V minulém díle seriálu Regulace podle NIS2 jsme si představili kostru nových povinností, které se kvůli kybernetické bezpečnosti na podniky od příštího roku chystají. Zmínili jsme i návrh dvou prováděcích vyhlášek, které jsou podobně jako nový zákon o kybernetické bezpečnosti teprve v připomínkovém řízení.
Prodloužený čas na připomínkování
Je vhodné v této souvislosti zmínit, že Národní úřad pro kybernetickou a informační bezpečnosti (NÚKIB) prodloužil lhůtu pro uplatnění připomínek o pět pracovních dnů, tedy do středy 26. července. Výslovně však zdůrazňuje, že prodloužení lhůty se týká návrhů zákonů (o kybernetické bezpečnosti a změnového zákona), nikoliv vyhlášek, kde platí zřejmě původní termín 19. července. Přitom právě prováděcí vyhlášky mohou být oním příslovečným detailem nabízejícím ďáblu úkryt.
Pro nás bude nepochybně zajímavé sledovat, jak se na zcela novou vnitrostátní úpravu kyberbezpečnosti tváří připomínková místa, tedy vesměs státní organizace a svazy hájící zájmy průmyslu a podnikatelů. Proto těmto připomínkám, až budou kompletně zveřejněny, věnujeme samostatný díl.
Dnes nás ale čeká hlubší ponoření do té útlejší z dvojice vyhlášek, podíváme se na povinnosti ukládané v mírnějším režimu, tedy na to, jaká konkrétní bezpečnostní opatření musejí splnit subjekty v kategorii important.
Vyhláška nám už v úvodu rozděluje osoby zapojené do řešení kybernetické bezpečnosti podle míry jejich oprávnění. Na spodní úrovni máme uživatele, což může být jak fyzická, tak právnická osoba, nebo i orgán veřejné moci, který využívá aktiva. Nad ním je privilegovaný uživatel, u kterého se předpokládá, že jeho činnost může mít významný dopad na bezpečnost regulované služby. V zásadě půjde stále ještě o uživatele, ale s vyššími oprávněními. A úplně na vrcholu najdeme administrátora. To je vždy privilegovaný uživatel zajišťující správu, provoz, údržbu i bezpečnost technického aktiva.
Každého čeká určení odpovědné osoby a sepsání dokumentace
Vyhláška dále stanoví nepodkročitelné minimum, které musí splnit každá povinná osoba. A vedle toho, v souladu se zásadou přiměřenosti a zohlednění bezpečnostních potřeb organizace, vyjmenovává i další bezpečnostní opatření, která by měla být přinejmenším zvážena.
Každý subjekt, který spadne pod regulaci, bude muset mít jmenovánu osobu odpovědnou za kybernetickou bezpečnost. Podobně jako pověřenec v oblasti osobních údajů v případě GDPR i u NIS2 evropská regulace počítá s vyčleněným zaměstnancem odpovědným za řízení a rozvoj kyberbezpečnosti, dohled nad jejím stavem a komunikaci s vrcholným vedením. Tato osoba musí buď prokázat odbornou způsobilost, nebo absolvovat odpovídající školení.
Každý regulovaný subjekt pak má za povinnost vypracovat přehled bezpečnostních opatření s rozlišením na ta, která už byla zavedena, ta, která teprve budou zavedena, včetně termínu, kdy se tak stane, a na ta, kterou zavést neplánuje, včetně zdůvodnění proč. Alespoň jednou ročně je pak nutné tento přehled zaktualizovat a historii jednotlivých přehledů, s nimiž bylo prokazatelně seznámeno vrcholové vedení, uchovávat po dobu nejméně 4 let.
Dáváme dohromady bezpečnostní politiku
Papírování tím ale ani zdaleka nekončí, ba právě naopak. Povinné osoby musejí vytvořit a schválit bezpečnostní politiku a vést k ní příslušnou dokumentaci. Její osnovu upravuje příloha č. 2 vyhlášky. Jde o 13 odrážek rozdělených do dalších podkapitol. Organizace musejí upravit ty části, které pro ni jsou relevantní. Zmiňovali jsme nepodkročitelné minimum, do něhož spadá politika zajišťování minimální úrovně kyberbezpečnosti. V dokumentu bude třeba vytyčit rozsah a hranice řízení kybernetické bezpečnosti, stanovit pravidla a přípustné způsoby používání technických aktiv, definovat náležitosti smlouvy o úrovni služeb a způsobu a úrovni realizace bezpečnostních opatření a stanovit bezpečnostní požadavky pro případné akvizice, vývoj a údržbu.
Pro oblast lidských zdrojů je založena povinnost vytvořit pravidla rozvoje bezpečnostního povědomí a evidovat přehledy o školeních zaměstnanců. V nich musí být určeno, jak často se budou pravidelná školení opakovat. Dále v tomto materiálu musí být ukotvena pravidla v případě ukončení nebo změny pracovní pozice, tedy jak se mají svěřená aktiva v takovém případě vracet a odebírat k nim práva, jak se mění přístupová oprávnění v případě změny pracovní pozice a jaká míra spolupráce je přitom vyžadována od administrátora. Konečně dokument musí obsahovat i pravidla bezpečného chování uživatelů a vymezit pravidla pro tvorbu hesel.
Buď více faktorů, certifikát, nebo krkolomné heslo
U této povinnosti se zastavme. Řízení identit a jejich oprávnění totiž ve vyhlášce nespadá do kategorie nutného minima. Je tedy možné se od těchto pravidel odchýlit. Pokud je regulovaný subjekt přijme, to znamená nestanoví si svá pravidla odlišně, pak ho dříve nebo později čeká autentizační mechanismus na základě vícefaktorové autentizace s nejméně dvěma různými typy faktorů. To známe kupříkladu z internetového bankovnictví, kde vedle zadaného hesla byl donedávna požadován kód opsaný z SMS zprávy, dnes je to ve většině případů přihlášení do mobilní aplikace banky a udělení souhlasu k přihlášení.
Než firma zavede multifaktorovou autentizaci, má používat přihlašování s využitím kryptografických klíčů nebo certifikátů. Je zvláštní, že systematicky vyhláška tento způsob autentizace považuje za dočasný, ačkoliv v případě klíčů uložených na tokenu bez možnosti jej z něj exportovat představuje přinejmenším stejnou míru bezpečnosti jako 2FA. A pokud firma nepoužívá ani jedno z toho, tedy ani certifikáty, ani vícefaktorové ověřování, pak na její uživatele čeká heslové peklo.
Hesla totiž musejí mít alespoň 12 znaků pro uživatele, 17 pro administrátory a 22 pro účty technických aktiv. Toto heslo se musí měnit nejpozději po 18 měsících a znovu ho nelze zvolit při 12 po sobě jdoucích obměnách. Dále je povinností zamezit zadávání jednoduchých a často používaných hesel, hesel, kde se mnohonásobně opakují znaky, kde se používá přihlašovací jméno, e-mail, název systému a podobně.
Jakkoliv úsměvně mohou vypadat fotografie monitorů úředníků na různých pozicích oblepených hesly do systémů, při představě aplikace těchto pravidel pro tvorbu hesel v plné šíři je lehce iluzorní se domnívat, že si uživatelé svých 12 znaků pravidelně obměňovaných budou pokaždé pamatovat…
Posledním z povinně bez rozdílu zpracovávaných bezpečnostních pravidel je otázka bezpečnostních incidentů. Politiku detekce incidentů si organizace sama definuje, klasifikuje je podle vyhlášky, to znamená určí „únosnou míru újmy způsobené kyberincidentem představující úhrn nejvyšší škody a nemajetkové újmy vzniklý v jeho souvislosti, kdy ještě nejsou ohroženy život a zdraví osob nebo schopnost poskytovatele regulované služby dostát svým závazkům“.
Kritéria významnosti vlivu incidentů na organizaci si také firma stanoví sama. Musí přitom však zohlednit několik okolností. V prvé řadě musí být odstupňovány podle toho, jaký bude provozní dopad bezpečnostního incidentu na organizaci a na její schopnost poskytovat regulovanou službu. Do hodnocení vstupuje i množství zaměstnanců, jakož i uživatelů regulované služby a dalších osob, které kybernetický incident zasáhne. Zváženo musí být, za jak dlouho a s jakým úsilím se po takovém incidentu dá zasažená služba obnovit, jakož i to, o jak citlivá data se jedná a jakou škodu může třetím osobám jejich únik způsobit. A konečně poslední do úvahy vstupující okolností je, co bylo příčinou takového incidentu, zda lidská chyba, technická závada, či úmysl.
To jsou ta povinná opatření, která musejí firmy bez rozdílu splnit. Vedle toho jsou v § 7 až 10 a § 12 až 14 upravena další bezpečnostní opatření, která jsou na zvážení každého z regulovaných subjektů, zda se k této povinnosti zaváže, nebo nikoliv.
Nepovinná část dokumentace
Volitelnou bezpečnostní politikou je řízení kontinuity činností. V tom dokumentace pamatuje na to, že jednou může dojít k průšvihu. V této části jsou tedy rozpracovány postupy, v jakém pořadí a jakými postupy se co bude obnovovat a kdo za to bude odpovědný. To samé se týká pravidel pro spouštění nebo ukončení chodu systémů, restartů nebo obnovení po jejich selhání. A v neposlední řadě je zde pamatováno i na zálohování.
V rámci politiky řízení přístupu a detekce má být popsáno, jak se nakládá s privilegovanými oprávněními. Kdo na ně má nárok, za jakých podmínek a také jak jsou tato oprávnění pravidelně přezkoumávána. Jinými slovy je třeba evidovat uživatele v jednotlivých přístupových skupinách a pravidelně prověřovat, že mají přístup právě tam, kam pro svou práci potřebují, a nikam jinam.
Kapitola řízení identit a jejich oprávnění se pak věnuje již zmíněným heslům. Například se zde zavádí povinnost při obnově přístupu zajistit, že si dočasné heslo po jeho prvním použití uživatel změní na své vlastní, a pokud se tak nestane nejpozději do 3 dnů, pak toto dočasné heslo přestane platit.
Mezi nepovinné je zařazena i detekce a zaznamenávání kybernetických bezpečnostních událostí (neplést s kybernetickými bezpečnostními incidenty). To představuje kontrolu přenášených dat v rámci komunikační sítě, včetně blokování nežádoucí komunikace. Dále se počítá s během antivirového nástroje pro nepřetržitou a automatickou ochranu před škodlivým kódem na serverech i koncových stanicích. Nástroj by měl poskytovat údaje o bezpečnostních událostech, tedy zjednodušeně řečeno o pokusech o průnik, a včas rozeslat varování na patřičná místa.
Je-li to pro regulovaný subjekt relevantní, pravidla by dále měla obsahovat politiku bezpečnosti komunikační sítě, například jestli do ní bude umožněn vzdálený přístup zaměstnancům, dodavatelům nebo dalším osobám. Také by se měla zmiňovat o pravidlech pro pravidelné aktualizace, jak budou zabezpečeny zastaralé, ale stále funkční programy a systémy, které už nejsou podporovány, nebo pravidla pro skenování zranitelností a odhalování slabých míst systému.
Ve stejném materiálu by si firma měla evidovat svá technická aktiva. Popsat své systémy, jaké bezpečnostní opatření k jejich ochraně přijímá, jakým způsobem a v jakém pořadí je bude obnovovat, pokud dojde k nějaké havárii.
Pokud by firma vzala vyhláškou požadované okruhy opravdu poctivě, bude se jednat o materiál, který si svým rozsahem nijak nezadá s kvalifikačními pracemi vyšších stupňů na vysokých školách. Ne nadarmo NÚKIB odhaduje, že náklady na zavedení a následné provádění bezpečnostních opatření se vyšplhají na 800 tisíc až 1,5 milionu korun vůči jednomu zabezpečovanému systému.
V příštím díle se podíváme na povinnosti pro přísněji regulované subjekty, v kategorii essential.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU