Kybernetická bezpečnost

Pro úplnost je vhodné v tomto článku uvést několik informací o kybernetické bezpečnosti. V oblasti bezpečnosti informačních technologií je obvykle zmiňován zákon č. 181/2014 Sb., o kybernetické bezpečnosti, v platném znění (dále jen „ZOKB“), a to ve vztahu k pravomocem kybernetického centra a zásahům do soukromí občanů. V tomto článku je možné zmínit se o některých jeho dopadech pro firmy a na požadavky zákona na zajištění bezpečnosti.

ZOKB byl v době jeho přijetí významným milníkem v české legislativě, krokem k vyšší bezpečnosti v digitálním prostředí státních institucí i firem. Většina lidí, pokud se v dané problematice orientují, má obavy ze zásahu centra kybernetické bezpečnosti do soukromí občanů. Zákon však významně zvyšuje standard bezpečnosti a dostupnosti služeb, které jsou v takzvaném kyberprostoru občanům poskytovány. ZOKB si však klade mimo jiné za cíl zajistit bezpečnost, ať už formou organizačních nebo technických opatření.

Vedení jednotlivých společností obvykle vnímají bezpečnostní rizika jako problémy, které lze vyřešit jednorázovým úsilím. Zhruba třetina osob odpovědných ve společnosti za realizaci, resp. výkon opatření k bezpečnosti přistupuje proaktivně a systém řízení rizik je pro ně způsobem, jak zajistit efektivnější dosažení cílů společnosti a vyvážit míru rizik a investic. V návaznosti na zaměření tohoto článku je klíčové uvědomit si, že bezpečnost spočívá v míře pokrytí rizik, ne v řešení jednotlivých technických problémů. A právě systém řízení rizik je jedním ze základních požadavků zákona.

Kroky společností, které se řídí pouze zákonnými povinnostmi v oblasti bezpečnosti, jsou obvykle vnímány jako nesystémové, avšak doposud se jednalo o legislativu zaměřenou na užší oblast (například týkající se bezpečnosti údajů pacientů nebo platebních údajů). ZOKB se v některých ohledech podobá například standardu řízení bezpečnosti informací ISO 27001. Dokonce společnosti, které dosáhnou poslední verze certifikace ISO 27002, mají shodu s tímto zákonem téměř zabezpečenou.

Zákon rozděluje požadavky zajištění kybernetické bezpečnosti (bezpečnostní opatření) na technická a organizační opatření, a právě na organizační opatření je potřeba se zaměřit. Dá se říci, že pokud je ve společnosti implementováno nějaké bezpečnostní IT řešení, je mnohem vyšší šance na úspěch takového projektu, pokud existuje jeho podpora ze strany vedení společnosti, nebo osob odpovědných za vedení projektu.

Implementace řešení pro podporu systému řízení bezpečnosti informací, který je pro efektivní soulad se zákonem potřebný, je pouze polovičním úspěchem. V této oblasti je jedním z důležitých faktorů podpora vedení společnosti, aby nedošlo k situaci, kdy je pouze problém přesunut na IT oddělení a hrozí, že se projekt nedotáhne do konce.

Jak již bylo naznačeno výše, nevyhovující stav potřebných znalostí a vzdělání v oblasti bezpečnosti je jedním z hlavních důvodů, proč je důležité je v některých společnostech upřednostňovat. Jedním z požadavků zákona je školení zaměstnanců (§5 odst. 2 písm. g ZOKB – Bezpečnost lidských zdrojů). Právě této oblasti je věnována zvýšená pozornost , a to ve smyslu samotného způsobu školení a předávání znalostí zaměstnancům.

Nejedná se již o přístup ve stylu krátkého proškolení zaměstnance ve zkušební době, ale o systematické a srozumitelné vzdělávání, nejlépe pravidelné a soustavné. Hrozby se neustále mění a samotné proškolení uživatelů již nestačí, nýbrž je potřeba je kontinuálně vzdělávat. Hledání možností, jak bezpečnost implementovat dovnitř firmy a předávat znalosti srozumitelnou a poutavou formou, je cesta, jak efektivně snížit náklady na pokrytí rizik.

IT bezpečnost, jakožto oblast virtuálního, nehmatatelného světa, navíc v kontextu rizik, tedy negativního myšlenkového procesu, je pro pochopení značně náročná. V rámci školení bezpečnosti se osvědčuje použití metafor, abstrakcí a příběhů z hmatatelného světa s navázáním vlivů na cíle společnosti.

Dopad na IT prostředí

Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)stanovuje celkem 23 bezpečnostních politik společných pro všechny povinné osoby.

Povinné osoby uvedené v § 3 ZOKB stanoví bezpečnostní politiky v následujících oblastech – např. systém řízení bezpečnosti informací, organizační bezpečnost, stanovení bezpečnostních požadavků pro dodavatele, řízení aktiv, které zahrnuje pravidla pro bezpečné nakládání s aktivy, bezpečnost lidských zdrojů, řízení provozu a komunikací, řízení přístupu, bezpečné chování uživatelů, používání kryptografické ochrany a nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí.

Přestože zákon dává vodítko k postupům a opatřením v oblasti kybernetické bezpečnosti, nebude jeho naplnění snadné a může s sebou nést zvýšení náklady. Jednotlivé firemní politiky a jejich požadavky na počet softwarových nástrojů, které jsou potřeba k jejich realizaci, přesahují minimálně desítku řešení.

Společně s organizačními opatřeními, která budou klást vyšší časové nároky na zaměstnance společnosti, se jedná o značné zdroje, které si plnění požadavků zákona vyžádá. Přestože je zákon nyní cílen spíše na větší společnosti a instituce, i pro ně bude často znamenat nové investice, neboť ani tyto subjekty většinou nedosahují plné shody se zákonem v aktuální podobě.

Jednou ze slabších oblastí společností je systém řízení bezpečnosti informací, jehož implementace bývá technicky zajištěna vhodným řešením pro ochranu dat. Prevence ztráty dat a její řešení pokrývají takové oblasti jako klasifikace dat, řízení práce s daty a příslušná hlášení bezpečnostních incidentů.

Vzhledem k nárokům na zapojení celé společnosti a zejména, jak již bylo zmíněno, na výši podpory vedení společnosti se jedná o jeden z náročnějších projektů v IT bezpečnosti. Právě kvůli nízké angažovanosti osob mimo IT oddělení tyto projekty v historii selhávaly. Splnění výše uvedených podmínek a vhodná motivace zaměstnanců může zachránit celý projekt a vzhledem ke značně sníženému riziku úniku dat i samotnou společnost.

Systém řízení bezpečnosti informací je jmenován na prvním místě v bezpečnostních politikách ZOKB, a není náhodou, že k naplnění zákona bude do značné míry vyhovovat, pokud již společnost splnila nároky kladené směrnicí ISO 27002. Tento standard pokrývá bezpečnostní rizika významné kategorie – bezpečnosti dat.

Obecně ZOKB klade požadavky, které se dají kategorizovat jako požadavky na řízení, kontrolu a monitoring osob nebo aktiv (např. data nebo informační systém). Společnost by se tedy měla zaměřit na řešení, které bude mít technicky největší kontrolu nad činnostmi koncových uživatelů a jejich prací s daty a aplikacemi. Projevuje se zde opět návaznost na přesné vymezení činností a odpovědnosti zaměstnanců v pracovní smlouvě a správná definice pojmu uživatele, a nikoliv procesu, nebo zařízení. Díky schopnosti řídit a kontrolovat práci uživatelů a aplikací s daty z výše uvedeného plyne i vhodnost využití procesů při implementaci normy ISO 27001.

Bezpečnost nespočívá v jednorázovém opatření

Zákon o kybernetické bezpečnosti je významným krokem směrem k bezpečnějšímu digitálnímu prostředí. Klade velké nároky na zdroje pro povinné osoby, které momentálně pokrývají pouze část požadavků, proto bude nutné hledat efektivní řešení pro podporu naplnění požadavků. Je ale postaven na solidních základech a nabízí inspiraci i podnikům, které nejsou povinnými osobami. Pomůže zvýšit povědomí o bezpečnosti a vhodných praktikách i o tom, že bezpečnost není pouhé jednorázové technické řešení problému, ale naopak organizační úsilí podpořené adekvátními technickými řešeními.

Oblast kybernetické bezpečnosti dostane významných změn, v souvislosti se směrnice Evropského parlamentu a Rady (EU) 2022/2555 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (běžně se pro ni užívá označení NIS2 a její implementací do českého právního řádu přijetím nového zákona o kybernetické bezpečnosti. Ten by měl vstoupit v účinnost pravděpodobně na podzim roku 2025.

Možné důsledky porušení odpovědnosti

Jak plyne z výše uvedených informací, důsledky nedodržení zákonné úpravy nebo prevenční povinnosti pak spočívají v závažných následcích – snížení důkazní síly v případě sporu, možné vyslovení neplatnosti právního jednání soudem, neaplikovatelnost některých právních domněnek, přestupků, nebo v krajním případě dokonce i vzniku trestní odpovědnosti (ať už jednotlivých osob, nebo společnosti, vzhledem k tomu že lze stíhat i právnické osoby).

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner DKS LEGAL.

Přehled všech témat Právního průvodce