Státní podnik LOM PRAHA se zabývá opravami a modernizací letecké techniky. Vzhledem k tomu, že pracuje s vojenským materiálem, je pro něj bezpečnost prvořadá. A to platí i pro informační a kybernetickou oblast. Podnik počítá s tím, že připravovaný zákon o kybernetické bezpečnosti přinese nové povinnosti. Jak se s nimi hodlají vypořádat? V rozhovoru o tom mluví zástupkyně bezpečnostního ředitele podniku Kateřina Vojtová.
Podle stávajícího zákona nespadáte pod regulaci kybernetické bezpečnosti. Podle nového vás čeká rovnou režim vyšších povinností. Začali jste už s přípravami?
Bude to pro nás novinka. Dopředu jsme si ale vyhledali dostupné informace, co nás čeká, a podle nich se na nové povinnosti připravujeme.
Jaké kroky už máte za sebou, co vás naopak ještě čeká?
V první fázi jsme prostudovali materiály v eKlepu a další informace ze stránek NÚKIB, abychom zjistili, co se vlastně chystá a do jaké míry by se to mohlo týkat i nás. Vyhodnotili jsme, že ano, že se nás nový zákon o kybernetické bezpečnosti bude týkat, a to hned v režimu vyšších povinností. A to nejenom kvůli velikosti podniku, ale zejména s ohledem na odvětví, ve kterém podnik působí.
Dále jsme provedli GAP analýzu, abychom zjistili, do jaké míry máme problematiku již podchycenou. Podnik je držitelem certifikace ISO 27001, a spoustu věcí tak již máme upravenu vnitřními směrnicemi. Analýza nám ukázala, že díky této certifikaci máme práci usnadněnou, a tak pro nás nová legislativa nebude až tak zásadní problém.
A co nás čeká? Ustanovení konkrétních osob, které budou zastávat jednotlivé bezpečnostní role. A zřejmě vytvoření nové interní směrnice, kde budou stanoveny povinnosti a odpovědnosti jednotlivých bezpečnostních rolí a další pravidla vyplývající z nové legislativy.
Jak se vám připravuje na něco, co zatím není uzákoněno a není jasná ani definitivní podoba, ani datum, kdy bude?
Upřímně, moc dobře ne. Informací je málo, často se mění a není úplně jasné se zorientovat, co platit bude a co ne. Ani kdy. Je to takové celé zmatené. Od NÚKIBu bych očekávala větší vlastní edukační činnost v podobě přehledných a aktualizovaných informací.
Na přednášky a semináře různých poradenských firem se zatím nemá cenu spoléhat, neboť žádné převratné informace či novinky stejně nesdělují. Samy musejí vycházet z úplně stejných informací, které jsme schopni si sami z dostupných zdrojů dohledat. Takže tato varianta nám připadá jako neekonomická. Ale mohu potvrdit, že firmy nabízející tyto různé semináře vyrostly jako houby po dešti.
Kolik lidí má u vás nyní kyberbezpečnost na starosti, počítáte kvůli novému zákonu s personálním posílením? Pokud ano, s náborem počkáte až na definitivní podobu zákona?
Ustanovení konkrétních osob do jednotlivých bezpečnostních rolí nás ještě čeká, ale již teď můžeme říci, že nebudeme muset personálně posilovat, neboť jsme schopni tyto bezpečnostní role obsadit vlastními zaměstnanci. Počítáme i se sloučením několika rolí.
V současné době má u nás kyberbezpečnost na starosti vícero lidí. Kyberbezpečnost, bezpečnost informačních nebo komunikačních systémů či kryptografickou ochranu musí část zaměstnanců řešit i bez nařízené regulace. Nejen proto, že jsme držiteli certifikace ISO, ale také máme utajované informační systémy, kde je sice trošku jiný režim a podléhá jinému zákonu, o to ale přísnější. Nově připravovanou legislativou se zatím zabývají v podniku pouze jednotky lidí.
Podnik zabývající se opravami a modernizacemi vojenské letecké techniky bude mít jistě celou řadu vnitřních směrnic upravujících otázky bezpečnosti. Je tomu tak i v oblasti kyberbezpečnosti?
