Kompromitace přihlašovacích údajů byla loni nejčastější příčinou kybernetických útoků, které vedly ke krádežím dat, případně k infiltraci ransomwaru. Ukázala to analýza Active Adversary Report od bezpečnostního týmu Sophos X-Ops. Více než polovina (56 %) úspěšných útoků souvisela s kombinací loginu a hesla, které se ocitlo v nepřátelských rukou.
Že autentizační údaje, resp. pouhá kombinace jména a hesla, jsou slabým místem v řetězci zabezpečení, si uvědomuje i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který právě proto podle návrhu nového kyberzákona bude vyžadovat primárně vícefaktorovou autentizaci. A tam, kde její zavedení z nějakého důvodu není možné (nebo není možné hned), stanovuje prováděcí vyhláška kvalitativní parametry, jak mají hesla vypadat. To jsme už rozebírali v jednom z prvních dílů našeho seriálu Regulace podle NIS2.
Zrovna v této části vyhláška žádných změn nedoznala. Tedy platí minimum 12 znaků pro uživatele, 17 pro administrátory a 22 pro účty technických aktiv, hesla se musí nejpozději v 18měsíčních intervalech povinně měnit a nebude možné ve dvanácti změnách po sobě kterékoliv znovu zopakovat.
V minulém díle jsme si srovnali podoby návrhu zákona, jak šel do meziresortního připomínkového řízení, oproti té, která na konci ledna odešla do Legislativní rady vlády (LRV). Ve srovnávání budeme pokračovat, tentokrát ale s důrazem na prováděcí vyhlášky. Také ty se za těch několik měsíců proměnily spolu s tím, jak NÚKIB hledal kompromis ve vyjednávání s připomínkovými místy.
Mimochodem, na dnešek připadá Den bezpečnějšího internetu. Což může být dobrá příležitost zamyslet se nejen nad volbou vhodných hesel a náležitého zálohování dat, ale šířeji i nad tím, zda pro kybernetickou bezpečnost děláme dostatek. Bez ohledu na to, jestli se nás regulace už týká, jestli čekáme, že se nás podle transponované směrnice NIS2 týkat v dohledné době začne, anebo i když máme jistotu, že zůstáváme mimo dosah regulátora. Protože podceňovat protivníka se ještě nikdy v historii nevyplatilo.
Rizikovost dodavatelů už vyhláška neřeší
Doprovodných vyhlášek ke kyberzákonu už není šest, ale o jednu méně. Ze seznamu vypadla kontroverzní, mnohými kritizovaná vyhláška o kritériích rizikovosti dodavatele. Ta zahrnovala 13 různých hodnoticích parametrů. Nakolik to které kritérium daný dodavatel naplní, ve výsledku mělo určit hodnotu rizikovosti dodavatele, tedy jaká je s dodavatelem spojena možná kybernetická hrozba, možné ohrožení bezpečnosti země nebo vnitřního či veřejného pořádku. Ne náhodou byla přitom tato kritéria zvolena tak, že mířila proti autoritářským režimům.
Prvních osm z 13 parametrů totiž dodavatel neměl šanci ovlivnit. Vztahovaly se totiž výlučně k otázkám státního uspořádání země, v nichž dodavatel působí. NÚKIB navrhoval zkoumat, zda v zemi panuje demokratický politický režim, existuje zde dělba moci, funguje tu soudní přezkum výkonu státní moci anebo je vynucována povinnost dodavatele spolupracovat se zpravodajskými službami. Černý puntík pak měly mít státy aktivně působící proti českým nebo evropským zájmům nebo čelící mezinárodním sankcím.
Tato vyhláška je tedy passé, minimálně prozatím. Je dobré poznamenat, že na rozdíl od zákona nepodléhají vyhlášky připomínkovému řízení, a pokud je k jejich vydání NÚKIB zákonem zmocněn, nic mu nebrání je vydat klidně pokradmu a dodatečně.
Nekomerční výzkumníci regulaci uniknou
Z vyhlášek představených už na začátku zůstává ta o regulovaných službách. Tak, jak byla předložena k posouzení LRV, zpřesňuje výklad tří pojmů. NÚKIB ustoupil připomínkám Ministerstva životního prostředí a zcela nově vymezil, na jaké výzkumné organizace se regulace vztahuje. Připomeňme, že ministerstvo v připomínkách brojilo proti tomu, aby nekomerční výzkumné instituce byly do regulace zahrnuty i přesto, že to NIS2 vůbec nepožaduje. Přitom u vědecké výzkumné instituce se náklady na kyberbezpečnost mohou pohybovat až okolo 30 milionů korun ročně, což může z hlediska rozpočtu představovat problém.
NÚKIB těmto připomínkám vyhověl a do jmenované vyhlášky přidal definici, že výzkumnou organizací je „orán (správně zřejmě má být orgán) nebo osoba, jejímž cílem je provádět aplikovaný nebo experimentální vývoj za účelem využití výsledků tohoto výzkumu pro komerční účely, který ovšem nezahrnuje vzdělávací instituce“. Je to jednoznačně úkrok stranou, když tímto vymezením NÚKIB eliminuje nekomerční výzkumníky.
Nově tu také máme definici toho, kdo je provozovatelem služeb systému překladu doménových jmen. Narazili jsme na to i v rámci podcastu s Adamem Kučínským, který má na NÚKIBu přípravu zákona na starosti, že promíchání rekurzivních a autoritativních DNS serverů nemusí být nejšťastnější.
Úřad na to reagoval zpřesněním, že jde buď o poskytovatele „veřejně dostupné rekurzivní služby pro překlad jmen domén koncovým uživatelům internetu“, anebo poskytovatele „autoritativní služby pro překlad jmen domén pro použití třetí stranou, s výjimkou kořenových jmenných serverů“. Pod tuto definici tak spadnou i ty nejmenší webhostingové firmy, které doménové záznamy jimi hostovaných domén provozují na vlastním DNS. Platí stále podmínka, že zajišťují správu nebo hosting alespoň 10 tisíc domén druhého řádu.
V téže vyhlášce stojí ještě za zmínku jedna změna, která se dotkne telekomunikačního sektoru. Původně totiž pod regulaci v režimu vyšších povinností měl spadnout operátor provozující alespoň 350 tisíc aktivních SIM karet, anebo 100 tisíc pevných internetových přípojek. NÚKIB v nejnovější verzi vyhlášky zaslané na konci ledna na LRV tato čísla škrtnul s poznámkou „bude doplněno“. Jak už bylo zmíněno výše, vyhlášky neprocházejí standardním legislativním procesem, takže konkrétní parametry si úřad může doplnit samostatně kdykoliv později…
2500 zraněných nebo 250 mrtvých
Dále tu máme dvojici vyhlášek o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších, resp. nižších povinností. Ta první byla obohacena o definici nezbytného rozsahu dostupnosti strategicky významné služby. Například v odvětví veřejné správy je to nově taková služba, jejíž nedostupnost může vést „ke zranění skupiny více než 2500 osob nebo ztrátě života skupiny více než 250 lidí“, ohrozí vyšetřování trestné činnosti nebo povede ke zpochybnění soudního řízení, zapříčiní hromadné nepokoje nebo jinak naruší veřejný pořádek s celostátními dopady, nebo například negativně ovlivní nebo poškodí diplomatické vztahy České republiky.
Podobně svérázně jako k ochraně životů přistupuje představená vyhláška i k majetkovým škodám. Rozlišuje totiž, jestli nedostupností primárního aktiva ve správě státu bude postižen stát, tam je limit ztrát 10 % běžných výdajů ročního rozpočtu dané státní organizace, anebo škoda dopadne na ostatní, a tam nevadí ani škoda až do 0,5 % hrubého domácího produktu.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU