Tento článek shromažďuje nejdůležitější informace o kybernetické bezpečnosti v českém a evropském prostředí. Dozvíte se z něj mimo jiné, co je kybernetická bezpečnost, jaké jsou rozdíly mezi informační bezpečností, jaké jsou požadavky legislativy, kdo má jaké povinnosti a s jakými typy kybernetických útoků se můžete v dnešní době setkat.
Co je kybernetická bezpečnost?
Kybernetická bezpečnost (angl. Cyber Security) je soubor technologií, procesů a postupů navržených k ochraně internetových systémů, sítí, zařízení, programů a dat před digitálním útokem, poškozením, odcizením nebo neoprávněným přístupem. Kyberútoky jsou obvykle cílené na přístup k citlivým informacím, jejich změnu nebo zničení či vymáhání peněz od uživatelů.
Cílem kybernetické bezpečnosti je implementace efektivních opatření k ochraně počítačů a počítačových sítí před neoprávněným přístupem nebo útokem. Aby se vytvořila účinná ochrana před kyberútoky, je nutné vzájemné propojení lidí, procesů a technologií. Kybernetická bezpečnost zahrnuje celou řadu preventivních opatření, jako např.:
- vzdělávání zaměstnanců (školení kybernetické bezpečnosti),
- softwarová ochrana sítí, cloudů, aplikací, dat a informací,
- zabezpečení databáze a infrastruktury,
- zabezpečení mobilních zařízení (telefony, tablety),
- fyzická bezpečnost informací,
- provozní zabezpečení,
- zálohování dat,
- obnova dat po útoku.
Rozdíl mezi kybernetickou a informační bezpečností
Kybernetická bezpečnost je často zaměňována s informační bezpečností, i když tyto dva termíny spolu úzce souvisejí. Každý z nich však řeší různé druhy zabezpečení a je důležité, aby všechny organizace a firmy, které investují do bezpečnostních strategií, porozuměly rozdílům těchto dvou problematik.
- Kybernetická bezpečnost se zaměřuje na ochranu počítačových systémů před neoprávněným přístupem nebo jiným poškozením. Vztahuje se tedy výhradně na ochranu dat, která mají svůj původ v digitální podobě.
- Informační bezpečnost je o něco širší kategorie, která se snaží chránit veškerá informační aktiva, ať už v tištěné nebo digitální podobě. Lze ji chápat také jako prevenci neoprávněného přístupu nebo změn během ukládání dat či jejich přenosu z jednoho počítače na druhý. Zabývá se však také ochranou fyzických dat a informací.
Legislativa týkající se kyberbezpečnosti
Základní legislativní rámec týkající se kybernetické bezpečnosti v českém právním řádu představuje zejména:
- Zákon č. 181/2014 Sb. – Zákon o kybernetické bezpečnosti, který řeší práva a povinnosti osob, ale také pravomoc a činnost orgánů veřejné moci – úřadů (např. NBÚ nebo NÚKIB) ve věcech týkajících se kybernetické bezpečnosti. Zákon:
- vymezuje pojmy týkající se kyberbezpečnosti,
- stanovuje bezpečnostní opatření,
- popisuje rozdíly mezi kybernetickou událostí a incidentem,
- určuje povinnost evidence hrozeb, reaktivních a ochranných opatření,
- popisuje činnost a výkon státní správy,
- řeší povinnost kontrol, nápravných opatření a přestupků.
- Vyhláška č. 82/2018 Sb. – Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat.Tzv. Vyhláška o kybernetické bezpečnosti:
- vymezuje pojmy a zpracovává Směrnici EU 2016/1148,
- stanovuje bezpečnostní, technická a organizační opatření,
- ukládá povinnosti z hlediska bezpečnostní politiky a dokumentace,
- řeší kybernetické bezpečnostní incidenty a reaktivní opatření.
- Vyhláška č. 317/2014 Sb. – Vyhláška o významných informačních systémech a jejich určujících kritériích.
- Nařízení vlády č. 432/2010 Sb. – Nařízení vlády o kritériích pro určení prvku kritické infrastruktury.
- Vyhláška č. 437/2017 Sb. – Vyhláška o kritériích pro určení provozovatele základní služby.
- Vyhláška č. 316/2021 Sb. – Vyhláška o některých požadavcích pro zápis do katalogu cloud computingu.
- Vyhláška č. 315/2021 Sb. – Vyhláška o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci.
Legislativu v oblasti kybernetické bezpečnosti na evropské úrovni řeší:
- Směrnice Evropského parlamentu a Rady (EU) 2016/1148, která řeší opatření k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii. Směrnice NIS:
- stanovuje subjekty, kterých se týkají povinnosti kybernetické bezpečnosti,
- řeší národní rámce pro bezpečnost sítí a informačních systémů,
- informuje o zřízení skupiny pro spolupráci a stanovuje její úkoly,
- ukládá bezpečnostní požadavky a hlášení incidentů.
- Prováděcí nařízení komise (EU) 2018/151, kterým se stanoví pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2016/1148, pokud jde o bližší upřesnění prvků, které musí poskytovatelé digitálních služeb zohledňovat při řízení bezpečnostních rizik, jimiž jsou vystaveny sítě a informační systémy, a parametrů pro posuzování toho, zda je dopad incidentu významný.
Povinnosti v oblasti kybernetické bezpečnosti
Povinností mají vybrané subjekty celou řadu. Níže jsou uvedeny jen ty nejdůležitější. Doporučujeme kybernetickou bezpečnost řešit i v případě, že vaše firma nemá zákonnou povinnost, a to minimálně v rozsahu školení zaměstnanců. Důvodem je fakt, že případný kybernetický útok může mít na organizaci devastující dopady (ztráta citlivých nebo dokonce tajných údajů, vydírání, zastavení činnosti kvůli nefunkčnosti systémů apod.).
Jaké subjekty mají povinnosti v oblasti kyberbezpečnosti?
Povinnosti v oblasti kybernetické bezpečnosti se podle § 3 zákona č. 181/2014 Sb. týkají orgánů a osob z těchto pěti skupin:
- poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací,
- orgán nebo osoba zajišťující významnou síť,
- správce a provozovatel informačního systému kritické informační infrastruktury,
- správce a provozovatel komunikačního systému kritické informační infrastruktury,
- správce a provozovatel významného informačního systému,
- správce a provozovatel informačního systému základní služby,
- provozovatel základní služby,
- poskytovatel digitální služby.
Jaké povinnosti plynou ze zákona o kyberbezpečnosti?
Povinnosti, které jsou určeny povinným subjektům, jsou detailně popsány ve schématu NÚKIB (Schéma – Povinnosti orgánů a osob podle zákona č. 181/2014 Sb.).
Základní povinnosti, které se týkají subjektů kritické informační infrastruktury, významných informačních systémů a informačních systémů základní služby, zahrnují:
- registrace subjektu, který má povinnosti v oblasti kybernetické bezpečnosti – nahlášení kontaktních údajů na NÚKIB podle § 16,
- zavedení bezpečnostních opatření podle § 4,
- hlášení kybernetického incidentu podle § 8,
- provádět bezpečnostní opatření podle § 11.
Kybernetický zákon uvádí další povinnosti, které se však vztahují pouze na konkrétní specifické situace.
Kdo je kontrolním orgánem kybernetické bezpečnosti?
Kontrolu v oblasti kyberbezpečnosti má na starost Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Jeho povinností je zjišťovat, zda povinné orgány a osoby podle § 3 zákona č. 181/2014 Sb. plní povinnosti, které jsou stanoveny zákonem a dodržují prováděcí právní předpisy související s touto problematikou.
Pokud má NÚKIB důvodné podezření, že povinný subjekt neplní své povinnosti, provede u něj patřičnou kontrolu, která musí být v souladu s kontrolním řádem. Kontrolu provádí přímo zaměstnanci tohoto úřadu.
Kontrolním orgánem Národního úřadu pro kybernetickou a informační bezpečnost je Poslanecká sněmovna, která pro tyto účely zřídila zvláštní kontrolní orgán. Ten musí mít minimálně sedm členů
Jaká jsou nápravná opatření v případě zjištěných nedostatků?
V případě, že NÚKIB při kontrole zjistí nedostatky, uloží kontrolovanému subjektu lhůtu na odstranění, a případně určí i způsob nápravy. Je-li povinný subjekt bezprostředně ohrožen kybernetickým incidentem (útokem), jehož povaha může mít poškozující či zničující následky, může kontrolní orgán zakázat kontrolovanému používání tohoto systému anebo jeho části, a to až do doby, než bude nedostatek odstraněn.
Jaké jsou pokuty za přestupky?
Za přestupek může úřad uložit pokuty ve výši 10.000 Kč, 1.000.000 Kč nebo 5.000.000 Kč podle toho, o jaký přestupek se jedná. Přestupky jsou uvedeny v § 25 zákona č. 181/2014 Sb. o kybernetické bezpečnosti. Jejich rozsah je celkem široký, proto doporučujeme povinným subjektům tuto problematiku řádně nastudovat.
Pro více informací o kybernetické bezpečnosti můžete využít podpůrné materiály, které vydal Národní úřad pro kybernetickou a informační bezpečnost.
legislativa s.r.o. – váš partner v oblasti kybernetické a informační bezpečnosti (bezpečnostní hrozby a řízení rizik, GDPR, konzultace a poradenství, školení a personální certifikace, certifikace kybernetické bezpečnosti a IT služeb).
Typy kybernetických útoků
Udržet krok s novými technologiemi, bezpečnostními trendy a informacemi o hrozbách, je vzhledem k neustále vyvíjejícímu se oboru velmi náročný úkol. Útoky jsou stále častější, sofistikovanější a často se mění jejich strategie. Proto je nutné zavést do organizace kybernetickou bezpečnostní strategii a provádět pravidelné kontroly, aktualizace a opatření proti těmto útokům. Mezi typy kybernetických hrozeb patří např.:
Phishing
Phishing je postup odesílání podvodných e -mailů, které se podobají e -mailům z důvěryhodných zdrojů. Cílem je ukrást citlivá data, jako jsou čísla kreditních karet a přihlašovací údaje. Je to nejběžnější typ kybernetického útoku. Můžete se chránit pomocí vzdělávání nebo technologického řešení, které filtruje škodlivé e -maily.
Spear phishing
Spear phishing je sofistikovanější forma phishingového útoku, ve kterém se kyberzločinci zaměřují pouze na privilegované uživatele, jako jsou správci systému, vedoucí pracovníci, ale také organizace či firmy.
DDoS útok
DDos (Distributed Denial of Service) je útok, ve kterém více systémů narušuje provoz cíleného systému, jako je server, web nebo jiný síťový prostředek. Zaplavením cíle zprávami, požadavky na připojení nebo pakety mohou útočníci zpomalit systém nebo zajistit jeho zhroucení a zabránit tak legitimnímu provozu.
Ransomware
Ransomware je druh škodlivého softwaru, který je navržen tak, aby po uživatelých vymáhal peníze blokováním přístupu k souborům nebo počítačovému systému, dokud nebude zaplaceno výkupné. Zaplacení výkupného nezaručuje, že soubory nebo systém budou obnoveny.
Malware
Malware je forma softwaru, jehož cílem je získat neoprávněný přístup k datům či informacím nebo způsobit poškození počítače. Může zahrnovat např. počítačový vir, červa, trojského koně nebo spyware (špionážní software).
APT útok
APT útok (Advanced Persistent Threats) je pokročilá trvalá hrozba, která nastane, když nebezpečný aktér získá neoprávněný přístup k systému nebo síti a zůstane delší dobu neviditelný – nezjistitelný.
MitM útok
Útok typu MitM (Man in the Middle) je odposlouchávaný útok, který zahrnuje zachycování a předávání zpráv mezi dvěma stranami, které si myslí, že spolu komunikují. K útokům MitM často dochází, když návštěvník používá nezabezpečenou veřejnou síť Wi-Fi. Útočníci se vetřou mezi návštěvníka a síť a poté pomocí malwaru instalují software s cílem zneužít data.
DNS útok
Útok DNS je kyberútok, při kterém kyberzločinci zneužívají zranitelnosti systému DNS (Domain Name System). Útočníci využívají zranitelnosti DNS k přesměrování návštěvníků webových stránek na škodlivé stránky (DNS Hijacking) a k odfiltrování dat z ohrožených systémů (DNS Tunneling).
Emotet
Emotet je pokročilý, modulární bankovní trojský kůň, který primárně funguje jako stahovač nebo dropper jiných bankovních trojských koní. Emotet nadále patří mezi nejnákladnější a nejničivější malware. Šíří se zejména prostřednictvím e-mailových příloh s makrem, které obsahují odkazy na škodlivé webové stránky.
SQL Injection
SQL Injection je útok na programovací jazyk SQL (Structured Query Language) a dochází k němu, když se kyberzločinci pokusí získat přístup k databázi nahráním škodlivých skriptů SQL databáze. Pokud se stane útok úspěšným, může jeho aktér zobrazit, změnit nebo odstranit data uložená v databázi SQL.
Zero day útok
Zero day exploit, nebo také Zero day attack (útok nultého dne) nastane, když je oznámena chyba zabezpečení softwaru nebo hardwaru (např. aktualizace) a kyberzločinci tuto chybu zneužijí před implementací opravy nebo řešení. Bezpečnostní díra je známá pouze hackerům, což znamená, že vývojáři softwaru nemají ani ponětí o její existenci a nemají opravu, která by ji opravila.
Sociální inženýrství
Sociální inženýrství je útok, který spoléhá na lidskou interakci, aby přiměl uživatele porušit bezpečnostní postupy a získat citlivé informace, které jsou obvykle chráněny. Je to taktika, pomocí které vás protivníci přimějí odhalit citlivé informace. Mohou požadovat peněžní platbu nebo získat přístup k vašim důvěrným údajům. Sociální inženýrství lze kombinovat s jakoukoli z výše uvedených hrozeb, aby se zvýšila pravděpodobnost klikání na odkazy, stahování malwaru nebo důvěřování škodlivému zdroji.
Dobrý den,
jsem zaměstnancem IT firmy, poslední dobou se množí případy, kdy do el. pošty je doručen podvodný email, s cílem zjistit prihl. údaje. Tento email však rozesílá záměrně zaměstnavatel, odd. kyber bezpečnosti a ohrazuje se tím, že chce vést statistiky kolik zaměstnanců se nechá „nachytat“ a v jakém stavu je IT gramotnost zaměstnanců a jejich znalosti o nástrahách kyber útoků. Spoustu kolegů toto testování uráží, už jen z důvodu, že to vypadá jakoby zaměstnavatel počítal s tím, že jeho zaměstnanci jsou v IT zaostalý atd. A pokud se nadřízenému kyberbezpecnosti vysloví nesohlas s jeho konáním (testováním), dostane se pouze odpovědi “ Každý je nahraditelný“. Má vůbec zamestnavatel na toto testování právo?