Kybernetická bezpečnost z pohledu EZÚ

Elektrotechnický zkušební ústav (EZÚ) působí jako zkušební a certifikační autorita na českém území již od roku 1926. Patří celosvětově k nejstarším institucím svého druhu. EZÚ je členem celé řady evropských a světových certifikačních organizací (v mnoha z nich jako člen zakládající). Působí napříč průmyslovými obory a jeho služby využívají ročně stovky firem nejen elektrotechnických, ale i zdravotnických, či podnikajících v automobilovém průmyslu. V neposlední řadě poskytuje služby v segmentu informačních technologií, zejména kybernetické bezpečnosti. Zájem časopisu ELEKTRO o bližší seznámení právě s tímto segmentem služeb vykrystalizoval v setkání se dvěma kompetentními pracovníky ústavu – Ing. Michalem Hagerem, vedoucím laboratoře kybernetické bezpečnosti, a Miroslavem Voldřichem, manažerem produktu pro certifikaci služeb IT. V odpovědích na otázky se oba pánové vzájemně doplňovali, proto ponechme bez rozlišení, co řekl který z nich.

Jaký obsah nabývá pojem kybernetická nebo informační bezpečnost v druhém desetiletí 21. století?

Kybernetická (nebo také informační) bezpečnost zahrnuje procesy, kterými se snažíme nastavit pravidla bezpečnosti, a to jak pro lidi, kteří s informacemi pracují, tak pro technická zařízení, která slouží k práci s informacemi. Otázky kybernetické bezpečnosti se řeší už velmi dlouhou dobu, možná od příchodu internetu. V posledních letech nastal obrovský rozmach techniky a vzájemného propojení všeho. V období, ve kterém jsme si zvykli používat pojmy digitalizace a Průmysl 4.0, dostává informační technika a komunikace úplně jiný rozměr. Vstupuje do klasických segmentů průmyslu, objevuje se také v oblasti domácích spotřebičů, svítidel a kabelové techniky.

Tím získává řešení tohoto tématu na významu a důležitosti. S novými technologiemi totiž přicházejí také nové hrozby. V současné době jsou téměř na denním pořádku nějaké incidenty v oblasti informační nebo kybernetické bezpečnosti. Firmy se snaží za všech okolností držet krok s útočníky (hackery) a chránit informace třeba i před nechtěným incidentem způsobeným vlastními lidmi.

Ing. Michal Hager, vedoucí laboratoře kybernetické bezpečnosti

Miroslav Voldřich, manažer produktu pro certifikaci služeb IT

 

Co vedlo elektrotechnický zkušební ústav k tomu, že začal implementovat služby certifikace IT a dal je do stálé nabídky?

K tomu že se v EZÚ zabýváme informační bezpečností, nás vedly dva impulsy. První z nich měl interní charakter. Ve všech oborech zkušebnické práce EZÚ se objevila nutnost toto téma řešit. Tento tlak se nejmarkantněji projevil v oboru zdravotnických prostředků, ovšem vyskytl se i v dalších oborech. Druhým impulsem, a dalo by se říct mnohem silnějším, bylo řešení kybernetické bezpečnosti na legislativní úrovni. V té době byl připravován Zákon o kybernetické bezpečnosti, který se měl primárně věnovat kritické informační infrastruktuře České republiky. Současně také definoval pojem významné informační systémy. Tyto dva impulsy v EZÚ iniciovaly vznik oddělení pro certifikaci služeb IT a v něm laboratoře kybernetické bezpečnosti.

Jaká je pozice oddělení pro certifikaci služeb IT v organizační struktuře EZÚ a co patří do jeho pracovní náplně?

