Zákon o kybernetickej bezpečnosti
Značne rozporuplné reakcie vzbudzuje v Českej republike pripravovaný zákon o kybernetickej bezpečnosti a o zmene súvisiacich zákonov (Zákon o kybernetickej bezpečnosti). Návrh vychádza z českého Národného bezpečnostného úradu (ďalej len „Úrad“), v ktorého štruktúre je zakotvené aj Národné centrum pre kybernetickú bezpečnosť. Zákon má vytvoriť právny rámec pre riešenie veľkých bezpečnostných incidentov, ktoré priamo ohrozujú kritickú sieťovú infraštruktúru štátu a jeho informačné systémy.
V uvedenej súvislosti je pomerne známa kauza DigiNotar, ktorá v roku 2011 zasiahla Holandsko. Útočníkom sa vtedy podarilo získať kontrolu nad všetkými ôsmimi servermi akreditovanej certifikačnej autority a vystaviť veľké množstvo SSL certifikátov (protokolov, ktoré poskytujú zabezpečenie komunikácie šifrovaním a autentizáciou komunikujúcich strán) na najrôznejšie mená. Certifikačná autorita, na ktorej služby sa spoliehal aj holandský e-government[1] (elektronická podoba výkonu pôsobnosti orgánov verejnej moci), tak prišla nie len o svoju akreditáciu, ale aj o celkovú dôveryhodnosť.
Práve takýmto udalostiam by mal Zákon o kybernetickej bezpečnosti predchádzať a ochraňovať kritické infraštruktúry a informačné systémy, ktoré sú dôležité pre chod štátu. Jeho odporcovia síce namietajú, že česká vláda už v súčasnosti disponuje dostatočnými prostriedkami na zaistenie kybernetickej bezpečnosti svojich infraštruktúr, a že Zákon o kybernetickej bezpečnosti vzniká len z dôvodu posilnenia moci Úradu, ale pravdou je, že tento žiadnu právomoc zasahovať do práv súkromných subjektov, či monitorovať tok dát a vypínať siete, neudeľuje. Do činnosti prevádzkovateľov bude možné zasiahnuť len výnimočne, v stave kybernetického nebezpečenstva (viď nižšie), a aj to veľmi obmedzeným spôsobom.
Samotný Zákon o kybernetickej bezpečnosti je postavený na dvoch základných zásadách, a to zásade minimalizácie zásahov do práv súkromnoprávnych subjektov a individuálnej zodpovednosti za bezpečnosť informačných systémov.
Ako subjekty, na ktoré sa Zákon o kybernetickej bezpečnosti aplikuje, sú určené výlučne osoby, ktoré sa podieľajú na významnej elektronickej komunikácii, alebo prevádzkujú kritickú infraštruktúru. Konkrétne pôjde o správcov informačného systému kritickej informačnej infraštruktúry, komunikačného systému kritickej informačnej infraštruktúry a významného informačného systému a subjekty zaisťujúce významnú sieť, sieť elektronických komunikácií a o poskytovateľov služieb elektronických komunikácií, pokiaľ nespadajú pod predchádzajúce prípady.
Čo sa týka systému zaistenia kybernetickej bezpečnosti, uplatňujú sa v ňom predovšetkým tri piliere, tvorené i) bezpečnostnými opatreniami, ii) hlásením kybernetických bezpečnostných incidentov a iii) protiopatreniami (alebo tzv. reakciami na incidenty). Zákon vymenúva celý rad organizačných (napr. riadenie rizík, bezpečnostná politika, organizačná bezpečnosť, stanovenie bezpečnostných požiadaviek pre dodávateľov a pod.) a technických (napr. fyzická bezpečnosť, ochrana komunikačných sietí, ochrana pred škodlivým kódom, kryptografické prostriedky a i.) opatrení, ktoré sú subjekty povinné zaviesť.
Zákon o kybernetickej bezpečnosti ďalej ukladá subjektom povinnosť odhaľovať kybernetické bezpečnostné udalosti vo významných sieťach a komunikačných či informačných systémoch. Za kybernetickú bezpečnostnú udalosť sa pritom považuje každá taká udalosť, ktorá môže spôsobiť narušenie bezpečnosti informácií v informačných systémoch alebo služieb a sietí elektronických komunikácií; samotné narušenie bezpečnosti je definované ako kybernetický bezpečnostný incident. Povinné osoby sú povinné hlásiť kybernetické bezpečnostné incidenty Úradu alebo národnému dohľadovému pracovisku CERT (Computer Emergency Response Team), a to v závislosti od druhu povinného subjektu.
