přejít na obsah přejít na navigaci

Linux E X P R E S, Analýza Věcného záměru zákona o kybernetické bezpečnosti

Analýza Věcného záměru zákona o kybernetické bezpečnosti

linux_secure.png

Ve středu 30. 5. vláda schválila Věcný záměr zákona o kybernetické bezpečnosti. Chystaný právní akt dopadne především na provozovatele kritické informační infrastruktury, kterou často pohání právě Linux. Článek přináší krátké shrnutí Záměru.


Stručný výtah

Věcný záměr zákona o kybernetické bezpečnosti (dále jen Záměr) vypořádává současnou neuspokojivou právní situaci na úseku zajišťování kybernetické bezpečnosti [1]. Nejdůležitější návrhy v Záměru jsou následující:

  • Založí se zbrusu nové Národní centrum kybernetické bezpečnosti pod Národním bezpečnostním úřadem (dále jen NBÚ), které bude plnit agendu vzniknuvší ze zamýšleného zákona o kybernetické bezpečnosti. Provoz centra by měl stát daňové poplatníky přibližně 60 milionů korun ročně [2].

  • Zákon kodifikuje nový právní režim Stav kybernetického nebezpečí, který vyhlašuje předseda vlády České republiky na návrh ředitele NBÚ v případě rozsáhlého kybernetického útoku. Po vyhlášení se svolá Komise pro kybernetickou bezpečnost a NBÚ následně nařídí případná protiopatření, která musí realizovat i soukromí poskytovatelé služeb elektronických komunikací [3].

  • Zákonem regulované subjekty jsou klasifikovány do kategorií poskytovatelé služeb a provozovatelé sítí elektronických komunikací, správci systémů komunikační infrastruktury zařazených do kritické informační infrastruktury, správci informačních systémů zařazených do kritické informační infrastruktury, správci informačních systémů veřejné správy. A podle svého zařazení jsou jim ukládány povinnosti. Například správci systémů komunikační infrastruktury zařazených do kritické informační infrastruktury musí předat kontaktní údaje, hlásit vybrané kybernetické bezpečnostní události a provádět preventivní bezpečnostní opatření, podrobit se kontrole provedení uložených opatření a případně sankcím. Tuto zátěž navrhují legislativci i přes svůj předpoklad, že provozovatelé již převážně realizovali bezpečnostní opatření sami z vlastní iniciativy [4]. Rozsah zaváděných byrokratických povinností byl kritizován v připomínkovém řízení [5].

  • Záměr značně vylučuje odpovědnost za škodu u subjektů, jež dbaly nařízení NBÚ [6].

  • Záměr počítá s úzkou spoluprací mezi NBÚ a národními CERT/CSIRT.

  • NBÚ by měl formou vyhlášek vydávat nutné prováděcí předpisy (např. seznam bezpečnostních opatření).

Co Záměr neobsahuje:

  • Záměr striktně odmítá dopady zákona na uživatele [7], ačkoli lehkovážnost koncových uživatelů představuje vážnou hrozbu. Konkrétně osobní počítače, které jsou kvůli špatné administraci nezřídka nakaženy malwarem, se často zapojují do botnetu, který systematicky rozesílá spam, usiluje o přetížení serverů (útok typu DoS) či provádí jinou škodlivou činnost. Chystaný Zákon o kybernetické bezpečnosti nebude uživatele motivovat a nutit ke společensky odpovědnému přístupu k výpočetní technice.

  • Záměr zcela zapomíná na výrobce softwaru/hardwaru, kteří bezesporu hrají významnou roli. Výrobci problémového softwaru tak NBÚ nemůže nařídit vydání bezpečnostní záplaty, poskytnutí technických informací o produktu nutných k účinné eliminaci hrozby, stažení starých nezáplatovaných verzí z prodeje...

  • Záměr nediskutuje takzvané vendor lock-in situace, které představují strategickou hrozbu. Jako vendor lock-in se označuje situace, kdy dodavatel vytvoří umělé bariéry téměř vylučující změnu dodavatele. Odběratel pak ztrácí suverenitu a stává se vazalem, který si již nemůže zvolit optimální řešení. Například mnohé elektronické systémy veřejné správy se dostaly do vendor lock-in závislosti na soukromé firmě Microsoft. Tato situace České republiky nebyla nikdy schválena na půdě parlamentu, ačkoli se jedná o fundamentální součást národní bezpečnosti.

Technologická neutralita

U podobných norem hrozí, že budou protežovat jednoho soutěžitele na úkor druhého. Záměr s technologickou neutralitou počítá přímo v definici bezpečnostního opatření:

  • Bezpečnostní opatření – technologicky zcela neutrální opatření, která nejsou takového charakteru, aby určovala konkrétní technologii, konkrétního výrobce nebo poskytovatele služeb, aby nemohlo dojít k determinaci bezpečnostních řešení užívaných subjekty regulace. Uvedená opatření budou vydávána NBÚ ve formě vyhlášky a budou v souladu s mezinárodními standardy a normami (zejména normy ČSN ISO/IEC 20000 a ČSN ISO/IEC 27000, které budou základním inspiračním zdrojem při tvorbě obecně závazného předpisu, který stanoví bezpečnostní opatření. Držitel ISO/IEC 20000, resp. ISO/IEC 27000, tak bude muset splňovat pouze další stanovená bezpečnostní opatření jdoucí nad rámec bezpečnostních opatření vycházejících z těchto norem).

Pro účinné překonání aktuální krize je nutné přihlédnout k tomu, kterých technologií se hrozba týká a v čem spočívá. U protiopatření definice logicky technologickou neutralitu nepožaduje.

  • Protiopatření – úkony a činnosti, jichž je třeba k ochraně sítí elektronických komunikací nebo informačních systémů před negativním dopadem kybernetické bezpečnostní události (např. instalace nové verze antiviru, úprava bezpečnostních pravidel firewallu, instalace bezpečnostních záplat informačního systému).

Dále podle Záměru prováděcí vyhlášky budou obsahovat generická doporučení ve vhodné minimalistické formě a nebudou odkazovat na konkrétní produkty a výrobce, ale na metody a postupy [8].

Otázkou je, zda by zákon neměl spíše stranit nadprůměrně spolehlivým produktům. V praxi různě kvalitní produkty pro dosažení srovnatelné úrovně bezpečnosti vyžadují různě rozsáhlá bezpečnostní opatření. Podle intencí Záměru bude zákon házet všechny výrobce do jednoho pytle a de facto kodifikovat právní fikci, která stírá komparativní výhodu u bezpečnostně vyspělých produktů. U konkrétních produktů se některé problémy objevují soustavně a lze legitimně očekávat další recidivy i v budoucnu, což by měla bezpečnostní opatření zohlednit. Pro ilustraci se zamysleme nad historií závažných virových hrozeb pro kritickou infrastrukturu.

  • Dne 25. ledna 2003 v půl sedmé středoevropského času se poprvé objevil červ SQL Slammer. Během pouhých deseti minut úspěšně napadl 75 tisíc databázových serverů a zahltil internet. Červ napadl servery s Microsoft Windows, přičemž využíval chyby spočívající v neošetření přetečení zásobníku (buffer overflow).

  • V roce 2008 se objevuje první verze slavného Confickera, která napadala mimo jiné Windows Server 2003, Windows Server 2008 a Windows Server 2008 R2 Beta. Opět byla využita závažná chyba v produktech Microsoftu.

  • V roce 2010 se objevil červ Stuxnet, který využíval další z bugů ve Windows. Stuxnet zjišťoval, zda jsou instalovány ovladače některých modelů PLC značky Siemens, a PLC přeprogramovával. Stuxnet byl první malware zaměřený na teroristické útoky proti průmyslovým cílům.

  • Na Stuxnet navázala havěť Duqu a Flame.

Další incidenty naleznete v seznamu důležitých virových nákaz na Wikipedii. Operační systém Microsoft Windows je očividně právem slavný svou náchylností k virovým ztečím. Poučení z historie jasně říká, že se servery postavené na Microsoft Windows neobejdou bez antiviru. Dějiny dále učí, že linuxové servery se naopak bez antiviru obejdou. (Pokud samozřejmě antivir nechrání klienty s Microsoft Windows.) Klást stejné požadavky na všechny operační systémy stran ochrany před viry by bylo zjevně diskriminační.

Obecnost Záměru

Záměr přirozeně zůstává poměrně abstraktní. Finální norma bude logicky definitivně konkretizována zákonodárci až v pozdějších fázích legislativního procesu. Zatím se Záměr soustředí převážně na vznik exekutivních kompetencí a jejich delegování na NBÚ. Vlastnímu vymezení pojmů téměř stostránková písemnost věnuje pouhé tři stránky [9]. Vedle výše zmíněných definic protiopatření a bezpečnostního opatření na ukázku uveďme několik definic:

  • Kybernetický prostor – digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními a komunikačními technologiemi, zahrnující připojení k veřejné síti (internet).

  • Kybernetická bezpečnost – souhrn právních, organizačních, technických, fyzických a vzdělávacích opatření namířených na zajištění nerušeného a bezvadného fungování kybernetického prostoru.

  • Kybernetická bezpečnostní událost – událost s dopadem na služby nebo sítě elektronických komunikací [10] anebo na informační systémy, která představuje narušení jejich bezpečnosti a pravidel definovaných k jejich ochraně, která je způsobilá ohrozit nebo poškodit zájem České republiky a jež je zařazena v seznamu typů kybernetických bezpečnostních událostí vydávaném formou vyhlášky NBÚ.

  • Zájmem České republiky je zachování její ústavnosti, svrchovanosti a územní celistvosti, zajištění vnitřního pořádku a bezpečnosti, mezinárodních závazků a obrany, ochrana ekonomiky a ochrana života nebo zdraví fyzických osob.

  • Kritická informační infrastruktura – prvek kritické informační infrastruktury nebo systém těchto prvků, narušení jehož funkce by mohlo způsobit poškození nebo ohrožení zájmu České republiky.

  • Správce systému komunikační infrastruktury zařazené do kritické informační infrastruktury – subjekt, který poskytuje službu elektronických komunikací nebo zajišťuje síť elektronických komunikací zařazenou do kritické informační infrastruktury.

Nedostatky v exaktnosti jsou zjevné. Například definice termínu „bezvadné fungování kybernetického prostoru“ snese výklad jako „technicky bezvadné fungování,“ ale také jako „právně bezvadném fungování“. V případě zahrnutí „právně bezvadného fungování“ by do kybernetické bezpečnosti spadala třeba i problematika boje s počítačovým pirátstvím. Dále například vymezení pojmu protiopatření postrádá kritérium přiměřenosti protiopatření vůči závažnosti události. Chápání definice kritické informační infrastruktury je poměrně subjektivní...

Zdroje

Zápis z příslušného jednání vlády naleznete v oficiální tiskové zprávě, jež dále odkazuje na metainformace o projednávané předloze a na jeho plné znění ve formátu docx.

Poznámky pod čarou:

  1. V Záměru se například konstatuje: „Jak je vidět, v oblasti kybernetické bezpečnosti do současnosti vzniklo mnoho koncepčních a strategických dokumentů, avšak většina jejich cílů zatím nebyla splněna.“ Z těchto dokumentů Záměr přímo rozebírá Koncepci boje proti trestné činnosti v oblasti informačních technologií, Státní informační a komunikační politiku e-Česko 2006, Národní strategii informační bezpečnosti České republiky, Akční plán realizace opatření Národní strategie informační bezpečnosti České republiky, Zřízení Meziresortní koordinační rady pro oblast kybernetické bezpečnosti, podpis Memoranda o Computer Security Incident Response Team (CSIRT) České republiky se sdružením CZ.NIC, Strategii pro oblast kybernetické bezpečnosti České republiky na období 2011–2015, Přechod gesce nad kybernetickou bezpečností na NBÚ a zřízení Rady pro kybernetickou bezpečnost. Zpět.

  2. Záměr informuje: „Vláda České republiky usnesením ze dne 19. října 2011 č. 781, o ustavení Národního bezpečnostního úřadu gestorem problematiky kybernetické bezpečnosti a národní autoritou pro tuto oblast, schválila převod jednoho funkčního místa a příslušných mzdových a souvisejících výdajů z ministerstva vnitra na NBÚ v roce 2011 a převod finančních prostředků ve výši 500 tis. Kč z kapitoly ministerstva vnitra do kapitoly NBÚ v roce 2011. V tomto usnesení vlády rovněž došlo ke schválení navýšení osmi funkčních míst v roce 2012, deseti funkčních míst v roce 2013, deseti funkčních míst v roce 2014 a pěti funkčních míst v roce 2015 NBÚ a k navýšení rozpočtu NBÚ pro zajištění činnosti Národního centra kybernetické bezpečnosti o 51,5 mil. Kč v roce 2012, o 61 mil. Kč v roce 2013, o 61 mil. Kč v roce 2014 a o 65 mil. Kč v roce 2015.“ Zpět.

  3. Záměr konstatuje: „Jedinou podstatnou změnou pro soukromoprávní subjekty bude oproti normálnímu režimu podle zákona o kybernetické bezpečnosti zavedení povinnosti poskytovatelům služeb elektronických komunikací a subjektům zajišťujícím sítě elektronických komunikací provádět protiopatření stanovená NBÚ.“ Zpět.

  4. V Záměru hodnocení ekonomických dopadů uvádí úvahu: „Předpokládá se, že návrh věcného záměru zákona bude mít další dopad na státní rozpočet i na ostatní veřejné rozpočty a podnikatelské prostředí, a to zejména s ohledem na stanovení nových povinností ... (výčet povinností), avšak vzniklé náklady nebudou významné. Návrh vychází z premisy, že dotčené subjekty již uvažovaná bezpečnostní opatření používají a náklady tak lze spatřovat zejména v jejich sladění s technologiemi, které budou používat dohledová pracoviště.“ Zpět.

  5. viz podkapitola Historie konzultací Zpět.

  6. V Záměru se vylučuje odpovědnost následovně: „NBÚ stanoví prováděcím předpisem minimální bezpečnostní opatření, které by jednotlivé subjekty podléhající regulaci měly dodržovat. Přes takto uloženou povinnost však může dojít ke vzniku škody. V rámci odpovědnosti za škodu bude postupováno standardní cestou, tedy, že tyto subjekty v případě nedodržení předepsaných bezpečnostních opatření budou odpovídat podle obecné odpovědnosti stanovené v občanském zákoníku. V případě, že dojde ke vzniku škody, přestože subjekty podléhající regulaci dodržely stanovenou povinnost aplikovat bezpečnostní opatření, nebudou standardně za takto vzniklou škodu odpovídat v případě prokázání skutečnosti, že vynaložily veškeré úsilí, které bylo možno po nich požadovat, aby vzniku škody zabránily.“ Zpět.

  7. Zde se Záměr odvolává na lidská práva: „Zákon naopak ve své osobní působnosti nedopadá přímo na uživatele služeb a sítí elektronických komunikací, což je důležité z hlediska ochrany práva na informační sebeurčení, které je spojeno se základními lidskými právy na majetek a svobodu projevu.“ Zpět.

  8. Vzhledem k rychlým změnám v oblasti informačních a komunikačních technologií návrh věcného záměru zákona o kybernetické bezpečnosti předpokládá, že technologické způsoby ochrany budou aktuálně definovány NBÚ formou vyhlášek, které budou obsahovat generická doporučení ve vhodné minimalistické formě; vyhlášky nebudou odkazovat na konkrétní produkty a výrobce, ale na metody a postupy. V zákoně o kybernetické bezpečnosti budou uvedeny obecné podmínky pro tvorbu vyhlášek, které budou upravovat bezpečnostní opatření, resp. technologie, jejich možná periodicita a případné sankce za nedodržování povinností. S ohledem na skutečnost, že tyto vyhlášky by mohly obsahovat z technologického hlediska významné informace, což by napomohlo případným útočníkům při vytváření účinných agentových celků, nebude možné upravovat citlivé podrobnosti. Zpět.

  9. viz podkapitola Vymezení pojmů Zpět.

  10. Objasnění termínů služby a sítě elektronických komunikací podává Zákon o elektronických komunikacích. Zpět.

Nahoru

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

František Bártík

Soustředím se na problémy, které vyžadují kreativní přístup anebo využití teoretických znalostí. Orientuji se na svobodná řešení a baví mě učit se nové věci. Neváhejte a oslovte mě s Vaším zajímavým pracovním zadáním.


  • Distribuce: debian a odvozená distra
  • Grafické prostředí: GNOME

| blog