Národní strategie kybernetické bezpečnosti předpokládá větší osvětu
Vláda minulý týden schválila novou strategii kybernetické bezpečnosti. Zabývá se i osvětou, kterou by chtěla prosadit i do vzdělávacích programů na základních a středních školách.
Minulý týden přinesl hned několik významných událostí z oblasti kybernetické bezpečnost, a to jak zda v ČR, tak i v zahraničí. Například hned v pondělí (16.2.2014) naše vláda schválila novou Národní strategii kybernetické bezpečnosti, navazující na již účinný zákon č. 181/2014 Sb. o kybernetické bezpečnosti a nahrazující předchozí strategii z roku 2012.
Dne 16.2.2015 vláda České republiky schválila Národní strategii kybernetické bezpečnosti pro příštích pět let. http://t.co/GiuZpA0A5P
— GovCERT.CZ (@GOVCERT_CZ) February 17, 2015
To na Slovensku, kde obdobný zákon o kybernetické bezpečnosti ještě nemají, zveřejnili teprve návrh své Koncepcie kybernetickej bezpečnosti Slovenskej republiky.
Následně, ve středu a ve čtvrtek, se v Praze konaly hned dvě konference z oblasti bezpečnosti: jednu pořádala společnost AEC, druhou IDG spolu s Cisco. Bylo to jen pár dnů poté, co se v USA konal velký Cyber Security Summit, za poněkud demonstrativní neúčasti představitelů některých největších jmen, jako je Google, Facebook, Yahoo a Microsoft.
To vše za „běžného“ dění v oblasti bezpečnosti, kdy se jedna za druhou valí zprávy o takovém či onakém útoku, zneužití, podvodu, krádeži, či kdovíjaké další špatnosti. Ať už to je třeba informace o zabudovaném adwaru od Lenova, o „vysátí“ celé jedné miliardy z bank, o další vlně stále přesněji cíleného phishingu, či o nejnovějších a zvláště zavrženíhodných kybernetických útocích na zdravotně postižené.
Blog #CZ_NIC: Kybernetické útoky proti zdravotně postiženým: http://t.co/ZioQpZmICz. #kyberbezpecnost #zdravotne #postizeni
— CZ.NIC (@CZ_NIC) February 17, 2015
Kam jen to ten on-line svět spěje?
Za sebe musím říci, že po absolvování jedné z konferencí z minulého týdne mi opravdu nebylo dobře na duši. Z toho, jak se ten kdysi báječný, slušný a vstřícný on-line svět změnil na kolbiště nekalých živlů, kde si všichni musí dávat setsakramentský pozor na každý svůj krok. Protože nejrůznější nástrahy na něj číhají doslova na každém rohu. Navíc se tyto nástrahy rychle a systematicky zdokonalují, a také personalizují. Takže je vlastně jen otázkou času, kdy už nebude stačit zdravý rozum, obezřetné chování a běžná míra paranoie – protože ony nástrahy budou tak dokonalé, že bez opravdu hlubokých znalostí a zkušeností již nepůjdou rozpoznat.
Už i odborníci na kybernetickou bezpečnost dnes říkají, že došlo ke změně paradigmatu. Že s hrozbami a útoky na síťovou infrastrukturu se již nedá bojovat „na hranicích“ a snažit se je zastavit tam - protože díky stále větší personalizaci („šití na míru“) se nedají ani rozpoznat. Proto je třeba počítat s tím, že systémy již jsou napadeny, a snažit se alespoň nějak detekovat nekalé aktivity a minimalizovat jejich dopady.
Ostatně, konstatuje to i firma Cisco, ve své tiskové zprávě z konference Cyber Security 2015:
Malware se mění tak rychle, že systém, který se dokáže bránit jen známým hrozbám, je útočníkům v podstatě vystaven na milost a nemilost. Obrana […] musí fungovat před útokem, v jeho průběhu, ale i po něm.
Dnes již není otázkou, jestli malware do sítě pronikne, ale kdy se to stane. Jakmile už útok vypukne, mají bezpečnostní specialisté jen omezené šance adekvátně reagovat. Například u rozsáhlejší sítě musejí až na několika stovkách zařízení s několika tisíci rozhraní změnit konfiguraci tak, aby dokázali napadenou část sítě oddělit a tím zabránit rozsáhlejším škodám. „Něco takového ale zabere spoustu času,“ říká Ivo Němeček, generální ředitel Cisco ČR a dodává: „Může se tak docela dobře stát, že tou dobou už nebude co chránit a s trochou nadsázky řečeno, kolem bude jen dým a spálená země.“
Jenže: když s tím mají plné ruce práce odborníci na bezpečnost, co si má počít „běžný Franta uživatel“? On není a nemůže být odborníkem na bezpečnost – a přitom je stále intenzivněji vystavován široké škále různých ataků, včetně těch, které jsou založeny primárně na metodách sociálního inženýrství.
