Hlavní navigace

Zákon o kybernetické bezpečnosti: co v něm stojí?

16. 4. 2013
Doba čtení: 9 minut

Sdílet

Byl zveřejněn návrh připravovaného zákona o kybernetické bezpečnosti. Ten by měl vytvořit právní rámec pro řešení velkých bezpečnostních incidentů, které přímo ohrožují kritickou síťovou infrastrukturu státu a jeho informační systémy. Odpůrci se bojí odposlechu a sledování. Co přesně se v zákoně píše?

Návrh zákona o kybernetické bezpečnosti vzniká na NBÚ, které je garantem kybernetické bezpečnosti v ČR a v jehož struktuře je ukotveno nové Národní centrum pro kybernetickou bezpečnost. Podle jeho autorů je hlavním cílem ochrana kritické infrastruktury a informačních systémů, které jsou podstatné pro běh státu. Jde především o tvorbu právního rámce pro provoz národní a vládní skupiny CERT.

Odpůrci se zase bojí, že zákon vzniká proto, aby úřad dostal velkou moc, mohl odposlouchávat či přímo odpojovat nepohodlné osoby či organizace. Tyto obavy ovšem zatím nebyly ničím podložitelné, neboť laická veřejnost neměla k pracovním verzím přístup.

Čtěte dále: Vladimír Rohel, NCKB: nebudeme odposlouchávat ani vypínat internet

Důvody nám vysvětlil Vladimír Rohel, ředitel Národního centra kybernetické bezpečnosti: Pracovní verze zákona bývají velmi odlišné od konečné podoby. Může vzniknout zbytečná panika, která bude pramenit z nepochopení záměru. Materiál ale nebyl připravován „v tajnosti“. Své připomínky k němu předala jeho tvůrcům řada odborníků z přibližně padesáti organizací jako CZ.NIC, ČTÚ, CESNET, ICT Unie a podobně. Přítomni byli například i zástupci Pirátské strany.

NCKB uvádí, na jakých principech je zákon založen: Zákon je ‚postaven‘ na dvou zásadách a třech pilířích. První zásadou je minimalizace zásahu do práv soukromoprávních subjektů, druhou zásadou je individuální odpovědnost za bezpečnost vlastních informačních systémů. Tři pilíře tvoří: bezpečnostní opatření (standardizace), hlášení kybernetických bezpečnostních incidentů a protiopatření, tzn. reakce na incidenty.

Nyní byl návrh zákona odeslán do meziresortního připomínkového řízení a byl zveřejněn. Určené státní orgány i širší veřejnost mají nyní čas do 10. května k prostudování návrhu a předložení připomínek k jeho znění. Pokud bude vše probíhat standardně, plánuje NBÚ předložit vládě ke schválení návrh ZKB včetně návrhu prováděcích předpisů koncem června tohoto roku. Pokud zákon projde, začne platit 1. ledna 2015.

My se už nyní můžeme podívat na to, jak přesně zákon vypadá a co komu ukládá za povinnosti a práva. Nejde o právní rozbor, na ten bylo málo času. Ovšem určitě se ho dočkáte. Nyní jde o to projít ty nejpodstatnější části zákona a seznámit se s jeho obecnými rysy. Lapidárně řečeno: kdo co může a kdo co musí.

Celé znění zákona si můžete stáhnout [PDF].

Koho se zákon týká

Zákon přímo vyjmenovává konkrétní subjekty (osoby), kterých se dotýká. Tím jasně vymezuje své působení na důležitou infrastrukturu.

Povinnými osobami v oblasti kybernetické bezpečnosti jsou
a) poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací, pokud nespadá pod písmeno b),
b) subjekt zajišťující významnou síť, pokud nespadá pod písmeno d),
c) správce informačního systému kritické informační infrastruktury,
d) správce komunikačního systému kritické informační infrastruktury a
e) správce významného informačního systému.

Jde tedy jen o takové subjekty, které se podílejí na významné elektronické komunikaci či provozují kritickou infrastrukturu. Nejsou zde poskytovatelé obsahu, jednotliví uživatelé ani provozovatelé jiných služeb.

Subjekty vyjmenované v bodech a a b jsou do činnosti zahrnuty jen v případě takzvaného stavu kybernetického nebezpečí. Ten může platit jen po omezenou dobu a vyhlašuje jej předseda vlády. Viz další text.

Systém k zajištění kybernetické bezpečnosti

Zákon dále definuje, jak má fungovat systém k zajištění kybernetické bezpečnosti.

Systém zajištění kybernetické bezpečnosti tvoří bezpečnostní opatření, hlášení kybernetických bezpečnostních incidentů, protiopatření, oznamování kontaktních údajů a činnost Národního bezpečnostního úřadu (dále jen „Úřad“) a dohledových pracovišť.

Subjekty vyjmenované výše v bodech c až e jsou povinny zavést bezpečnostní opatření a vést bezpečnostní dokumentaci. Jde zejména o řízení rizik, bezpečnostní politiku, organizační bezpečnost, stanovení bezpečnostních požadavků pro dodavatele, bezpečnost lidských zdrojů a podobně.

Zároveň jsou vyjmenována technická opatření, která je nutné zavést: fyzická bezpečnost, ochrana komunikačních sítí, řízení oprávnění přístupu, ochrana před škodlivým kódem, detekce bezpečnostních událostí, kryptografické prostředky a podobně.

Jde o opatření, která jsou například ve velkých společnostech naprosto běžná. Každý větší server housing či poskytovatel připojení má podobná řešení dávno nasazená. Mělo by být samozřejmostí, že se k serverům dostanou jen povolané osoby nebo že je nasazena softwarová ochrana.

Čtěte dále: Na návštěvě v bratislavském datacentru Datacube

Zákon tedy tyto požadavky jasně definuje a dává je za povinnost dotčeným subjektům. Pokud má být ochrana důležitých sítí a systémů účinná, musí se všechny strany dohodnout na určitém minimálním bezpečnostním standardu.

Bezpečnostní událost a incident

Zákon dále ukládá povinnost detekovat kybernetické bezpečnostní události ve významných sítích, komunikačních či informačních systémech. Tato povinnost se týká výše uvedených subjektů pod písmeny b až e.

Bezpečnostní událost je definována jako:

Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací.

a incident jako:

Kybernetickým bezpečnostním incidentem je kybernetická bezpečnostní událost, která představuje narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací.

Takto definované incidenty budou provozovateli sítí hlášeny národnímu dohledovému pracovišti CERT. Provozovatelé informačních systémů (písmeno c až e) budou hlášení podávat Národnímu bezpečnostnímu úřadu. Ten povede evidenci těchto incidentů. Je definováno, komu a jak může informace předávat.

Úřad poskytuje údaje z evidence incidentů orgánům veřejné moci pouze pro plnění úkolů v rámci jejich působnosti.
Úřad může poskytovat údaje z evidence incidentů národnímu CERT, orgánům vykonávajícím působnost v oblasti kybernetické bezpečnosti v zahraničí a jiným subjektům působícím v oblasti kybernetické bezpečnosti v rozsahu nezbytném pro zajištění ochrany kybernetického prostoru.

Zároveň zákon jasně uvádí, že informace nebudou poskytnuty, pokud by odhalily subjekt, který incident nahlásil. Zároveň nebudou zveřejňovány takové informace, které by vedly k ohrožení bezpečnosti.

To jsou pojistky, které brání ohrožení spolupracujících subjektů či sítí samotných. Organizace budou ochotné informace předávat jen v tom případě, že zůstanou v anonymitě. Velká banka by nebyla nadšená z toho, kdyby se na veřejnost dostala informace o tom, že incident proběhl právě u ní.

Protiopatření aneb co Úřad může

Právě toto je potenciálně nejkontroverznější část, protože zde se definují pravomoci úřadu. Je zde určeno, jaké povahy mají a mohou být protiopatření v případě bezpečnostních incidentů.

Protiopatřeními se rozumí úkony Úřadu, jichž je třeba k ochraně informačních systémů nebo služeb a sítí elektronických komunikací před hrozbou v oblasti kybernetické bezpečnosti nebo před kybernetickým bezpečnostním incidentem anebo k řešení již nastalého kybernetického bezpečnostního incidentu.

Celkem jsou definovány tři druhy protiopatření: varování, reaktivní protiopatření a ochranné protiopatření. Varování vydává Úřad, pokud se dozví o hrozbě v oblasti kybernetické bezpečnosti. Součástí zveřejněného varování může být i doporučené řešení, které mohou příjemci nasadit.

Reaktivní protiopatření nastupuje ve chvíli, kdy je potřeba aktivně zasáhnout. Tento zásah ovšem nevykonává sám Úřad. Ten má pravomoc pouze kontaktovat zodpovědné osoby a předat jim rozhodnutí o protiopatření.

Úřad vydá reaktivní protiopatření opatřením obecné povahy, kterým povinné osobě uloží zabezpečit informační systémy nebo sítě a služby elektronických komunikací před kybernetickým bezpečnostním incidentem.

Jakmile je incident („bez zbytečného odkladu“) vyřešen, přichází čas na ochranná protiopatření. To stanoví způsob zvýšení ochrany informačních systémů nebo služeb a sítí elektronických komunikací a lhůtu k jeho provedení. Při vydání rozhodnutí se postupuje podle správního řádu.

Provozovatel národního CERT týmu

Zákon mnohokrát zmiňuje pracoviště národního CERT týmu. Ten v současné době na základě memoranda s NBÚ provozuje sdružení CZ.NIC. V budoucnu se ale počítá s tím, že provozovatel bude vybrán ve standardním výběrovém řízení.

Národní CERT je pracoviště provozované zpravidla osobou soukromého práva, které zajišťuje sdílení informací na národní a mezinárodní úrovni v oblasti kybernetické bezpečnosti, a to zejména pro osoby soukromého práva.

Zákon definuje povinnosti tohoto týmu a také požadavky na subjekt, který se může o tuto roli ucházet. Musí jít o právnickou osobu, která má zkušenost s provozem informačních systémů, má technické, technologické a personální zázemí, má transparentní vlastnickou strukturu, je bezúhonná a podobně. S vybraným subjektem pak bude uzavřena veřejnoprávní smlouva.

Kromě toho je zákonem definován také vládní CERT, který je provozován Národním bezpečnostním úřadem. Tento CERT musí spolupracovat s národní skupinou CERT, přijímá oznámení o incidentech, vyhodnocuje údaje o událostech a například také provádí hodnocení zranitelností v oblasti kybernetické bezpečnosti.

Stav kybernetického nebezpečí

V případě masivního ohrožení zájmů České republiky, které nedokáže vládní CERT odvrátit, je možné vyhlásit takzvaný stav kybernetického nebezpečí. Ten vyhlašuje předseda vlády na návrh ředitele NBÚ.

Rozhodnutí o vyhlášení stavu kybernetického nebezpečí se zveřejňuje v hromadných informačních prostředcích a vyhlašuje se stejně jako zákon. Účinnosti nabývá okamžikem, který se v rozhodnutí stanoví. Rozhodnutí o vyhlášení stavu kybernetického nebezpečí vláda do 24 hodin schválí nebo zruší.

Tento stav se vyhlašuje nejdéle na dobu sedmi dnů, s dalším prodloužením musí souhlasit vláda. Celkem ovšem stav kybernetického nebezpečí nesmí být delší než třicet dnů. V průběhu tohoto období informuje ředitel NBÚ předsedu vlády o situaci a zavedených protiopatřeních. Když se ani po třiceti dnech nepodaří kybernetické nebezpečí odvrátit, přejde se do tzv. nouzového stavu, který se řídí ústavním zákonem o bezpečnosti ČR.

Z hlediska pravomocí NBÚ se v takové situaci změní jen to, že je možné vydat protiopatření i subjektům vyjmenovaných v bodech a a b. Tedy poskytovateli služby elektronických komunikací, subjektu zajišťujícímu síť elektronických komunikací a subjektu zajišťující významnou síť. V případě stavu kybernetického nebezpečí pak mohou být po omezenou dobu do řešení zapojeny i tyto organizace.

Kontrolní prostředky

Aby nebyl zákon bezzubý, stanoví také kontrolní a dohledové prostředky. Kontrolu může provádět NBÚ a Ministerstvo vnitra. Postupují přitom podle standardního kontrolního řádu.

Úřad vykonává kontrolu v oblasti kybernetické bezpečnosti. Při výkonu kontroly Úřad zjišťuje, jak povinné osoby plní povinnosti stanovené tímto zákonem, rozhodnutími a opatřeními obecné povahy vydanými Úřadem a dodržují prováděcí právní předpisy. Kontrolu v oblasti kybernetické bezpečnosti dále vykonává Ministerstvo vnitra, a to podle odstavce 4.

U subjektů, na něž se zákon vztahuje, je tedy kontrolováno, jak plní své povinnosti. Pokud tomu tak není, může kontrolní orgán uložit zjednání nápravy, případně určit, jaká opatření mají být přijata. V kritickém případě, kdy je systém ohrožen incidentem, může být zakázáno použití tohoto systému, než bude nedostatek odstraněn.

Zákon také definuje pokuty za nedodržení povinností či neprovedení určeného protiopatření. V takovém případě může pokuta nabývat výše až 100 000 Kč. V případě neoznámení kontaktních údajů či jejich změny může být uložena pokuta do výše 10 000 Kč. Pokuta by měla být ale až poslední možností. Pro nás není podstatné někoho pokutovat, ale zajistit doopravdy bezpečnost. Pokud se od někoho dozvíme důležitou informaci, potřebujeme, aby všechny instituce zareagovaly na případnou výzvu, řekl nám Vladimír Rohel z NCKB.

Spolupráce a rychlá reakce

Celý zákon je postaven tak, aby umožňoval rychlou komunikaci mezi subjekty, které provozují systémy důležité pro chod státu. Určuje také centrální autoritu, která sbírá hlášení a vydává rozhodnutí o nápravných krocích, které je potřeba provést.

root_podpora

Rozhodně se nepotvrzují paranoidní představy o všemocném Úřadu, který bude moci zasahovat do práv soukromých subjektů, monitorovat datové toky a vypínat sítě. Žádnou takovou pravomoc zákon neuděluje. Do činnosti provozovatelů je zasahováno jen ve výjimečném stavu kybernetického nebezpečí, a to ještě velmi omezeným způsobem.

Základem řešení velkých bezpečnostních incidentů je rychlá a hladká komunikace mezi těmi, kteří mohou podobné události čelit. Zákon vytváří prostředí, ve kterém bude možné rychle a efektivně předat informace a rozhodnout o protiopatření.

Byl pro vás článek přínosný?

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.