Newsletter

Dostávejte to nejzajímavější ze světa veřejné správy i v našich newsletterech.

* Kliknutím na „Odebírat“ souhlasíte s našimi zásadami o Ochraně osobních údajů a zasíláním pravidelných newsletterů. Odhlásit se můžete kdykoliv.

Dotace a FinanceITKyberbezpečnostPrávo

Jak na kyberbezpečnost – doporučení a praktické tipy pro samosprávy

Čestný prezident Českého institutu manažerů informační bezpečnosti a v oboru zkušený manažer Aleš Špidla se v rozhovoru zamýšlí nad možnostmi zvyšování kyberbezpečnosti.

Jak vážně samosprávy kyberbezpečnost vnímají a řeší?

Samospráva je v této otázce v nelehké situaci. Věcný záměr zákona o kybernetické bezpečnosti je znám od roku 2012, zákon 181/2014 Sb. O kybernetické bezpečnosti je účinný od 1. 1. 2015, stejně tak jako vyhláška o kybernetické bezpečnosti. A bohužel s povinností vůči tomuto zákony byly vyloučeny obce. Až po kybernetických útocích na samosprávu se začalo něco dít. Všimněte si, že každý průšvih má urychlující účinek na snahu o hledání řešení. Jenže je tady velké ale. Nejsou odborníci na kybernetickou bezpečnost. Zaspalo naše školství, a když už odborníci jsou, tak je samospráva není schopna zaplatit.

V rámci mé účasti na projektu Efektivní správa obcí jsem navštívil obce všech typů, abych zjistil, jak na tom s kybernetickou a informační bezpečností jsou a jak k ní přistupují. Je zřejmé, že jinak je tomu v obci I. typu, kde mají dva počítače, a jinak je tomu na Magistrátu statutárního města. Kromě ÚMČ Praha 5 nikde nemají specialistu na kybernetickou bezpečnost. Z každého typu obcí jsem navštívil pouze jednu a nelze z tohoto vyvodit statistické závěry. Moje zjištění potvrdila ale poznatky z mé dlouholeté praxe. Kybernetická bezpečnost je závislá na osvícenosti a intuici správců IT technologií (ajťáků) a na tom, jak ochotni jsou se řešením této problematiky nechat zdržovat. Už tak toho mají dost. O řízené dokumentaci jsem si mohl tak akorát nechat zdát. Toto není kritika vedení obcí, nýbrž těch, kteří v roce 2014 prolobovali, aby obce byly vyloučeny z povinností kybernetickou a informační bezpečnost systematicky řešit. Výstupem zmíněného projektu budou stručné metodiky se vzory alespoň té základní dokumentace. Metodiky budou svým rozsahem odstupňované podle typu obce.

 

Dokážeme se kybernetickým útokům bránit?

Bránit ano, zabránit bohužel ne. Bránit znamená znesnadnit útočníkům možnosti průniku do systémů, ztížit jim krádeže nebo zničení dat apod. Stoprocentní bezpečnost neexistuje, což není argument abychom to vzdávali. Jde vždy o to přijatými opatřeními minimalizovat škody. A kombinovat technická opatření s organizačními a dbát na trvalou osvětu a vzdělávání uživatelů interních i externích.

Externí uživatelé představují vysoké riziko, jsou to často dodavatelé, kteří mají vysoká oprávnění, tzn. že mají nad informačními systémy úřadu vysokou moc, o které samotný úřad nemá ani tušení. Sami dodavatelé bývají někdy špatně zabezpečeni a jsou tou „dírou“ do systémů úřadu. K přijetí správných opatření vede cesta přes analýzu rizik. Bez ní, byť v malých obcích třeba na úrovni mentálního cvičení s tužkou a papírem, to prostě nejde.

Aleš Špidla

Čestný prezident Českého institutu manažerů informační bezpečnosti. Manažer kybernetické bezpečnost v Centru kardiovaskulární a transplantační chirurgie a kybernetické bezpečnosti ÚMČ Praha 5. Spolupracuje na řadě projektů, je garantem a pedagogem MBA studijního programu Management a kybernetická bezpečnost a spolugarantem a pedagogem LL.M programu Ochrana informací na VŠ CEVRO Institut. Přednáší na konferencích, vystupuje v médiích, publikuje články.

Co byste ještě konkrétně doporučil radnicím a jejich organizacím, aby kyberobrana byla účinná?

Prvním krokem je uvědomění si toho, že se radnice tento problém týká, a uvědomit si rizika dopadů kybernetických útoků, jako jsou ztráty finanční, důvěryhodnosti úřadů a jejich vedení, rizika neplnění zákonných povinností, sankcí i trestní odpovědnosti za vzniklé škody.

Přiměřená opatření pro zvýšení kybernetické bezpečnosti obce jsou technická, tedy implementace bezpečnostních technologií, a také organizační, promítnutí zásad kybernetické a informační bezpečnosti do všech procesů, do organizační struktury apod. Důležité je zvyšování povědomí o kybernetické a informační bezpečnosti všech. Můžete použít špičkové technologie, ale pokud nemáte obezřetné uživatele, jsou opatření téměř k ničemu. Technologie se dají nakonfigurovat tak, že poskytují uživatelům minimální prostor k tomu, aby udělali chybu. Na to je ale zapotřebí odborníků, ale těch je katastrofální nedostatek.

Je nutné si udělat pořádek, mám-li to zjednodušit, aniž bych citoval vyhlášku o kybernetické bezpečnosti. Jde o to, znát odpovědi na níže uvedené základní otázky:

  • Chceme vůbec kybernetickou a informační bezpečnost řešit?
  • Víme, kde co máme? Tedy katalog informačních aktiv – služeb, serverů, systémů, aplikací atd.
  • Víme, co s čím komunikuje? (datové toky)
  • Víme, jak jsme na tom se zabezpečením? (Jaká opatření máme zavedená, jak jsou účinná.)
  • Známe rizika? (Víme, co hrozí, když se něco stane, co nebude fungovat, jaké služby nebudeme schopni poskytovat, jaké sankce za to hrozí.)
  • Víme, kdo co spravuje? (Máme přehled o správcích technologií a systémů, a to i externích.)
  • Máme kontaktní matici? (Víme, komu zavolat, když se něco stane.)
  • Víme jak z průšvihu? (Máme plán, jak problém zvládnout.)
  • Víme, kde máme a jak máme použít zálohy?
  • Víme, v jakém pořadí máme co spouštět po výpadku informační systémy?
  • Víme, kdy a s jakým výsledkem jsme si obraz o stavu kontrolovali či testovali?
  • Víme, jak jsme na zjištění reagovali? (Přijali jsme nápravná opatření.)
  • Máme všechno zdokumentováno?
  • Jsou naši uživatelé dostatečně obezřetní? (Prokazatelně a pravidelně jsou proškolení.)
  • Co děláme pro to, aby byli obezřetní (plán)?
  • Máme pod kontrolou dodavatele?

Toto je úplný základ, který se dá rozpracovat do dalších kapitol, neboť odpověď na každou výše uvedenou otázku generuje další otázky. Minimálně otázku: A jak to uděláme?

V září jste v rámci Českého institutu manažerů informační bezpečnosti ČIMIB pořádali online konferenci k nové směrnici Evropské unie NIS 2, vstupující v účinnost v polovině roku 2024. Co přináší a co můžeme čekat od EU dále?

Evropská směrnice bezpečnosti sítí a informací (NIS) ve své novele (NIS2) přináší celou řadu změn, je to velmi rozsáhlý dokument, a tak zmíním to nejpodstatnější. Významně rozšiřuje počet odvětví, která budou spadat pod regulaci legislativou kybernetické a informační bezpečnosti. V současné době pod tuto regulaci spadá cca 360 subjektů a nově jich bude 6 000. To vytvoří na trhu práce obrovský přesah poptávky nad nabídkou odborníků pro kybernetickou bezpečnost. Mezi nově zařazená odvětví bude spadat i veřejná správa.

Dá se předpokládat, že se povinnosti systematicky řešit kybernetickou a informační bezpečnost budou od konce roku 2024 týkat všech obcí s rozšířenou působností. Ale není na co čekat, vždyť máme pud sebezáchovy.

Další významný moment je odklon bezhlavého nakupování bezpečnostních technologií k pečlivé analýze rizik. Jen ta ukáže spolehlivě efektivní cestu k zajištění kybernetické a informační bezpečnosti a ukáže, kolik to bude stát. Nakupování bezpečnostních technologií jen proto, že se o nich mluví a mají to ti odvedle, musí skončit. Stálo to spoustu vyhozených peněz. Jenže je tu další ale, odborníků na řízení rizik je ještě méně. NIS2 se také významně zaměřuje na bezpečnost dodavatelského řetězce (výše zmínění dodavatelé), protože tam vidí velký bezpečnostní problém.

Jaký vidíte aktuální vývoj v oblasti kyberbezpečnosti?

V tomto oboru není těžké být věštcem nebo prognostikem. Stačí říct a bude hůř a ono se to vyplní. Situace v kyberprostoru se výrazně zhoršuje, ať už jde o aktivity kybergangsterů, kterým jde o peníze, roční výnosy z kyberzločinu dávno překročily výnosy z obchodu z drogami cca 3 biliony dolarů, nebo jde o aktivity států v souvislosti se zvyšujícím se napětím ve světě. Podívejte se na kybernetické útoky mezi Ruskem a Ukrajinou, kdy v kyberprostoru v podstatě válčí všichni se všemi ať už ve smyslu kybernetické špionáže, nebo přímých útoků. Kyberprostor není místem absolutní svobody a absolutního dobra. To je nutné si uvědomit a pohybovat se na informační dálnici obezřetně. Jde o to na ní nezahubit sebe, toho druhého a nebýt druhý zahubený. K tomuto vede jediná cesta, situaci si uvědomovat a něco s tím dělat.

Úřad městské části Praha 5 čelil v březnu útoku, při němž se všechny systémy musely vypnout. Nicméně výpadek byl minimální, a to i díky tomu, že existoval plán obnovy, a hlavně k dispozici byly kvalitní zálohy. Praxe v té nejsurovější podobě ukázala, jak je příprava důležitá. Je dobré se poučit z vlastních zkušeností, ale je ještě lepší poučit se z těch cizích, méně to bolí.

 

Milan Mostýn
Rozhovor vyšel v listopadovém vydání měsíčníku PRO města a obce

 

Zásady pro zvýšení kyberbezpečnosti

Každý zaměstnanec v samosprávě by měl znát, a to prokazatelně, alespoň tyto zásady, které jsou součástí výše zmíněných připravovaných metodik:

  1. Používejte služební zařízení (zejména PC a Notebook) pouze k plnění svých služebních nebo pracovních povinností, v souladu s účelem, ke kterému je zařízení určeno.
  2. Neprovádějte žádné neoprávněné zásahy do operačního systému nebo software (např. instalaci vlastního SW, změna konfigurace).
  3. U informací rozlišujte, komu (osoby nebo skupiny osob) jsou určeny nebo mohou být poskytovány s ohledem na jejich citlivost.
  4. Pečlivě si chraňte svá zařízení před odcizením či zneužitím a přístupové údaje před jejich odhalením a zneužitím. Nepoužívejte služební emailovou adresu ani služební heslo pro externí webové služby. Přístupové údaje (zejména heslo nebo PIN) si nikam nepoznamenávejte (např. na papír, do diáře či telefonu). Nevyužívejte stejné přístupové údaje k více účtům, aplikacím či zařízením. Je nutné používat bezpečná hesla a pravidelně je měnit. Dodržovat zásadu, že hesla a PINy se nikomu nesdělují.
  5. Neotvírejte neznámé emaily a zejména jejich přílohy, neotevírejte neznámé, neočekávané soubory. Soubory, které mají příponu typu exe, com, scr, pif a další, mohou vést k ohrožení informačních systémů obce. Pokud se ve složce, kam se stahují soubory z webu, objeví neznámý soubor, neotevírejte ho. Může jít o infikovaný soubor, který byl bez vašeho vědomí stažen z nedůvěryhodné stránky. Oznamte tuto skutečnost prostřednictvím služby ServiceDesk.
  6. Nenastavujte ani nepožadujte nastavení automatického přesměrování služebních e-mailů do soukromých e-mailových schránek.
  7. Dodržujte zásadu uzamčené obrazovky stisknutím kláves Win+L či využití zkratky Ctrl+Alt+Del) a prázdného stolu (neponechávejte dokumenty bez dozoru volně na stole). Zamykejte zařízení (např. PC a notebook) pokud s ním nepracujete, a to zejména při odchodu z kanceláře.
  8. Dbejte na zásady bezpečnosti při fyzickém přístupu do kanceláří a vyhrazených prostor. Neponechávejte v kanceláři jiné osoby bez dozoru a při odchodu kancelář vždy zamykejte. Dbejte na to, aby do vyhrazených prostor nevstupovaly neoprávněné osoby.
  9. Používejte přidělená výměnná média (např. flash disk, CD, DVD) vždy zodpovědně a bezpečně. Nenechávejte je bez dozoru, a pokud je to možné, tak je šifrujte. V případě nalezení neznámého výměnného média jej nepřipojujte ke svému zařízení bez předchozího prověření antivirem. Oznamte tuto skutečnost příslušným odborníkům.
  10. Nesdílejte služební informace (dokumenty) cestou veřejných úložišť (Dropbox, Úschovna, Úložna apod.).
  11. Nenavštěvujte nedůvěryhodné webové stránky a neklikejte na odkazy na neznámé či podezřelé webové stránky. Mezi typické znaky nedůvěryhodné webové stránky patří velké množství reklamy, vyskakovací okna, stránky měnící se bez akce uživatele, zahájení stahování bez vědomí uživatele apod. Preferujte webové stránky, které důvěrně znáte a jsou zabezpečeny protokolem https:// na začátku adresy.
  12. V případě zjištění nestandardního chování aplikace, bezpečnostní události (zejména neoprávněného přístupu) nebo výskytu neznámých a nesrozumitelných jevů, nepodléhejte panice, ponechte vše, jak je, počítač nevypínejte a nahlaste tuto skutečnost příslušným odborníkům.
  13. Neotevírejte neznámé soubory. Pokud se ve složce, kam se stahují soubory z webu, objeví neznámý soubor, neotevírejte ho. Může jít o infikovaný soubor, který byl bez vašeho vědomí stažen z nedůvěryhodné stránky. Oznamte tuto skutečnost vašemu přímému představenému a prostřednictvím služby ServiceDesk.
  14. Neprovádějte žádné neoprávněné zásahy do operačního systému nebo software (např. instalaci vlastního SW).
  15. Nepožadujte po příslušných odbornících, aby vám zajistili výjimky z uvedených opatření. Jedna „vynucená“ výjimka může být právě tou útočníkem zneužitou „dírou“ do systému.
Nejčtenější kategorie
Chytré město
434
Energetika
491
IT
354
Dotace a Finance
1342
Odpady
246

Nezmeškejte žádné informace!

Přihlaste se k odběru newsletteru a buďte stále v obraze