Kdyby tak šlo vše řešit podobně, jak to měl kdysi udělat sir Winston Churchill, coby vášnivý kuřák – když na záplavu článků o škodlivosti kouření reagoval tím, že je přestal číst. Jenže před nástrahami on-line světa opravdu nejde strkat hlavu do písku a řešit je ignorováním.
Zbývá jen opravdu intenzivní osvěta, vnímání celé problematiky a důsledné dodržování konkrétních pravidel. Protože jinak by časem nejspíše došlo na vynucenou evakuaci celého on-line světa, který by se stal jinak neobyvatelným.
Kdo se má starat o osvětu?
Kdo by se ale měl zabývat onou tolik potřebnou osvětou kolem bezpečnosti v on-line světě, ať už jí říkáme kybernetická bezpečnost či jinak?
Svou významnou roli zde určitě mají firmy, které působí v oblasti (kybernetické) bezpečnosti, a také ji plní. Pochopitelně v kontextu svých komerčních zájmů, a tedy se zaměřením na to, aby si někdo jejich produkty a služby kupoval a platil za ně. Osobně ale očekávám, že celkový vývoj přinutí i tyto firmy, aby ještě více investovaly do všeobecné (a masové) osvěty vůči nejširší populaci, bez ohledu na své bezprostřední komerční zájmy.
A co stát? Ten, který své občany (ale i firmy) stále více doslova „nahání“ do on-line světa a vyžaduje po nich, aby co nejvíce úkonů a aktivit vykonávali elektronickou cestou, on-line způsobem (po Internetu). Ten stát, který dosud nejeví výraznější snahu odstraňovat nejasnosti a vady ve způsobu fungování svých on-line služeb (jako jsou třeba datové schránky). Ten stát, který se příliš nehlásí ke své účasti na zvyšování digitální gramotnosti nejširších vrstev svého obyvatelstva.
Naštěstí v oblasti kybernetické bezpečnosti je situace přeci jen lepší. Pokud se totiž podíváme do nově přijaté Národní strategie kybernetické bezpečnosti, pak zde oblast osvěty najdeme. V rámci „vizí“ je to sice až poslední bod, ale buďme rádi i za něj:
Česká republika bude podporovat rozvoj kultury informační společnosti pomocí osvěty svých občanů i subjektů soukromého sektoru. Těm zajistí svobodný přístup ke službám informační společnosti, respektive k informacím pro zodpovědné chování a používání informačních technologií. Své občany bude chránit před škodlivými dopady, jež mohou kybernetické útoky způsobovat, a které by mohly mít negativní vliv na kvalitu jejich života či důvěru ve stát.
Z obsahu strategie je patrné i to, že její autoři si uvědomují závislost široké populace na dostupnosti a fungování on-line světa, a hodlají něco dělat i pro vzdělávání a osvětu:
Vzhledem ke značné závislosti společnosti na informačních a komunikačních technologiích a neustálým změnám povahy současných kybernetických hrozeb a rizik závisí kybernetická bezpečnost České republiky nejen na neustálém budování robustnější, odolnější informační infrastruktury, ale i na společnosti jako celku.
Proto Česká republika podporuje a navyšuje investice do výzkumu a vývoje v oblasti kybernetické bezpečnosti (a to i do vývoje a výroby vlastních národních technologií v oblasti kybernetické bezpečnosti), stejně jako do vzdělávání a osvěty koncových uživatelů, tedy obyvatel České republiky.
Pokud jde o konkrétní výzvy, i zde přichází na přetřes nízká úroveň digitální gramotnosti obyvatel a potřeba vzdělávání. Škoda jen, že jde o předposlední bod z výčtu celkem 19 výzev:
18: Nízká digitální gramotnost koncových uživatelů
Velké části koncových uživatelů nejen v rámci veřejné správy, ale i z řad veřejnosti chybí základní povědomí o běžných metodách počítačových útoků (zejména phishing, falešné e-shopy apod.), jejichž obětí se ročně stávají tisíce občanů České republiky.
Poslední výzvou pak je nedostatek odborníků na oblast bezpečnosti:
19. Nedostatek odborníků na kybernetickou bezpečnost a nutnost revize stávajících studijních programů ve školství
Český model vzdělávání a výchovy v oblasti kybernetické bezpečnosti neodpovídá v současné podobě aktuálním požadavkům a trendům. Z tohoto důvodu pak nedostatečně vzdělává a vychovává na základním a středním stupni žáky a také v nedostatečné míře nabízí vysokoškolské programy, které by vytvářely odborníky na kybernetickou bezpečnost. Poptávka po těchto odbornících je přitom vysoká.
Konečně pokud jde o konkrétní cíle a způsob jejich dosažení, pak zde je oblast osvěty a vzdělávání uváděna na šestém z osmi míst. A z popisu vyplývá, že autoři chtějí šířit „masovou“ osvětu, mířící na celou společnost, spíše nepřímo, skrze podporu různých iniciativ a kampaní, a také pořádáním konferencí pro veřejnost. Přímo vzdělávat a školit chtějí alespoň ty zaměstnance veřejné správy, kteří budou celou problematikou nejvíce dotčeni.
Je to logické, protože úkolem strážců kybernetické bezpečnosti není suplovat celý školský systém. Ale měli by mu pomáhat alespoň metodicky, k čemuž se také hlásí – k potřebě modernizace vzdělávacích programů na základních a středních školách, směrem k zahrnutí základů kybernetické bezpečnosti. Podle mne by si to ale zasloužily i (všechny) studijní programy vysokých škol.
Zde, v souvislosti s vysokými školami, přitom strategie hovoří jen o potřebě otevírání nových studijních programů, které by vychovávaly odborníky na kybernetickou bezpečnost.
Pokud jde o celkové hodnocení nové Národní strategie kybernetické bezpečnosti (která nahrazuje tu dosavadní), dovolím si na ni mít poněkud odlišný názor než autor následujícího tweetu:
Dokument Narodni strategie kyberneticke bezpecnosti celkem pobavil. Krome prazdnych tlachu jeden novy obrat "exfiltrace informaci" (~kradez)
— Ares (@ares_cz) February 20, 2015
Takovéto strategické dokumenty již ze své podstaty mají být obecné a vyjadřovat určité širší záměry a priority. Jejich konkrétní rozpracování pak přísluší dalším, navazujícím dokumentům – což v daném případě bude Akční plán, který by mělo NBÚ předložit vládě ke schválení někdy ve druhém letošním čtvrtletí. Podobně, jako měla svůj Akční plán i předchozí Strategie z roku 2012.
Osobně na nové Národní strategii naopak oceňuji to, že je psána spíše stručně až heslovitě. Bez obvyklé úřednické omáčky, ve které musíte mnohdy lovit nějaký skutečně relevantní obsah.
Jak je to s určováním významných informačních systémů a prvků kritické informační infrastruktury
Na závěr ještě několik dalších informací, které se také týkají kybernetické bezpečnosti. Zazněly na tiskovce, konané u příležitosti konference Cyber Security 2015, a týkají se aplikace nového zákona č. 181/2014 Sb. o kybernetické bezpečnosti. Konkrétně toho, jak je to s určováním významných informačních systémů a prvků kritické informační infrastruktury, kterých se týkají konkrétní dopady nového zákona.
U tzv. významných informačních systémů (VIS) platí, že takovýmto systémem může být pouze systém ve veřejné správě (jehož správcem je orgán veřejné moci). Nemůže jít o informační systém v privátní sféře, ale ani o systém provozovaný obcí. Dnes přitom platí vyhláška č. 317/2014 Sb., která významné informační systémy vymezuje, a v příloze obsahuje i konkrétní seznam takovýchto systémů.
Tento seznam by momentálně měl být finální, ale nikoli potenciálně neměnný. V tom smyslu, že v rámci veřejné správy mohou průběžně vznikat nové systémy, které splní kritéria, kladená na významné informační systémy (přičemž příslušné posouzení je na správci nového systému, viz §3 odst. 3 vyhlášky). Ale stejně tak mohou již existující systémy, zařazené mezi významné, i zanikat.
To u informačních systémů a komunikačních systémů, zařazovaných do tzv. kritické informační infrastruktury (KII), se již může jednat o systémy z privátní sféry. Konkrétní podmínky pro zařazení jsou trochu složitější, a před časem jsem jim zde na Lupě věnoval samostatný článek. Sám NBÚ, resp. NCKB, přitom nedávno vydal pomůcku, detailně popisující podmínky a proces zařazení do kritické informační infrastruktury (a obdobnou pomůcku pro významné informační systémy).
Na tiskové konferenci pak zástupce Národního centra kybernetické bezpečnosti (NCKB, spadající pod NBÚ) opakovaně zdůrazňoval, že k zařazení do kritické informační infrastruktury dochází až poté, co proběhne a je dokončen tzv. určovací proces. Což je jakýsi dialog mezi NBÚ a zřizovatelem (správcem) příslušného systému, formou vzájemných schůzek, při kterém si obě strany vzájemně vyjasňují své pozice a spějí ke konsensu nad tím, že příslušný systém skutečně patří do kritické informační infrastruktury:
… není zde nic takového, jako že my někde od stolu rozhodneme, že ten a ten systém by se nám líbil, vydáme nějaký papír, a oni se to dozvědí možná až z médií, že je někdo určil. Tak to nefunguje, musí proběhnout několik schůzek s námi a musí dojít k určité shodě, kdy obě strany usoudí, že toto je součástí KKI. Takže není tady nic direktivního …..
Takovýto určovací proces by měl být zahajován z iniciativy NBÚ, který kontaktuje příslušné správce. V současné době prý NBÚ takto jedná (provádí určovací proces) se správci systémů z veřejné správy – a na systémy z privátní sféry prý teprve dojde řada. Takže prý není nutné, aby jejich správci volali na NBÚ a vyptávali se, zda na ně nebylo zapomenuto. Navíc roční lhůta, kterou mají na splnění povinností ze zákona, pro ně stejně začne platit až od okamžiku dokončení určovacího procesu (viz § 30 odst. 1 písmena b) a c) zákona).