Ano, v současné době máme několik směrnic a příkazů zabývajících se kyberbezpečností nebo řízením bezpečnosti informací jako takových. Počítáme ale s vytvořením úplně nové směrnice, která bude zaměřena pouze na nový kyberzákon a jemu odpovídající povinnosti. Bude jasně vymezovat, co má jaká bezpečnostní role za povinnosti a jaké nové povinnosti budou muset dodržovat zaměstnanci a vedení podniku.
S novým zákonem bude dále potřeba aktualizovat i stávající směrnice, protože nová pravidla se promítnou do mnoha oblastí v rámci podniku. Ta sice již nějak podchycena máme, ale nikoliv podle nových přísnějších pravidel.
Pro příklad mohu uvést třeba zpřísnění politiky hesel, přehodnocení důležitosti a kategorizaci informačních aktiv, dále vyhodnocování rizik a budeme muset aktualizovat i havarijní plán a plán kontinuity podnikání. S tím budou spojena nová školení zaměstnanců podle nových pravidel kyberbezpečnosti.
Získali jste certifikaci ISO 27001, takže jste se museli vypořádat s řadou otázek, které řeší i kybernetický zákon. Co bylo nejtěžší?
Vzhledem k tomu, jaké je poslání podniku, důraz na bezpečnost je u nás velmi vysoký. Spoustu věcí jsme měli podchycenu ještě před získáním certifikace. Náročnější byla možná jen administrativa s tím spojená a ochota zaměstnanců naučit se nová pravidla a respektovat je, protože lidský faktor je vždy tím největším rizikem.
Vnímáte to tak, že díky certifikaci máte usnadněnou přípravu na regulaci podle NIS2? V čem?
Rozhodně ano. To se ukazuje i při GAP analýze připravenosti podniku na nový zákon. Obecně lze říci, že díky certifikaci a dalším opatřením to pro nás nebude znamenat takovou zátěž, jako pokud bychom začínali od základu. Ale až podle finální verze zákona uvidíme, co všechno bude ještě nutné doplnit nebo zpřísnit.
Považujete připravovaný kyberzákon pro výrobní podniky za potřebný? Pomůže vám konkrétně v něčem?
Já osobně ho za potřebný považuji, neboť bezpečnost informací a kybernetická bezpečnost je důležitá a opatření z toho plynoucí významně snižují rizikové faktory. Někteří to mohou vnímat jako zátěž a bude pro ně třeba i finančně nákladné implementovat některá opatření, zvláště začínají-li od nuly, ale myslím, že v současné době je potřeba i digitální aktiva chránit proti zneužití, a tomu nový zákon napomůže. Pro nás konkrétně se nic zásadního nezmění, protože spoustu věcí děláme již nyní, a to nad rámec nezbytného, ale až praxe ukáže, jak nám to pomohlo.
Vidíte tam naopak něco, co vám zbytečně situaci zkomplikuje?
Uvidíme, co přinese praxe. Snad jen jediné, co si moc nedovedeme představit, je, pokud nebude stačit politika „opravdu silného hesla“ a bude vynucována vícefaktorová autentizace. Tato varianta by s sebou nesla zvýšené finanční náklady pro podnik, které zavedení takovéto technologie obnáší.
Dotkne se vás nějak mechanismus prověřování dodavatelského řetězce?
Jen v tom, že budeme zjišťovat, jestli dodavatelé, na které se nový zákon vztahuje, skutečně opatření daná zákonem dodržují. Protože již nyní si své dodavatele prověřujeme. Bude dobré vědět, že i náš dodavatel si svá informační aktiva chrání.
Jak se připravujete na reportování případných incidentů? Bude to u vás znamenat úpravu informačních systémů?
Z toho, co víme, můžeme říci, že jsme připraveni a úprava nebude potřeba. Zatím však není úplně jasné, jaké konkrétní informace a v jakém formátu po nás bude NÚKIB vyžadovat. Čili na konečné hodnocení je nutné si počkat.
Jste státní podnik, své výdaje musíte dopředu plánovat. Máte odhad, kolik vás bude příprava na nový kybernetický zákon stát?
Platí to samé, co pro předchozí otázku. Není jasná finální podoba zákona a prováděcích předpisů. Ale podle toho, co zatím víme, pro nás nový kybernetický zákon nebude představovat nutnost nějakých zásadních investic. A pokud se v tomto mýlíme, doufáme v dostatečně dlouhou legisvakanční lhůtu nového zákona, abychom případné nové nákupy technologií nebo speciálního softwaru mohli včas naplánovat.