TOP

KYBEZ

Bezpečnostní seminář se věnoval právním i technickým aspektům ochrany dat

Ve čtvrtek 26. 11. 2015 se v prostorách Masarykovy univerzity Brně konal seminář s názvem Kybernetická bezpečnost v praxi, pořádaný společnostmi GORDIC a Axenta. Více než třicítka účastníků semináře se mohla seznámit s některými aspekty příslušné legislativy, možnostmi současných technologií pro systematickou detekci kybernetických útoků i některými ryze praktickými zkušenostmi ze života firem a úřadů.   

 

Data v popelnici v bezpečí nejsou

Že o svá data je třeba se starat po celou dobu životního cyklu hardwaru a softwaru zmínil v úvodní přednášce Petr Drahovzal z Gordicu. „Neodbornou likvidací nebo dokonce darováním vysloužilého hardwaru si zahráváme s rizikem, že naše důležitá data padnou do nepovolaných rukou,“ varoval Drahovzal a připomněl, že prvním krokem úspěšné obrany je vždy rozhodnutí CO chránit. Často se v této souvislosti cituje pruský král Fridrich II: „Kdo chce bránit vše, neubrání nic!“

 

Významných informačních systémů ještě přibude

Václav Slupka z Ústavu práva a technologií Masarykovy univerzity se na problematiku kybernetické bezpečnosti podíval jak z pohledu správně-právního, tak i trestně-právního. Česká republika je podle něho z hlediska právní úpravy této oblasti na světové špičce – existuje zde komplexní úprava v zákoně, trestně-právní předpisy jsou v souladu s Úmluvou Rady Evropy č. 185 o kybernetické kriminalitě, atd.

Slupka shrnul povinnosti správců kritické infrastruktury a významných informačních systémů. Patří mezi ně poskytování kontaktních údajů, detekování a hlášení incidentů, přijímání bezpečnostních opatření, vysílání varování, vyhlašování stavu kybernetického nebezpečí, atd. V současnosti probíhají jednání mezi NBÚ a některými subjekty o tom, zda jejich informační systém bude považován za významný či jejich infrastruktura za infrastrukturu kritickou. Počet organizací, na které dopadnou nové povinnosti, se tak zřejmě rozšíří.

 

bezpečnost a zákon o veřejných zakázkách: lze očekávat střety

Robert Kotzian z kanceláře Strelička a Partner shrnul, jak se zákon o kybernetické bezpečnosti a související právní normy dotknou dodavatelských vztahů. Dotčení zadavatelé totiž musí pro jejich řízení zavést vnitřní pravidla. „Požadavky vyplývající z bezpečnostních opatření mohou být podle zákona o zadávání veřejných zakázek diskriminační. Takové požadavky musí být zohledněny, avšak pouze v míře nezbytné pro splnění povinností dle zákona o kybernetické bezpečnosti,“ upozornil Kotzian. Zákonnost omezení hospodářské soutěže totiž bude kontrolovat ÚOHS.

 

Logy z GINISu míří do SIEM

Jan Kokeš z Gordicu pak představil některé z komponent rozšiřující bezpečnost stávajících instalací systému GINIS. Do GINISu byla přidána funkcionalita pro generování a správu transakčního protokolu, ve kterém se zaznamenávají logy dokumentující činnost kritické informační infrastruktury nebo významného informačního systému. „Vědět, které stavy jsou nestandardní až ohrožující, to je podstatné know-how naší firmy jako dodavatele ekonomiky a spisové služby organizace,“ připomněl Jan Kokeš.

 

SOC pomůže s polovinou požadavků zákona

Log data (zápis o proběhlém ději, změně stavu, atd.) systému GINIS, lze průběžně odesílat do externího SIEM systému. To je analytický nástroj vytvářející závěry o bezpečnostní situaci v reálném čase. SIEM analyzuje získané logy o následcích s informacemi o možných příčinách. Společně s vhodně nastavenými procesy zákazníka SIEM tvoří tzv. SOC (Security Operation Centrum). „Kybernetický zákon definuje zhruba 85 požadavků, SOC je schopno z nich splnit zhruba 50%,“ řekl ředitel firmy AXENTA Lukáš Přibyl.

 

V kybernetickém polygonu se simulují scénáře útoků

Odpolední část semináře obohatila návštěva kybernetického polygonu Masarykovy univerzity, který představuje unikátní prostor pro výzkum a vývoj metod na ochranu proti útokům na kritické infrastruktury. Ve virtualizovaném prostředí je možné provádět komplexní scénáře útoků vedených proti kritickým infrastrukturám a analyzovat jejich průběh. Polygon slouží pro aplikovaný výzkum a ověřování nových bezpečnostních metod, nástrojů a školení členů bezpečnostních týmů.