EZÚ je organizačně rozdělen na několik částí, z nichž každá se zabývá jiným druhem výrobků z hlediska posuzování a zkoušení před uvedením na trh. Ve všeobecném povědomí odborné veřejnosti je například zkoušení kabelů, svítidel a zdravotnických prostředků. Oddělení pro certifikaci služeb IT je tvořeno týmem lidí, kteří pracují napříč všemi oblastmi působnosti EZÚ. Zatímco větší část laboratoří EZÚ zkouší nebo posuzuje přímo konkrétní výrobky, oddělení služeb IT posuzuje procesy ve firmě či organizaci zákazníka, jestli probíhají podle stanovených standardů.

Oddělení služeb IT je tematicky rozděleno na několik okruhů, z nichž jeden je právě kybernetická bezpečnost, dále tzv. služby vytvářející důvěru (podle nařízení Evropské unie eIDAS), velmi významný okruh naší působnosti je informační systém veřejné správy (ISVS), dále je to oblast spisové služby a v poslední době je stále naléhavější téma Internet věcí (IoT).

Rozšiřujeme portfolio o nové standardy. Získali jsme akreditaci pro posuzování kybernetické bezpečnosti podle nového standardu IECEE, který doplňuje známou normu ISO 27001.

Zatímco ISO/IEC 27001 definuje požadavky na systém managementu bezpečnosti důvěry informací (pro zaměstnance, procesy, IT systémy a strategii firmy), standard IEC 62443 je soubor norem kybernetické bezpečnosti, poskytující záruku, že dodavatelská organizace má požadavky na kybernetickou bezpečnosti zavedeny do svých produktů a vývojových praktik, například pro vývoj softwaru k příslušnému výrobku.

Jaký druh činnosti charakterizuje laboratoř kybernetické bezpečnosti?

Laboratoř kybernetické bezpečnosti je jedna ze součástí oddělení služeb IT. Zjednodušeně řečeno – všechno, co dělá laboratoř kybernetické bezpečnosti, jsou audity. Ty se řídí předpisy (ať už jsou to standardy nebo legislativa), které definují kritéria auditu – tedy na základě čeho ověřujeme shodu s předpisy. Ověření kybernetické bezpečnosti z pohledu EZÚ je tedy spíš audit než zkouška.

Naši zákazníci zpravidla podléhají nějakým povinnostem daných legislativou, proto nás požádají o posouzení a vydání certifikátu, že splňují příslušné požadavky legislativy.

Legislativa má ve všech oblastech požadavky na probíhající procesy. Naší povinností je v první řadě znát příslušnou legislativu. Jen tak můžeme porovnat požadavky legislativy s tím, jak mají společnosti nastaveny svoje interní procesy.

Každá oblast se řídí jinými předpisy. Na některé oblasti (vydávání certifikátů) je třeba mít akreditaci od Českého institutu pro akreditaci, který posoudí, jestli splňujeme jejich kritéria pro auditování.

Jsou ale také oblasti, které akreditaci nepodléhají, ale klienti si vyžádají posouzení a certifikát z vlastní iniciativy, aby ujistili sebe a své zákazníky, že splňují náročná legislativní kritéria. V těchto případech stavíme na důvěryhodnosti EZÚ v České republice a vystupujeme jako nezávislá třetí strana, která ověří splnění požadavků legislativy – v těch oblastech, na které máme akreditaci.

Akreditací, kterou nám udělil Český institut pro akreditace (ČIA), deklarujeme naši nezávislost a odbornost. I my jsme přezkušování a kontrolováni.

Co obsahuje pojem legislativa v oblasti kybernetické bezpečnosti?

Základní legislativní dokument je zákon č. 181/2014 Sb. o kybernetické bezpečnosti. Prošel novelizací a prakticky zůstává stejný. Asi nejdůležitější k němu je prováděcí vyhláška číslo 82/2018 Sb. Ta nastavuje již konkrétní technická a organizační opatření, která je třeba splnit. Je třeba si uvědomit, že tento zákon nedopadá stejně na všechny organizace. Snaží se primárně zajistit kybernetickou bezpečnost z pohledu České republiky, to znamená opatření, která je třeba splnit pro kritické informační infrastruktury významných informačních systémů a orgánů, jež tento zákon sám vyjmenovává. Ostatní organizace nemají povinnost ustanovení tohoto zákona a souvisejících vyhlášek plnit.

