Seriál Regulace podle NIS2 v minulém díle rozebral ze všech stran kritizovanou povinnost subjektů s vyššími povinnostmi (essential) spočívající v řízení bezpečnosti dodavatelského řetězce. Dnes budeme pokračovat v popisu dalších, nazvěme to s klidným svědomím soft povinností, které velké podniky nejpozději v říjnu příštího roku čekají.
Bezpečnost lidských zdrojů
Regulace kybernetické bezpečnosti stojí na principu vědět, co mám, co mi hrozí, jak hrozbu odvrátit a jak reagovat, pokud se to nepodaří. To jsou hlavní pilíře zdolávání kybernetických rizik, které se jako tenká červená nit propisují do všech oblastí. Ne nadarmo se občas říká, že největší systémové riziko je mezi klávesnicí a židlí. Proto vědomá prevence posílená o prvky školení a vzdělávání je podobně důležitá jako kvalitní nástroje na odvrácení útoků zvenčí.
U podniků s vyššími povinnostmi vyhláška NÚKIBu počítá s tím, že tu bude vypracovaný plán rozvoje bezpečnostního povědomí, který bude pamatovat jak na vrcholové vedení, a tedy lidi přímo odpovědné vůči dohlížejícímu úřadu, tak na jednotlivé uživatele a administrátory.
Tedy počítá se s tím, že v těchto velkých korporacích budou lidé přicházející do styku s výpočetní technikou pravidelně proškolováni, a jasná je i osnova takového vzdělávání. Vrcholové vedení má být pravidelně poučováno o jeho povinnostech, o bezpečnostní politice, a to hlavně v oblasti systému řízení bezpečnosti informací a řízení rizik. Administrátory a běžné uživatele čeká poučení o jejich povinnostech a o bezpečnostní politice. Dále všichni musejí vědět o pravidlech tvorby bezpečných hesel. O nich už jsme si něco málo řekli v dílu věnovaném podnikům v režimu nižších povinností.
Hesla nepůjdou rychle měnit krátce po sobě
I tady platí pravidlo 12–17–22, tedy nejméně 12 znaků v hesle běžných uživatelů, 17 znaků pro účty administrátorů a 22 znaků u účtů technických aktiv. Systém dále musí umožňovat zadat heslo alespoň o délce 64 znaků, nesmí omezovat použití malých a velkých písmen, číslic a speciálních znaků.
Speciální pravidla platí i pro změnu hesel. Například opakovaně bude možné heslo uživatele nebo administrátora změnit až po nejméně 30 minutách, je ale na každé instituci, zda tuto dobu nenastaví ještě delší. To má zřejmě zamezit ve státní správě oblíbené praktice zrychlené rotace hesla vedoucí k tomu, že ve výsledku měl úředník stejné heslo jako před jeho změnou. Pokud bezpečnostní politika podniku neumožňovala například opětovné použití 12 předchozích hesel, jako to bude nastavené v pravidlech pro kyberbezpečnost nyní, pak daný zaměstnanec, kterému se nechtělo pamatovat si nové přihlašovací údaje, změnil na začátku pracovní doby dvanáctkrát své heslo tak, aby ta třináctá změna bylo jeho heslo původní. Doteď to byla otázka několika minut. Pokud by to samé chtěl úředník provádět i podle nových pravidel, zabaví ho to na šest a půl hodiny, tedy téměř celou pracovní dobu. Regule stanoví, že heslo bude muset být měněno nejpozději po 18 měsících.
Hesla si vytvářejí samotní uživatelé, resp. administrátoři. Pro první přihlášení do systému jim je vygenerováno jednorázové heslo, které může platit nejvíce 24 hodin. Zvláštní zacházení se očekává u administrátorského účtu určeného pro případ obnovy systému po kybernetickém bezpečnostním incidentu. Toto heslo musí být nejméně 22 znaků dlouhé, obsahovat všechny kategorie znaků (malá, velká písmena, číslice, speciální znaky) a musí se změnit po jeho použití, při jakékoliv změně odpovědných osob nebo nejvýše v intervalu 18 měsíců. Navíc bude nutné evidovat jakoukoliv manipulaci, stejně jako pokusy o manipulaci s tímto heslem.
Nejčastěji to budou personální oddělení, kdo bude mít na starosti administrativu kolem řízení bezpečnosti lidských zdrojů. Dá se čekat, že tak jako u každého zaměstnance hlídají termíny pravidelných školení řidičů nebo dodržování pravidel bezpečnosti práce, přibude do šanonů s osobními složkami jen další vložka s přehledem školení ve vztahu ke kyberbezpečnosti. V této souvislosti upozorním na zajímavou povinnost týkající se represí. Vyhláška totiž ukládá podniku určit pravidla a postupy pro řešení případů porušení stanovených bezpečnostních pravidel. Tedy zaměstnanec by měl dopředu vědět, co mu hrozí, když některé z podmínek nevyhoví.
Řízení změn a ostražitost u akvizic
Jestliže jsme v úvodu vyjmenovali mezi pilíře zdolávání kybernetických hrozeb nutnost identifikovat možná ohrožení, pak do této kategorie spadá i povinnost řízení změn. Pomůžeme-li si jiným okřídleným pravidlem v oboru IT, totiž že co funguje, do toho není radno zasahovat, pak jde o především o to včas dopředu vědět, že se nějaká změna chystá, ověřit, jak by případně mohla ovlivnit funkčnost stávajícího systému, a snažit se rizikům předejít. Se zaváděním novinek klasifikovaných dotčenou organizací jako významné souvisí dva nově povinné, které si však ne všechny instituce zdaleka osvojily. Těmi jsou zajištění testování před uvedením do provozu a zajištění možnosti navrácení do původního stavu, pokud se cokoliv nezdaří. Navíc v návaznosti na hodnocení rizik může být rozhodnuto o provedení penetračního testování.
To se provádí z interní i externí sítě, před uvedením technického aktiva do provozu nebo právě v souvislosti s významnou změnou. Sken zranitelnosti, resp. penetrační testování má odhalit, kde se skrývají slabá místa systému, jichž by útočníci mohli využít. Toto testování musejí subjekty v kategorii essential provádět každé dva roky.
Ochránci kybernetické bezpečnosti v návrhu legislativy pamatují i na situaci, kdy podnik plánuje novou akvizici, prochází vývojem nebo jen potřebuje udržovat stávající aktiva v provozuschopném stavu. Význam to má zejména v případech, kdy se regulovaný subjekt chystá získat technické aktivum na jiné úrovni kyberbezpečnosti, než která platí pro něj. Tedy příkladně, když velká korporace spadající pod přísnou regulaci dostane zálusk na menšího hráče na trhu, na nějž dosud třeba žádné speciální povinnosti nedopadají.
Dřív než k takovému obchodu a zahrnutí nových systémů do stávající infrastruktury dojde, bude nezbytné vyhodnotit rizika, jaká importované aktivum pro svého nového majitele představuje, a podle toho nastavit postupy, aby se tato fúze nebo koupě nestala Achillovou patou korporace. Explicitně pak vyhláška v tomto případě odkazuje na pravidla pro správu a ověřování identit. To znamená, že se defaultně používá minimálně dvoufaktorová autentizace. Do té doby, než je zavedena, je dovolená úleva v podobě přihlašování pomocí kryptografických klíčů nebo certifikátů, a není-li ani těch, pak se dočasně může používat login a heslo s přísnými pravidly pro jeho tvorbu, jak jsme popsali výše.
V příštím díle se podíváme na kybernetické incidenty, jejich zvládání a způsob jejich hlášení regulátorovi.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU