Novinky z ČIMIBU pro rok 2018

Cimib a Cevro logoČeský institut manažerů kybernetické bezpečnosti – ČIMIB je profesní sdružení, které si klade za cíl sdružovat odborníky z oblasti informační bezpečnosti. Historie sahá do roku 2007, kdy byl ČIMIB založen.

Od té doby jsme realizovali několik úspěšných konferencí a stali jsme se uznávaným sdružením v oblasti kybernetické bezpečnosti. Členskou základnu tvoří jak jednotlivci, tak i firmy. V loňském roce se ČIMIB výrazně angažoval na celé řadě konferencí jako odborný partner. I v roce 2017 ČIMIB pokračoval v pořádání kulatých stolů na témata související s kybernetickou a informační bezpečností. A jelikož tyto kulaté stoly byly přijaty členy velmi kladně, budeme v tomto roce pořádat další. Určitě se můžete opět těšit na témata z oblasti ICT bezpečnosti a GDPR.

Pokud máte nápady, nebo vás zajímají nějaká témata z výše uvedených oblastí, napište nám a my se pokusíme tyto postřehy a náměty proměnit v debatu na některém z kulatých stolů anebo na naší každoroční konferenci Kybernetická bezpečnost státu (KBS), kterou budeme pořádat v závěru tohoto roku. Pravidelně vás zde v tomto časopise ICT NETWORK NEWS budeme seznamovat s našimi plány a novinkami, které naše sdružení bude mít. Určitě v tomto roce rádi uvítáme nové členy do řad ČIMIBU, takže pokud chcete mít kvalitní přehled o kybernetickém prostoru a jeho bezpečnosti, rádi Vás jako jednotlivce, ale i jako firmy rádi u nás přivítáme. Podmínky členství naleznete na webu www.cimib.cz.

Petr Smolník, tiskový mluvčí a člen rady ČIMIB

Slovo prezidenta ČIMIB Aleše Špidly: „Vážení čtenáři, dovolte mi abych vám jménem svým i jménem rady ČIMIB v roce 2018 popřál mnoho osobních i pracovních úspěchů, pohodu a klid. Jak je výše uvedeno, připravujeme i v tomto roce řadu zajímavých akcí pro své členy a příznivce. Rádi bychom navázali na velmi úspěšnou konferenci KBS 2017, kde přednášeli kolegové z Ukrajiny o vyšetřování útoku Blackenergy na distribuční síť elektrické energie. Plánujeme, že je opět pozveme spolu s odborníky z generálního štábu Ukrajinské armády, kteří na KBS 2017 také přednášeli a jejichž informace z „bojiště“ byly nesmírně zajímavé. Kulaté stoly si získaly zaslouženou pozornost mezi členy a přáteli ČIMIBu tím, že jsou monotématické, a proto v časovém rozsahu cca 2 až 3 hodiny se lze tématům věnovat hlouběji než ve 20minutové prezentaci na konferenci. Témata připravujeme zajímavá, zcela určitě jedno z nich bude ‚GDPR za 5 minut dvanáct‘, kde odborníci z našich řad budou s vámi sdílet své dosavadní zkušenosti s procesem zavádění GDPR do praxe. Nejen GDPR ale hýbe světem kybernetické a informační bezpečnosti, proto už teď připravujeme další témata. O termínech a náplni kulatých stolů budou členové a přátelé ČIMIB včas informováni. Účast členů na kulatých stolech a konferenci KBS 2018 nejsou jediným benefitem členství v ČIMIB, je zde možnost získat slevy z účastnických poplatků na konferencích, kde jsme partnery apod. Proto, ale nejen proto, mi dovolte váz pozvat mezi členy ČIMIB.“

Méně známý příbuzný GDPR. Co přinese nařízení ePrivacy?

O nařízení o ochraně soukromí a elektronických komunikacích, tzv. nařízení ePrivacy, se nemluví zdaleka tolik jako o slavnějším GDPR. Obě nařízení jsou součástí stejného unijního balíčku předpisů v rámci jednotného digitálního trhu, k jehož základním kamenům patří i ochrana osobních údajů a soukromí.
 
eva skornickova
 
Původní plán byl takový, že obě nařízení začnou platit ve stejný den, tedy 25. května 2018. Na rozdíl od již schváleného GDPR se ale ePrivacy stále nachází v legislativním procesu, konkrétně ve fázi trialogu mezi Komisí, Parlamentem a Radou, a na jeho konečné znění se čeká. I proto lze očekávat, že dojde k odkladu jeho účinnosti minimálně na druhou polovinu roku 2018. Co momentálně o ePrivacy víme, co přinese a na koho se bude vztahovat především?
 
ePrivacy jako doplněk GDPR
 
Oba předpisy jsou nařízeními a obsahují přímo aplikovatelná pravidla, která vlády členských států nemohou přizpůsobit či „ohnout“ jakýmkoliv zájmům. Smyslem obou nařízení je zvýšení ochrany osobních údajů fyzických osob před jejich stále hojnější komercializací a riziky s tím spojenými. Ve vztahu ke GDPR je ePrivacy doplňkem ochrany, tedy zvláštním předpisem detailně upravujícím určitou výseč nakládání s osobními údaji, jehož obecná úprava je obsažena právě v GDPR. Obsah nařízení ePrivacy tak bude mít v této výseči elektronických komunikací před GDPR přednost, přesto je třeba při přizpůsobování se nové úpravě myslet na předpisy oba; bude-li totiž váš podnik v působnosti ePrivacy, budou se na vás vztahovat i pravidla GDPR.
 
Smyslem ePrivacy je dohnat dobu rapidně se rozvíjejících komunikačních on-line technologií a přizpůsobit tomu právní řády států EU, které mnoho dnes již naprosto běžných aktivit vůbec neregulují, přestože při nich ve velkém dochází k nakládání s osobními údaji. Zatímco GDPR se věnuje především ochraně fyzických osob, nařízení ePrivacy by mělo cílit na důvěrnost elektronických komunikací jak fyzických osob, tak právnických osob. Hlavní myšlenkou ePrivacy je vytvoření ekvivalentu listovního tajemství i pro oblast nejmodernějších způsobů komunikace.
 
Internetové televize i restaurace a kavárny
 
Stávající směrnice o soukromí a elektronických komunikacích se vztahuje pouze na tradiční telekomunikační operátory. Nařízení ePrivacy okruh povinných subjektů značně rozšiřuje a kromě zmíněné regulace telekomunikací se bude nově vztahovat i na poskytovatele služeb jako VoIP (tedy volání přes internet), na provozovatele aplikací přenášejících audiovizuální obsah pomocí internetu, tzv. OTT služby (over-the-top services), tedy aplikace typu WhatsApp, Viber, Skype či facebookový Messenger, ale i internetové televize typu Netflix. Nařízení se dále dotkne i poskytovatelů veřejných a polosoukromých sítí Wi-Fi či firem produkujících přístroje komunikující v rámci tzv. internetu věcí (viz dále). Máte-li kavárnu s Wi-Fi pro hosty, týká se nařízení ePrivacy i vás.
 
Nařízení by tak mělo odstranit nelogickou situaci, kdy služby SMS či telefonní hovory musí splňovat určité standardy zabezpečení, ale stejné služby poskytované přes internet regulovány vůbec nejsou, ač jsou z pohledu ochrany soukromí stejně rizikové, či dokonce rizikovější.
 
Chráněn není pouze obsah komunikace
 
Kromě ochrany důvěrnosti samotného obsahu komunikovaných zpráv, jehož zneužitím může dojít k odhalení vysoce citlivých informací ať už o zdravotním stavu, obchodním tajemství, či například sexuální orientaci, bude nařízení chránit i tzv. metadata – tedy údaje odvozené ze samotné komunikace, jako jsou volaná čísla, navštívené internetové stránky, poloha, čas a datum komunikace, doba volání a další. I tyto údaje totiž, ač třeba ne tak přímočaře, dokážou přiblížit jedincův osobní život, průběh dne, jeho zájmy či návyky, a mohou tak být dále obchodně využity.
 
Všechny tyto údaje budou považovány za důvěrné a mělo by být zakázáno bez souhlasu všech komunikujících stran jakkoliv zasahovat do jejich přenosu, ať už přímo lidským zásahem, nebo zprostředkovaně počítačovými algoritmy a podobně. Zvláště se pak zakazuje zachycování obsahu těchto elektronických komunikací a metadat o nich; bez souhlasu tak nebude možné monitorovat navštívené internetové stránky, délku jejich návštěvy či data o interakci s ostatními subjekty!
 
Podobně jako GDPR i nařízení ePrivacy klade největší důraz právě na poskytování souhlasů se zpracováním jako na základní nástroj a pojistku ochrany osob a jejich soukromí. Je tak nutné věnovat zvláštní pozornost tomu kdy, v jaké formě a pro jaké aktivity budete muset takový souhlas od koncových uživatelů získat.
 
Konec „cookies“ oznámení
 
Pravděpodobně jste si všimli, že prakticky každá nově navštívená internetová stránka po vás chce souhlas s uchováním tzv. cookies. V některých případech dokonce nemůže návštěvník stránku užívat, dokud tento souhlas „neodklikne“. To by nařízení ePrivacy mělo změnit umožněním komplexního nastavení v rámci internetového vyhledávače, které bude dále závazné pro všechny navštěvované stránky.
 
Zpřísnění čeká podmínky pro nevyžádaná obchodní sdělení pro účely přímého marketingu, která často končí ve spamové schránce. Nyní bude nutné získat souhlas každého uživatele s přijímáním těchto nabídek a souhlas bude možné jednoduchým způsobem kdykoliv odvolat. V případě marketingových telefonátů bude zakázané skrývat číslo volajícího, naopak se bude povinně uvádět předčíslí značící skutečnost, že jde o marketingový hovor, nebo číslo, na kterém bude možné svůj souhlas odvolat, popřípadě uvést.
 
Když si stroje povídají…
 
Nařízení dopadne i na průmyslové podniky či automobilky, které budou nově muset zabezpečit internetová čidla v rámci skokově se rozvíjejícího odvětví tzv. internetu věcí (Internet of Things – IoT), tedy sítě navzájem propojených a komunikujících přístrojů, které si vyměňují nejrůznější data a dále je používají k naplňování potřeb uživatelů.
 
V praxi se s tímto nejčastěji můžeme setkat v rámci chytrých domácností, tedy sítí propojených „inteligentních“ domácích spotřebičů a další elektroniky, které usnadňují péči o domácnost. Lze sem zařadit i moderní automobily se zabudovanými čidly a senzory snímajícími okolí a stav vozidla či navzájem komunikující zdravotní přístroje a implantáty.
 
Dle nařízení se pravidla pro zachování důvěrnosti budou vztahovat právě i na tuto komunikaci mezi stroji, neboť jejím předmětem jsou mnohdy citlivé informace o jejich uživatelích a prostředí, ve kterém žijí.
 
Nezaspali jste s ePrivacy?
 
Zpozornět by měli především ti správci a zpracovatelé, kteří se doposud připravovali především na účinnost GDPR, ale vzhledem k ePrivacy, možná i díky menší mediální pozornosti, zaspali. Jakmile bude známé finální znění nařízení a dojde k jeho schválení, přineseme vám podrobnější informace jak o nových právech a povinnostech, tak především o datu jeho účinnosti. Nelze však očekávat, že by při schvalování došlo k zásadním změnám, a je možné pro základní přípravu vycházet i z dosavadních znění.
 
Mgr. Eva Škorničková
 
 
gdpr

Vše musí hrát jako dobře sehraný orchestr

AxentaV oblasti kybernetické bezpečnosti a GDPR nejde jen o nějaká poloviční řešení. Jak ukazují zkušenosti společnosti Axenta a. s., je nutné vždy vytvořit zcela ucelené a konečné řešení, které pak může pomocí organizacím v jejich nastavované politiky ochrany dat. Více o tom nám řekl Ing. Lukáš Přibyl, předseda představenstva společnosti Axenta a. s., www.axenta.cz.