V tématech zpracovávaných oddělením IT jste zmiňovali Služby vytvářející důvěru. Můžete prosím, objasněte tento pojem.

Jeden z nejvýznamnějších legislativních wdokumentů je nařízení EU známé pod zkratkou eIDAS, které se soustředí na tzv. služby vytvářející důvěru. To je druh služeb, jako jsou například elektronické podpisy a časová razítka. Součástí a žhavým tématem je nyní i problematika elektronické identity, tedy jakési ujištění nebo potvrzení o totožnosti konkrétní osoby, která se například přihlašuje do elektronického bankovnictví, odkud se uživatel může dostat k určitým službám státní správy nebo i soukromých společností, které by mu jinak byly poskytnuty jen na základě potvrzení identity při osobní návštěvě s občanským průkazem.

EZÚ má akreditaci k vydávání certifikátů organizacím poskytujícím tyto služby. Požadavky na tuto certifikaci vycházejí přímo z legislativy, tedy z nařízení eIDAS. Musíme si uvědomit, že elektronický podpis je vlastně ekvivalent vlastnoručního podpisu, a musí proto splňovat určitá bezpečnostní kritéria. Tato kritéria Evropská unie stanovila v Nařízení 910 z roku 2014. Organizace, která vydává tyto certifikáty k elektronickým podpisům nebo časovým razítkům, musí splňovat řadu podmínek, aby jejich certifikáty mohly být považovány za důvěryhodné, tedy aby elektronický podpis měl srovnatelnou váhu s vlastnoručním podpisem.

Které jsou další služby poskytované Elektrotechnickým zkušebním ústavem v oblasti informační techniky?

EZÚ se zabývá také atestací významných (popř. kritických) informačních systémů. Kritické informační systémy nejsou z pochopitelných důvodů nikde vyjmenované. K těm významným patří např. Informační systémy veřejné správy (ISVS). Legislativa ukládá státní správě povinnost mít na své služby tzv. atest. V EZÚ je zřízeno atestační středisko, které současně spadá pod nadřazený inspekční orgán. Pověření atestovat ISVS udělilo Elektrotechnickému zkušebnímu ústavu Ministerstvo vnitra. Atestační středisko posuzuje soulad splnění povinností státní správy vůči zákonu č. 365/2000 Sb. o informačních systémech veřejné správy.

Jsme také akreditováni pro posuzování elektronických systémů spisové služby podle Národního standardu pro systémy spisové služby (NSSSS).

Do oblasti kompetence oddělení služeb IT spadá také posuzování podle standardů ISO, např. ISO 27001 Bezpečnostní standardy z hlediska organizací, ISO 15288 Životní cyklus systému a ISO 12207 Životní cyklus softwaru.

A co Internet věcí?

Internet věcí (IoT – Internet of Things) se řeší na úrovni standardů kybernetické bezpečnosti. Škála předmětů, které zahrnují pojem Internet věcí, je velmi široká a má nejrůznější využití. Mohou to být třeba přenosná zařízení pro osobní potřebu, nebo taky zařízení pro využití v průmyslu či ve zdravotnictví. I když je toto téma v praxi aktuální již několik let, standardy dosud chyběly.

A tak se stává, že zařízení zpravidla nemají nastaveno žádné heslo, žádné ověřování, takže jejich prostřednictvím se lze dostat přímo k osobním údajům uživatele a dalším informacím, které nejsou veřejné. Důvodem je většinou cenová politika výrobců, kteří se snaží výrobní cenu zařízení stlačit na minimum.

Toto se změnilo v roce 2019, kdy byl vydán standard eTSI, který se soustředí na komerční část sektoru Internetu věcí. Standard definuje 13 základních principů, které by mělo splňovat zařízení pro IoT, a vytváří tak určitý tlak na výrobce.

Co všechno se má stát, než laboratoř kybernetické bezpečnosti přistoupí k auditu, a jak takový audit probíhá?

Musíme postupovat přesně podle akreditačních podmínek, které daná oblast požaduje. Můžeme uvést příklad z oblasti eIDAS: Organizace, která se chce stát kvalifikovaným poskytovatelem služeb vytvářejících důvěru, se obrátí na EZÚ se žádostí o certifikaci. Laboratoř nejprve vykoná nezbytné obchodně administrativní kroky. Produktový manažer s klientem dohodne obchodní stránku případu, rozsah posuzování, jaké jsou požadavky a možnosti. Klient také dostane instrukce, co musí připravit a splnit, než bude audit zahájen.

Všechny případy posuzování nebo auditu, na kterých pracují auditoři, je třeba vybavit určitou administrativou. Musíme zpracovat a udržovat veškerou dokumentaci, abychom vyhověli podmínkám naší akreditace pro danou oblast. I my sami totiž můžeme být auditováni orgánem, který uděluje akreditaci.

Certifikační proces mívá zpravidla tento průběh: Auditor předběžně posoudí např. dokumentaci klienta související se záměrem poskytovat určitou službu vytvářející důvěru. Poté navštívíme klienta a ověříme, zda údaje uvedené v dokumentaci odpovídají realitě. Jestliže zjistíme, že dokumentace odpovídá příslušné legislativě, vydáme klientovi na službu prohlášení o shodě a ten může začít bez obav provozovat požadovanou kvalifikovanou službu.

Pak je tu ještě jeden kontrolní článek. Klient musí naši zprávu předložit národnímu dohledovému orgánu. Ten může v organizaci kdykoliv udělat kontrolu, jestli skutečnost odpovídá výsledkům našeho auditu. Národním dohledovým orgánem je v České republice Ministerstvo vnitra, v jiných státech Evropské unie je to zpravidla obdobný úřad, popř. organizace stanovená pro tuto funkci.

Je úloha EZÚ v České republice jedinečná v oblasti certifikace kybernetické bezpečnosti?

Záleží na tom, o jaký jde produkt. Pokud jde o zmíněné služby vytvářející důvěru (eIDAS), těch akreditovaných certifikačních orgánů je v České republice několik.

V oblasti kybernetické bezpečnosti může certifikovat kterýkoliv subjekt – není tu žádný systém akreditace. Pokud jde o kybernetickou bezpečnost z pohledu IEC 62443, je EZÚ jediný certifikační orgán v České republice.

Jak se projevuje kybernetická bezpečnost na trhu.

Kybernetická bezpečnost je rok od roku důležitější téma. Jestliže před pěti a více lety firmy vydávaly na IT 10 % nákladů a z toho 1 % šlo na kybernetickou bezpečnost, v současné době si firmy začínají toto téma čím dál více uvědomovat a mají větší zájem oblast kybernetické bezpečnosti řešit. Někdy je na tyto společnosti vyvíjen tlak i ze strany klientů, aby se prokázali nějakým certifikátem v oblasti kybernetické bezpečnosti. A může to být důležitý parametr ve výběrových řízeních. Dalším důvodem je také to, že technika přenosu informací začíná pronikat do mnoha dalších oblastí. Nejkritičtější je zřejmě Průmysl 4.0, stále se rozšiřující oblast Internetu věcí a také zdravotnictví. Slovem nejkritičtější rozumíme to, že v případě jakéhokoliv incidentu může dojít k ohrožení zdraví nebo života osob. V tomto bodě se setkávají dvě pojetí bezpečnosti: kybernetická (informační) bezpečnost a bezpečnost osob z hlediska ochrany jejich zdraví a životů.

Více informací je na webových stránkách IT.EZU.CZ

Rozhovor vedl Ing. Emil Širůček, FCC PUBLIC