foto: foto: Pixabay
Prověřování dodavatelů technologických prvků do části kritické infrastruktury a implementace evropské směrnice NIS2 přinese mnoho povinností i mnoha dalším společnostem, na které se doposud zákon o kyberbezpečnosti nevztahoval.
V červnu 2022 uložila Bezpečnostní rada státu Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) připravit návrh zákona, který by zavedl mechanismus prověřování dodavatelů technologických prvků do části strategické infrastruktury České republiky. Cílem zákona je eliminovat rizikové dodavateledo nejvýznamnější části kritické infrastruktury a významných informačních systémů, regulovaných zákonem o kybernetické bezpečnosti.
Návrh zákona předpokládá, že základem pro vyhodnocování rizik budou informace, poskytnuté o dodavatelích jednotlivými správci systémů. Ty se spojí s dalšími informacemi, které bude mít NÚKIB ze spolupráce s ministerstvy, zpravodajskými službami, dalšími státními orgány a zahraničními partnery. Z nich pak vyvodí případnou existenci a závažnost hrozby pro národní bezpečnost nebo veřejný pořádek,zejména s ohledem na možnou špionáž, narušení dostupnosti služeb apod.
Psali jsme
Po prvotních úvahách o tom, které dodavatele v jakém rozsahu prověřovat a na jakou infrastrukturu má omezení využití rizikových dodavatelů dopadnout,...
Návrh zákona nepředpokládá aktivní činnost prověřování všech dodavatelů, ale pouze těch, u kterých bude předpoklad výskytu bezpečnostního rizika v souvislosti s aktuální bezpečnostní situací. NÚKIB tvrdí, že připravovaná implementace evropské směrnice NIS2, která výrazně rozšiřuje počet společností spadajících pod zákon o kybernetické bezpečnosti, nijak nezmění rozsah prověřovaných dodavatelů.
Ambice zákona jsou velké a zajištění kyberbezpečnosti je důležitým úkolem nejen pro bezpečnostní složky státu. Existuje několik rizik, které však mohou úspěšnost tohoto významného a potřebného projektu ohrozit.
Implementace evropské směrnice NIS2 se bude týkat více jak 6000 dalších společností, které mají doposud jen velmi malou zkušenost s požadavky zákona o kybernetické bezpečnosti. Některých společností se to bude dotýkat proto, že jsou subdodavatelé společností, které patří do důležitější kategorie „Essential“ (podle směrnice NIS2 té významnější). A to i v odvětvích, kde se doposud striktní pravidla zákonem nevymáhala, například v odpadním průmyslu, vodárenství, potravinářství nebo chemickém průmyslu.
Psali jsme
Výroční zpráva Vojenského zpravodajství popisuje dobrou práci vojenských zpravodajců v roce 2021, zejména pak při definici nových vojenských hrozeb....
Na tyto společnosti dopadnou požadavky na zajištění bezpečnosti dodavatelských řetězců, zálohování, zotavení po případném incidentu, bezpečnosti v rámci pořízení, vývoje a údržby systémů apod. Všechny tyto zákonem stanovené úkoly se budou odvíjet od bezpečného dodavatele.
S tím souvisí další riziko. Teoreticky můžeme stanovit, který dodavatel je potencionálně rizikový, například vzhledem k zemi, odkud pochází. Jenže to vlastně zase až tak moc neznamená. Nedostatek čipů, způsobený kovidovou epidemií a incidentem v Suezském průplavu,způsobil velké problémy v ekonomikách na celém světě. A nejsou žádné poznatky o tom, že by se snad jednalo o úmyslně vyvolané problémy nebo test, co světové ekonomiky vydrží. Dodavatel může být v pořádku, subdodavatelé taky, a přesto jedna součástka, nebo dokonce jen materiál k její výrobě může být tím zásadním bezpečnostním rizikem. A například drahé kovy či další suroviny, nezbytné pro výrobu základních komponentů pro výpočetní techniku, pochází v mnoha případech z destinací, které jsou bezpečnostně nevyhovující.
Softwarové firmy jsou typickým příkladem home-officových, rozsáhlých společností se zaměstnanci rozprostřenými po celém světě. V případě kvalifikovaných protivníků, hlavně zpravodajských služeb cizí moci, se dá předpokládat, že již v tuto dobu provádí infiltraci těchto společností pro případné budoucí využití. Koneckonců případ Snowden, dnes ruský státní příslušník, je znám po celém světě.
Psali jsme
Útok čínské společnosti Huawei na šifrovanou komunikaci velitelství amerických jaderných sil ukazuje, že obranu musíme chápat komplexně. Bez zabezpečené...
Zajištění kyberbezpečnosti je skutečnou výzvou. V kyberbezpečnosti se prostřednictvím chystaného zákona zaměřujeme jen na určitou část tohoto prostoru. To je do budoucnosti neudržitelné. S rozvojem internetu věcí, chytrých měst, umělé inteligence, autonomních systémů apod. se totiž možnosti, jak ohrozit národní bezpečnost nebo vnitřní pořádek výrazně zvyšují. A proto bude nutné bezpečnost zajistit ve všech oblastech lidského života. S rozvojem informačních a komunikačních technologií se totiž kriminalita a obecně ohrožení přesunuje z reálného světa do kyberprostoru. To s sebou ponese další požadavky na kvalitu bezpečnostních složek.
NÚKIB se stává nedílnou součástí bezpečnostní komunity. Bude muset vytvořit silné analytické pracoviště a přimět zejména zpravodajské služby, aby mu pro jeho analýzy poskytly potřebné „surové“ informace. A to je bezpochyby další velká výzva. Možná jeden z prvních zásadních úkolů pro nově připravovaného poradce pro národní bezpečnost.
Autor: Martin Svoboda
Tagy