Jaké budou novinky společnosti Axenta a. s. z pohledu GDPR a zákona o kybernetické bezpečnosti? Nakousli jsme toto téma již v minulém čísle.

Novinky jsme připravili opět ve spolupráci s Network Security Monitoring Clusterem (dále NSMC) a je to ucelené řešení pro oblast GDPR a vlastně i obecně pro celou oblast kybernetické bezpečnosti. V NSMC vznikla skupina firem, a tedy i lidí, kteří mají reálné zkušenosti s kybernetickou bezpečnostní problematikou již více než 15 let a mohou tedy nabídnout komplexní řešení. Společnosti ELAT a I3C začínají tím, že u zákazníka provedou tzv. rozdílovou analýzu a zjistí, kde jsou slabá místa v zabezpečení osobních údajů – a nejen v nich. Následuje popis procesů a nastavení vazeb v těchto procesech, což je doména člena NSMC – Masarykovy Univerzity a týmu jejich právních a procesních specialistů. Potom přicházíme my – Axenta a. s. a tzv. „orchestrujeme“ vše dohromady v podobě implementace nápravných opatření technického rázu. Především je to šifrování dat na úložištích, log managementu, sledování datových toků, kontroly a řízení uživatelů, náš oblíbený bezpečnostní monitoring a vše může vrcholit implementací bezpečnostního dohledového centra. Po nás přichází opět na scénu ELAT s jejich pen testy a ověřením funkčnosti. Paralelně s tím pak probíhá proces školení mužstva zákazníka, což provádí sám NSMC. Z osob, které se pohybovaly u zákazníka následně skládáme tým forenzních vyšetřovatelů, který je zákazníkovi k dispozici pro řešení problémů při vzniklých incidentech. Prostě a krátce: neděláme jenom úzce zaměřené poradenství, ale nabízíme komplexní služby.

GDPR 2018Které trendy v oblasti bezpečnosti vidíte v letošním roce 2018?

V oblasti technických trendů budou jistě mnohé stavby bezpečnostních dohledů a bezpečnostních center. Co se týče jejich „srdce“, což je právě bezpečnostní dohled, tak zde vidíme snahu předních výrobců přizpůsobit se potřebám trhu, a to zavedením procesů, které šetří lidský čas a kapacitu – protože odborníků je stále nedostatek – a dále zjednodušení a zrychlení vyhledávací (investigativní) práce operátorům těchto bezpečnostních dohledů. Zjednodušení proto, protože, jak jsem již zmínil výše, odborných kapacit je málo a zrychlení je vždy výhodou v boji s útočníkem.

A kterým trendům se bude věnovat Axenta a. s.?

V letošním roce 2018 vidíme, že budou hojně pokračovat analýzy a implementace v oblasti zabezpečení pro splnění požadavků GDPR, rozjíždí se slovenský trh, který mírně v první polovině roku 2017 stagnoval z pohledu GDPR. À propos, na Slovensku máme dceřinou společnost – Axenta s.r.o. Jsme tedy zase blíže našim zákazníkům i na Slovensku a odpadla nám spousta problémů na poli komunikace i organizace práce.

Jsou nějaké změny, které vnímáte z pohledu do budoucna v kauze Intel?

Kauza Intel bude mít trojí vliv – technický, který bude řešen a jistě bude vyřešen úspěšně. Ale už nyní se ukazuje, že procesory Intel s chybou nebyly jen záležitostí jedné šarže, a postiženo bude jistě více výrobců, kteří tyto komponenty používají a také více zákazníků.

Druhý vliv bude mít tato kauza v oblasti bezpečnosti, kdy se již nyní naši zákazníci ptají, jak příště na tuto kauzu reagovat rychleji a jak lépe odhalit, při vzniku této poruchy, jestli i oni jsou nebo budou postiženi. A to umíme pomocí našich bezpečnostních dohledů.

Třetí vliv bude v ekonomické bilanci Intelu, ale to je spíše téma na odborný článek do ekonomického periodika.