ČR: Martin Půlpán: "Zákon o kybernetickej bezpečnosti bol nutnosťou, ku kybernetickým útokom bude dochádzať stále častejšie."

Vláda České republiky schválila Návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Dosud bylo téma kyberkriminality v České republice tabuizované. „Postižené instituce o útocích raději mlčí ze strachu, aby nepřišly o důvěru klientů," uvádí Martin Půlpán, ředitel společnosti net.pointers, a dodává, že i to by měl nový zákon změnit, i když možné sankce jsou spíše symbolické.

„Mezi českými společnostmi a institucemi panuje trend nevěnovat dostatečnou pozornost kybernetickým hrozbám, přestože do budoucna se jejich riziko bude bez maximálních ochranných opatření zvyšovat," uvádí Půlpán. Jeho slova potvrzují v českém prostředí i nedávné útoky na Komerční banku, která dostala za únik dat pokutu v hodnotě 1,8 milionu Kč, celosvětově pak například úniky klientských dat společnosti Snapchat.

„Naše společnost již v minulosti zdůrazňovala důležitost vytvoření alespoň strategie kybernetické bezpečnosti, vytvoření účinného systému ochrany dat je nyní již naprostou nutností," upozorňuje Půlpán s tím, že pokud zákon schválí Parlament ČR, měl by být podle všech předpokladů platný od začátku roku 2015.

Zákon by se měl povinně týkat poskytovatelů služeb elektronických komunikací a sítí elektronických komunikací či jiných sítí, správců informačního nebo komunikačního systému kritické informační infrastruktury a správců významných informačních systémů. „Provozovatelé dalších služeb, například běžných e-shopů, nebudou tedy povinni se novým zákonem řídit. Přesto však kybernetičtí odborníci důrazně doporučují, aby i tito provozovatelé zvýšili odolnost svých systémů před útoky z vnějšího prostředí, nutné je ale chránit svá citlivá data i před útoky zevnitř," varuje Půlpán.

Zákon obecně nařizuje jak organizační, tak technická opatření. Podle Půlpána do těch technických spadají primárně nástroje pro ověřování identity uživatelů, pro ochranu před škodlivým kódem, prevence proti DDOS útokům nebo pro detekci nebezpečného chování v sítí včetně zaznamenávání jednotlivých událostí, což jsou dle něj klíčové prvky předcházení úniku dat a dalších ataků.

Půlpán zároveň upozorňuje i na důležitost hlášení bezpečnostních incidentů: „Klíčové je i to, že všechny zmiňované osoby budou muset povinně hlásit kybernetické bezpečnostní incidenty provozovateli národního CERT (Computer Emergency Response Team), a to okamžitě po jejich zjištění. Nebude tak docházet k mystifikaci klientů a bude se předcházet dalším podobným napadením či závažnějším škodám, které by například na základě úniku osobních dat mohly vzniknout."

Možností, jak se bránit proti útokům, je podle Půlpána několik: „V prvé řadě je důležité správně definovat bezpečnostní kritéria s cílem minimalizovat rizika úniku citlivých informací a dostatečně chránit kritické systémy státu a dalších komerčních organizací. Bezpečnostní systémy musí zajistit komplexní bezpečnost, kombinovat v sobě sofistikované bezpečnostní technologie, analytické nástroje a to včetně metodologie řešení incidentů, organizační a personální pravidla práce s citlivými informacemi i fyzickou ochranu objektů."