Úrad by mal viesť evidenciu hlásených incidentov a údaje z evidencie poskytnúť len vybraným subjektom (napr. orgánom verejnej moci, národným CERT orgánom vykonávajúcim pôsobnosť v oblasti kybernetickej bezpečnosti v zahraničí a i.), aj to len na účel stanovený Zákonom o kybernetickej bezpečnosti. Zákon o kybernetickej bezpečnosti zároveň jasne uvádza, že informácie nebudú poskytnuté, pokiaľ by odhalili subjekt, ktorý incident nahlásil. Toto predstavuje akúsi poistku, že nedôjde k ohrozeniu spolupráce subjektov, keďže organizácie budú zrejme ochotné poskytovať informácie, len ak ostanú v anonymite.
Najkontroverznejšou časťou Zákona o kybernetickej bezpečnosti sú právomoci, ktoré má Úrad k dispozícii na ochranu informačných systémov pred hrozbami v oblasti kybernetickej bezpečnosti, bezpečnostnými incidentmi a na riešenie už vzniknutého kybernetického bezpečnostného incidentu. Celkovo sú definované tri druhy opatrení:
- Varovania, ktoré vydáva Úrad, pokiaľ sa dozvie o hrozbe v oblasti kybernetickej bezpečnosti; súčasťou varovania môže byť i odporúčanie riešenia;
- Reaktívne protiopatrenia, ku ktorým Úrad pristúpi, keď je potrebné aktívne zasiahnuť (v prípadoch kybernetického bezpečnostného incidentu); a
- Ochranné protiopatrenia, ktoré sa aplikujú akonáhle je kybernetický bezpečnostný incident vyriešený.
Špecifický prípad predstavuje tzv. stav kybernetického nebezpečenstva (kedy je bezpečnosť informačných systémov ohrozená vo veľkom rozsahu, v dôsledku čoho dochádza, alebo by mohlo dôjsť, k porušeniu alebo ohrozeniu záujmov Českej republiky), ktorý vyhlasuje vláda na návrh riaditeľa Úradu. Tento stav sa vyhlasuje najdlhšie na dobu siedmich dní, dlhšie len so súhlasom vlády (spolu maximálne 30 dní), a ak sa ani po uplynutí 30-dňovej lehoty nepodarí kybernetické nebezpečenstvo odvrátiť, prejde sa do núdzového stavu (v zmysle príslušného ústavného zákona).
Pre riadne fungovanie celého systému je nevyhnutné, aby Úrad plnil tiež kontrolnú a represívnu funkciu. Pri neplnení si povinností príslušnými subjektmi môže uložiť nápravné opatrenie alebo pokutu, keďže porušenie povinností môže založiť správny delikt.
Na Slovensku je kybernetická bezpečnosť zastrešená prostredníctvom CSIRT.SK (Computer Security Incident Response Team), špecializovanej jednotky DataCentra (rozpočtovej organizácie Ministerstva financií SR) pre riešenie počítačových incidentov. Zabezpečuje služby spojené so zvládaním bezpečnostných incidentov, odstraňovaním ich následkov a následnou obnovou činnosti informačných systémov a súvisiacich informačných a komunikačných technológií v rámci celej Národnej informačnej a komunikačnej infraštruktúre SR. O príprave zákona po vzore Českej republiky sa však zatiaľ neuvažuje.
Účinnosť Zákona sa navrhuje od 01.01.2015.
JUDr. Ing. Dušan Tomka,
advokát a partner
Mgr. Radoslava Lajšová,
advokátska koncipientka
DT LEGAL, s.r.o.
Kvačalova 28
821 08 Bratislava
Tel: +421 (2) 209 076 11
Fax: +421 (2) 209 076 22
E-mail: office@dtlegal.sk
--------------------------------------------------------------------------------
[1] Pozn.: Ide o obdobu zmien pripravovaných v Slovenskej republike; dňa 04.09.2013 Národná rada Slovenskej republiky schválila návrh zákona o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci, ktorý uvedie do praxe niektoré informačné systémy pre výkon verejnej moci elektronicky, zákon nadobudne účinnosť od 01.10.2013.
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk