybernetickými útoky.

Kybernetická bezpečnost zahrnuje:

  • vzdělávání populace o kyberbezpečnosti;
  • zabezpečení počítačových a informačních sítí;
  • zabezpečení softwaru - aplikací a programů;
  • zabezpečení důvěrných dat a soukromých informací;
  • zabezpečení sdílených úložišť a cloudových architektur;
  • zabezpečení mobilních zařízení a uložených dat;
  • provozní bezpečnost - oprávnění a postupy při manipulaci s daty;
  • reakce na kyberútoky - záchrana a obnova dat, sítí a počítačových operací.

Kybernetickou bezpečnost lze chápat také jako způsob, jak jednotlivci a organizace mohou snižovat kybernetické útoky spáchané kyberzločinci, kteří používají širokou škálu útoků, aby ohrozili důvěrnost, integritu a dostupnost dat.

Používají následující strategie:

  • útoky na důvěrnost - jsou navrženy tak, aby odcizily citlivé informace, jako jsou osobní identifikační údaje;
  • útoky na integritu - mají sabotovat operace pomocí změny dat;
  • útoky na dostupnost - mají za cíl zabránit uživatelům v přístupu k jejich datům.

Význam aktivní kybernetické bezpečnosti

Kybernetická bezpečnost pomáhá předcházet útokům, jejichž cílem je deaktivovat nebo narušit operace systému nebo zařízení. Silná strategie kybernetické bezpečnosti může poskytnout dobrou bezpečnostní pozici proti škodlivým útokům navrženým za účelem ovládnutí přístupu k počítači, pozměnění, zablokování či úplného zničení citlivých dat organizace, nebo vydírání.

Na úrovni jednotlivce může být kyberútok předzvěstí krádeže identity, vydírání a ztráty nenahraditelných dat, jako jsou osobní a citlivé údaje, rodinné fotografie apod. Na úrovni organizace může mít kybernetický útok za následek ztrátu dat, narušení provozu, požadavky na výkupné, průmyslovou špionáž nebo ztrátu reputace. Integrovaný, automatizovaný přístup k výsledkům kybernetické bezpečnosti a kybernetické odolnosti urychluje detekci, nápravu a vyšetřování kybernetických událostí a incidentů.

Kyberkriminalita zahrnuje jednotlivé aktéry nebo skupiny, které se zaměřují na počítačové systémy s cílem získat finanční zisk nebo způsobit narušení chodu systému. Kybernetický útok často zahrnuje také politicky motivované shromažďování informací. Cílem kyberterorismu je ovládnout, zničit nebo jinak ohrozit elektronické systémy a způsobit paniku nebo strach.

Kyberútoky jsou stále sofistikovanější a nabývají na intenzitě. Distribuované odmítnutí služby (DDoS), ransomware, pokročilé perzistentní hrozby a státem sponzorované hackování, to vše učinilo prostředí hrozeb nebezpečnějším. Kybernetický zločin je také obrovský byznys. Kybernetické útoky mohou mít sociální, etické nebo politické motivy. Přesto je drtivá většina vedena finančními záměry. Kyberkriminalita je multimiliardový průmysl.

Řízení úspěšné kybernetické bezpečnosti

K boji proti kybernetickým útokům potřebujete celou řadu strategií, technik, nástrojů, technologií, postupů a služeb. Níže jsou uvedeny některé z nejdůležitějších pilířů kybernetické bezpečnosti.

Závazek vedení

Kybernetická bezpečnost musí mít viditelnou podporu na nejvyšší úrovni organizace. Zaměstnanci budou oddáni věcem, které mají výslovnou podporu vrcholového vedení a představenstva.

Pravidelná hodnocení rizik

Pravidelná hodnocení kybernetických rizik pomáhají identifikovat a vyhodnocovat hrozby a zároveň určit, zda jsou zavedené kontroly dostatečné. Je to nákladově efektivní prostředek proaktivní ochrany vašich digitálních aktiv.

Správa hesel

Vytvořte si zásady a programy pro zvyšování povědomí, které zajistí, že uživatelé (zaměstnanci) budou vytvářet hesla, která lze jen obtížně předvídat. Výchozí hesla by měla být změněna před nasazením aplikace nebo zařízení do produkčního prostředí.

Robustní kultura kybernetické bezpečnosti

Většina kybernetických útoků je založena na zranitelnostech způsobených lidskou chybou. Slabá hesla, phishingové e-maily, podvodná volání a přílohy s malwarem závisí na akcích uživatele. Útočníci je využívají, aby přiměli zaměstnance k otevření dveří pro neoprávněný přístup.

Každý zaměstnanec musí uznat svou odpovědnost jako první obrannou linii při ochraně digitálních aktiv organizace před kybernetickými útoky. To je třeba posilovat pravidelným školením kybernetické bezpečnosti. Kybernetická bezpečnost by měla být integrována do hodnot a vize společnosti. Dobrou strategií je také pobízení a odměňování zaměstnanců, kteří modelují správné chování v oblasti kybernetické bezpečnosti.

Integrovaná aplikační a síťová bezpečnostní řešení

Nejlepší podniková bezpečnostní řešení softwaru fungují ve více vrstvách. Jen tak vytvářejí solidní obranu proti kybernetickým hrozbám. Organizace často potřebuje k provedení své práce několik aplikací a řešení zabezpečení sítě, od systémů prevence narušení po antivirový software. Historicky byla tato řešení nasazena v reaktivním a tichém postoji, který se ukázal jako neúčinný, drahý a komplikovaný. Útočníci by mohli navíc využít systémové mezery a díry. Aby bylo možné skutečně vidět celou oblast hrozeb, musí být aplikace a řešení zabezpečení sítě integrovány tak, aby se zabránilo tomu, že se cokoliv dostane skrz trhliny.

Povinní a jejich povinnosti v kyberbezpečnosti

Legislativu týkající se kybernetické bezpečnosti je nutné chápat jako dvě odlišné formy, pod které se řadí ochrana státu a ostatní informační bezpečnost.

Ochrana kyberbezpečnosti státu

Legislativa nařizuje povinné zabezpečení kritické informační infrastruktury státu (KII) včetně její ekonomiky, zabezpečení základních životních potřeb a zdraví obyvatel apod. Tyto povinnosti mají vybrané subjekty, např.:

  • provozovatelé sítí a služeb elektronických komunikací;
  • provozovatelé digitálních služeb;
  • orgány a osoby zajišťující významné sítě;
  • správci a provozovatelé informačních a komunikačních systémů KII;
  • provozovatelé základních služeb;
  • poskytovatelé digitálních služeb aj.

Orgány a osoby, kterým se ukládá povinnost v oblasti kybernetické bezpečnosti jsou podrobněji uvedeny v § 3 zákona č. 181/2014 Sb. o kybernetické bezpečnosti (poslední novelizace 6. 8. 2022).

Mezi kritickou infrastrukturu (KI) patří např.:

  • energetika - elektřina, zemní plyn, ropa a ropné produkty, centrální zásobování teplem;
  • vodní hospodářství - vodní díla, čističky odpadních vod, dodávky pitné vody;
  • potravinářství a zemědělství - rostlinná a živočišná výroba;
  • zdravotnictví - nemocniční zařízení;
  • doprava - silniční, železniční, letecká a vodní;
  • komunikační a informační systémy - mobilní sítě, poštovní služby, rozhlas a televize;
  • finanční trh a měna - banky, úvěrové a finanční společnosti;
  • nouzové služby - zdravotnická záchranná služba, policie, hasiči;
  • veřejná správa - úřady a veřejné instituce.

Kompletní výčet odvětvových kritérií pro určení prvku kritické infrastruktury je uveden v příloze k nařízení vlády č. 432/2010 Sb.

Ostatní informační bezpečnost

Ostatní informační bezpečnost týkající se podniků zahrnuje ochranu dat, obchodního tajemství, osobních a citlivých údajů apod. Pro bezpečnostní manažery to skýtá mimojiné také práci v oblasti trestní, správní a civilní legislativy, která upravuje právní povinnosti související se zpracováním, získáváním, ukládáním, komunikací a jinými formami nakládání a manipulace s informacemi.

Soukromé podniky spadající mimo vybrané povinné subjekty však nemají zákonnou povinnost v oblasti kybernetické bezpečnosti. Výčet organizací a společností, na které budou dopadat povinnosti vyplývající ze zákona o kybernetické bezpečnosti, se však zásadně rozšíří přijetím směrnice Evropské Unie (NIS2), která má začít platit od roku 2024. Je velmi obtížné postihovat podniky za to, že ve své počítačové síti nemají ochranná opatření. Výjimkou jsou podniky nakládající s utajovanými informacemi. V případě úniku tajných informací může být podnik odpovědný za škody způsobené zaměstnancům, zákazníkům či jiným třetím osobám z důvodu špatného zabezpečení informační infrastruktury.

Legislativa na národní i evropské úrovni

Zde je výčet aktuálně platné legislativy týkající se kybernetické bezpečnosti a souvisejících témat na úrovni české i eurounijní.

Legislativa ČR

  • Zákon č. 181/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti);
  • Vyhláška č. 82/2018 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti);
  • Vyhláška č. 317/2014 Sb. o významných informačních systémech a jejich určujících kritériích;
  • Vyhláška č. 437/2017 Sb. o kritériích pro určení provozovatele základní služby;
  • Zákon č. 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti;
  • Nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvku kritické infrastruktury;
  • Zákon č. 365/2000 Sb. o informačních systémech veřejné správy a o změně některých dalších zákonů;
  • Usnesení č. 2/1993 Sb. předsednictva České národní rady o vyhlášení LISTINY ZÁKLADNÍCH PRÁV A SVOBOD jako součástí ústavního pořádku České republiky;
  • Ústavní zákon č. 110/1998 Sb. o bezpečnosti České republiky;
  • Vyhláška č. 523/2005 Sb. o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor;
  • Vyhláška č. 525/2005 Sb. o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací;
  • Vyhláška č. 528/2005 Sb. o fyzické bezpečnosti a certifikaci technických prostředků;
  • Vyhláška č. 316/2021 Sb. o některých požadavcích pro zápis do katalogu cloud computingu;
  • Vyhláška č. 315/2021 Sb. o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci;
  • Zákon č. 240/2000 Sb. o krizovém řízení a o změně některých zákonů (krizový zákon);
  • Zákon č. 480/2004 Sb. o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti);
  • Zákon č. 127/2005 Sb. o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích);

Legislativa EU

  • Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii;
  • Prováděcí nařízení Komise (EU) 2018/151 ze dne 30. ledna 2018, kterým se stanoví pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2016/1148, pokud jde o bližší upřesnění prvků, které musí poskytovatelé digitálních služeb zohledňovat při řízení bezpečnostních rizik, jimiž jsou vystaveny sítě a informační systémy, a parametrů pro posuzování toho, zda je dopad incidentu významný;
  • Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526//2013 („akt o kybernetické bezpečnosti“).

 

POŽÁDEJTE O ZASLÁNÍ

NABÍDKY JEŠTĚ DNES