Do středy 26. července zbývá čas uplatnit připomínky k nové legislativě týkající se kybernetické bezpečnosti. Jak jsme na Lupě informovali, NÚKIB napřed na jaře prodloužil veřejné konzultace, a teď i meziresortní připomínkové řízení. A ani s delším časem to nevypadá, že by zákon měl na růžích ustláno. Do eKlepu postupně přibývají odmítavá hodnocení normy prakticky ze všech stran, často se zásadními připomínkami. Až budou kompletní, slíbili jsme, že se jim v našem seriálu Regulace podle NIS2 budeme věnovat podrobněji, a tento slib splníme.
V minulém dílu jsme začali představovat prováděcí vyhlášku upravující povinnosti v přísnějším režimu (essential). Víme už, že jednou ze stěžejních povinností velkého podniku, který se do tohoto režimu dostane, je provést inventuru aktiv, vyhodnotit, co je třeba chránit a přesně před čím, a pamatovat bude potřeba i na to, jaké dopady při narušení bezpečnosti hrozí. Jinými slovy, co všechno je v sázce, když se nám ochrana určité služby, aplikace, nástroje, systému nebo jiné IT entity tak docela nepodaří.
Dnes na to navážeme druhou z důležitých povinností, která s tou první jde ruku v ruce. V návaznosti na analýzu aktiv budeme řídit kybernetická rizika, která těmto aktivům hrozí. Kdo odhaduje, že nás čeká další papírování a tvorba rozsáhlých dokumentů, hádá velmi správně. Ano, splnění i této druhé stěžejní povinnosti vyžaduje vypracovat celou řadu písemností, jako jsou metodiky, vnitřní postupy, prohlášení o aplikovatelnosti, plán zvládání rizik a další ve vyhlášce explicitně zmíněné materiály.
Rizika hodnotíme podle vzorce
První, co regulovaný subjekt v rámci této povinnosti čeká, je stanovit si metodiku pro identifikaci a hodnocení rizik, a spolu s tím i kritéria pro akceptovatelnost těchto rizik. Dopomoci k tomu může příloha č. 2 vyhlášky, která zavádí pro vyčíslení hodnoty rizika matematickou funkci, do níž se jako proměnné dosazují hodnota aktiva, hrozba a zranitelnost. NÚKIB navrhuje tyto „veličiny“ mezi sebou násobit, tedy míra rizika by se pak rovnala hodnotě aktiva × hrozba × zranitelnost. Není ale bezpodmínečně nutné volit tento vzorec, dokonce je možné sáhnout ke zcela odlišnému způsobu řízení rizik za předpokladu, že bude „zajištěna stejná nebo vyšší úroveň procesu řízení rizik“.
Povinný subjekt tak má celkem svobodně na vybranou, jestli zvolí postup podle vyhlášky a bude propočítávat popsaným způsobem, co jemu spravovaným aktivům hrozí, nebo si zvolí svůj vlastní, neotřelý způsob, avšak s tím rizikem, že pokud to NÚKIB vyhodnotí jako způsob zajišťující nižší úroveň řízení rizik, přispěje regulovaný subjekt za svou neotřelost pokutou do státního rozpočtu.
Používají se obodované stupnice
Lze tedy jen doporučit se postupu v příloze č. 2 vyhlášky přidržet. Pro hodnocení hrozeb pak tato příloha používá čtyři stupně: od nízké, kdy hrozba buď neexistuje, nebo je málo pravděpodobná, což v očích NÚKIBu znamená, že k ní dochází ne častěji než jednou za pět let, dále střední, kdy takovou nepříznivou událost můžeme čekat v rozmezí od jednoho roku do pěti let, vysokou, kterou úřad označuje už s pravidelností jednoho měsíce, a kritickou, k níž pravděpodobně dojde častěji než jednou za měsíc.
Taktéž pro zranitelnosti existuje škála se stejně pojmenovanými stupni: nízká znamená, že jsou zavedena bezpečnostní opatření schopná včas detekovat možné zranitelnosti nebo pokusy o jejich zneužití, střední stupeň předpokládá, že zatím nejsou známy žádné úspěšné pokusy o překonání bezpečnostních opatření, ale schopnost detekovat zranitelnosti nebo tyto případné pokusy je omezena, u vysokého stupně pak už k narušení bezpečnostních opatření úspěšně došlo, bezpečnostní opatření se ukazují jako ne zcela účinná, až po kritickou úroveň, kdy buď bezpečnostní opatření nejsou žádná, nebo selhávají, neprobíhá kontrola a útočníci si v podstatě mohou dělat se svými cíli, co chtějí.
Některá rizika nevadí
Pronásobí-li se mezi sebou tyto stupně, máme riziko vyhodnoceno. NÚKIB v zásadě dělí rizika na akceptovatelná a nepřípustná. Liší se pak dále tím, jak náročné je dostat míru rizika pod únosnou mez, resp. jak naléhavě to bude potřeba učinit. V prvních dvou stupních, nízkém a středním, jsou rizika akceptovatelná. V nízkém bez dalšího, ve středním za předpokladu, že riziko může být sníženo méně náročnými bezpečnostními opatřeními, nebo naopak jsou tato bezpečnostní opatření významně náročná, a proto se tak úplně nevyplatí je přijímat. U vysokého stupně jde o riziko dlouhodobě nepřípustné. Krátkodobě si ho tedy podnik může dovolit tolerovat, současně ale musí bezodkladně spustit systematické kroky k jeho odstranění. A konečně kritický stupeň žádnou prodlevu nepřipouští. U něj musejí být kroky k eliminaci rizika zahájeny bezodkladně.
Ukažme si to na příkladu z oblasti dopravy, která měla s kyberbezpečností značné problémy. Vzpomeňme přitom třeba loňský ransomwarový útok na Ředitelství silnic a dálnic (ŘSD), ze kterého se tato organizace vzpamatovávala měsíce. Její ředitel Radek Mátl dokonce veřejně přiznal, že uvažoval i o zaplacení výkupného. Už jen to je známkou toho, že otázka kyberbezpečnosti v tomto státním podniku rozhodně nepatřila mezi priority, chyběly zde postupy, jak si se zašifrovanými disky rychle poradit, jak systémy obnovit, i jak o problému správně informovat navenek. Zkrátka všechno špatně.
Co čeká provozovatele systému dálničních známek
ŘSD naštěstí neprovozuje mýtný systém ani systém elektronické dálniční známky. Ten má na starosti jiný státní podnik Cendis a ŘSD se pouze podílí na jeho rozvoji. Tato organizace jednoznačně spadne do režimu essential s vyššími povinnostmi. Bude jí tedy podle směrnice NIS2 čekat jak analýza aktiv, tak řízení rizik.
Pokud to hodně zjednodušíme, dálniční známky mají svůj frontend, e-shop, kde si lze známku koupit a uživatelsky kontrolovat podle registrační značky její platnost, a backend, sloužící pro represivní složky státu (policii a celní správu) ke kontrole a dopadení provinilců, kteří se po dálnicích prohánějí bez provedené platby. Lze samozřejmě namítnout, že i kontrolní systém je frontend určený uzavřené a specifické skupině uživatelů, když skutečný backend bude mít na starosti zpracování dat z mýtných bran a kamerových záznamů, bude párovat došlé platby a řešit uživatelská oprávnění. Ale pro náš účel to ponechme takto hrubě zjednodušené.
Jaká jsou rizika? Frontend nebude dostupný, web bude přetížený nebo spadlý a dálniční známku tímto způsobem nebude možné vůbec pořídit (anebo její platnost ověřit). Přesně to při spuštění systému v prosinci 2020 nastalo. Tehdejší multiministr Karel Havlíček (ANO), který vedle průmyslu měl na starosti i dopravu, když kvůli předchozím problémům s cenou elektronických dálničních známek vypoklonkoval svého předchůdce Vladimíra Kremlíka, okamžitě přišel s nesmysly, že ministerstvo systém nechtělo hned přetížit, spouštělo ho podle vývoje situace apod. Nicméně ve výsledku byla celá služba nedostupná. Jediné štěstí tenkrát bylo, že výpadek přišel ještě v době, kdy platily klasické papírové kupony. Stát se to až v lednu 2021, stát by přišel o nemalé příjmy, protože faktická nemožnost si zakoupit elektronickou známku by řidiče vyviňovala ze sankce za jízdu bez ní.
Jak je na tom backend, zda oba ozbrojené sbory pohybující se po dálnicích měly data nepřetržitě k dispozici, informace nemáme, budeme tedy předpokládat, že ano. Vzhledem k tomu, že k výpadku skutečně došlo, a to před méně než pěti lety, měl by Cendis tuto hrozbu zařadit do středního stupně (jako málo pravděpodobnou až pravděpodobnou). Zpětně už víme, že k výpadku došlo kvůli zahlcení vlivem načítání dynamických dat uvnitř systému. Na to se přišlo až během spuštění do ostrého provozu. Tedy pravděpodobně nějaká bezpečnostní opatření zavedena byla, ale jejich účinnost byla bratru sporná. Zranitelnost tedy hodnotíme stupněm vysoká, když jsou známé dílčí úspěšné pokusy o překonání nastavených opatření.
Hodnota aktiva potom beze sporu bude ta nejvyšší možná. Vždyť zasahuje do samotné podstaty poskytované služby a její nedostupnost, jak jsme si řekli, vede ke ztrátám příjmů do státního rozpočtu.
Kouzla s parametry žebříčků
Pak už bude záležet jen na tom, jakou škálu a citlivost si sama organizace nastaví. Bystrý čtenář jistě odhalí, že právě touto parametrizací půjde ovlivnit, do jaké kategorie rizika nakonec spadnou a jaká opatření v návaznosti na to bude nutné přijmout. Přidržíme-li se pro zjednodušení čtyřbodové stupnice a NÚKIBem ve vyhlášce doporučovaného postupu, popsané riziko bude mít hodnotu 24 (4 body jako hodnota aktiva × 2 body jako hodnota hrozby × 3 body jako hodnota zranitelnosti). Bude pak záležet na tom, jak si organizace nastaví bodový žebříček, kde ještě pro ní jde o riziko akceptovatelné, anebo už nikoliv, a v tom případě s jakou naléhavostí.
Toto hodnocení rizik musejí regulované subjekty provádět v pravidelných intervalech, a to alespoň jednou ročně a při všech významných změnách. Z každého hodnocení rizik pak podniky zpracují zprávu. Na jejím základě pak prohlášení o aplikovatelnosti, kde bude zachycený přehled všech opatření požadovaných vyhláškou, a to s rozdělením na ta, která nebyla aplikována a se zdůvodněním proč, včetně přehledu přijatých náhradních opatření, a na ta, která aplikována byla.
Celé to završí plán zvládání rizik, který je uceleným dokumentem popisujícím bezpečnostní opatření, cíle jednotlivých opatření pro zvládnutí jednotlivých rizik, kdo za jejich zavedení zodpovídá a co bude k jejich implementaci potřeba vynaložit, tedy jaké lidské, finanční a technické zdroje budou potřeba.
Tímto dílem jsme uzavřeli řízení rizik a příští úterý se – už ne tak podrobně – podíváme na další povinnosti podniků v kategorii essential.
Chci odebírat newsletter
