Evropský certifikační rámec kyberbezpečnosti ICT produktů, služeb a procesů

Nedávné incidenty, které ochromily fungování univerzity v Maastrichtu či nemocnice v Benešově, opět ukázaly důležitost kyberbezpečnosti. Ať už jde o užívání bezpečnějších IT produktů, posílení právní jistoty správců infrastruktur či zvýšení informovanosti spotřebitelů, to vše zasáhne nový evropský rámec pro certifikaci kybernetické bezpečnosti. Jaké změny a příležitosti tedy můžeme očekávat?
conformity assessment certifikace compliance
Akt o kybernetické bezpečnosti
Trend dlouhodobě se zhoršující kyberbezpečnostní situace si vyžádal ze strany EU reakci mimo jiné v podobě směrnice EU č. 2016/1148 o síťové a informační bezpečnosti (NIS). Ta obsahuje, podobně jako český zákon o kybernetické bezpečnosti (ZoKB), povinnost některých druhů infrastruktur implementovat vhodná bezpečnostní opatření za účelem předcházení a obrany před kybernetickými bezpečnostními incidenty. Regulace směrnic NIS i ZoKB je postavena na tzv. performativních pravidlech2, která stanovují výsledek – tedy např. zajistit určitou úroveň zabezpečení ICT infrastruktury, ale nestanovují, jak konkrétně má být tohoto výsledku dosaženo.
Tento přístup je pochopitelný, neboť legislativa neumí dostatečně rychle reagovat na technologický vývoj a navíc se od právních pravidel očekává, že budou technologicky neutrální.3 Na druhou stranu je jeho důsledkem snížená právní jistota provozovatelů příslušných infrastruktur, kteří si nemohou být jisti, že jimi zvolená bezpečnostní řešení jsou z hlediska zákona a dozorových orgánů dostatečná [7]. Jedním z nástrojů určených k alespoň částečné kompenzaci této situace je celoevropská kyberbezpečnostní certifikace, kterou Unie představila prostřednictvím nového nařízení Cybersecurity Act (Akt o kybernetické bezpečnosti).
Co je to certifikace a doba temna před Aktem
Čtenář by si hned v úvodu mohl položit otázku: „Co to vlastně je ta certifikace?“ V obecné rovině je to proces, při kterém nezávislý subjekt posuzuje, zda určitý objekt certifikace uspokojivě naplňuje předem definované požadavky (tímto objektem může být produkt, služba, proces, ale i osoba). S již fungující certifikací je možné se v českém prostředí setkat v některých odvětvích průmyslu, v případě utajovaných informací, ISVS či nařízení eIDAS (nařízení EU č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu).
Pro lepší představu kyberbezpečnostní certifikace – objektem může být Smart TV, u které její výrobce zažádá o certifikaci. Certifikační autorita (subjekt, který má certifikaci na starost), k níž bude taková žádost směřovat, poté ve spolupráci s testovací laboratoří prověří televizi sérií testů, ve kterých bude posuzovat naplnění kritérií uvedených v certifikačních schématech či standardech. Tato kritéria definují nejrůznější kyberbezpečnostní požadavky (správa přístupů, logy aktivit apod.) a důkladnější úrovně testování sestávají mj. z penetračního testování. Pokud Smart TV obstojí v testech, certifikační autorita vydá certifikát, který všem potenciálním kupcům prokazuje, že objekt byl v souladu s danými standardy či certifikačními schématy otestován a testy prošel. Kupci tak získají alespoň rámcovou představu o „bezpečnostním výkonu“ dané technologie.
Pro vnitřní trh EU je certifikace kyberbezpečnosti ICT produktů, služeb a procesů klíčová. V některých členských státech, např. ve Francii, není možné státnímu sektoru prodávat necertifikované ICT produkty (např. webkamery). V jiných státech jsou schémata a standardy čistě komerční a certifikace je vyžadována jen určitým podnikem či sektorem (bez zásahu zákonodárce) [8].
Prodejce, který má zájem podnikat s kyberbezpečnostními technologiemi v několika státech, se tak musí zorientovat v jednotlivých legislativách a národních přístupech a případně si obstarat certifikát, který daná země uznává. A u tohoto bodu mnozí podnikatelé narazili na těžko překonatelný problém. V celé EU dosud neexistoval certifikační systém, jehož certifikáty by byly akceptovány jednotně ve všech členských státech. Trh je naopak roztříštěný, některé členské státy certifikační systémy navzdory poptávce vůbec nemají4 a jiné si vytvořily své vlastní národní certifikační systémy s odlišnými podmínkami, postupy i jednotlivými schématy. Pokud tedy chtěl prodejce v takových státech podnikat, musel projít certifikačním procesem u každého členského státu zvlášť. Ovšem certifikační proces je velice náročný, a to jak časově, tak finančně. Pro mnohé malé a střední podniky tak byl unijní trh neprostupný a jednotný kyberbezpečnostní trh byl akorát krásným snem [1].
Akt o kybernetické bezpečnosti
Příslib zlepšení skýtá zmíněné Nařízení Evropského parlamentu a Rady EU č. 2019/881 (zkráceně Akt o kybernetické bezpečnosti), které zavádí jednotný certifikační rámec pro všechny členské státy. EU si od tohoto nařízení slibuje zavedení skutečně jednotného kyberbezpečnostního digitálního trhu, výrazné posílení kyberbezpečnosti napříč členskými státy a v neposlední řadě i posílení právní jistoty provozovatelů klíčových infrastruktur. Akt není zacílen pouze na podnikatelskou sféru, ale též mezi spotřebitele [5]. Pro trh EU je totiž nezbytné pozvednout spotřebitelské povědomí o kyberbezpečnosti a její důležitosti. Certifikace může působit jako opěrný bod, jako „měřítko“.
Nový evropský rámec je revoluční myšlenkou, neboť zatím žádný mezinárodně uznávaný certifikační systém na světě neposkytoval podmínky pro certifikaci produktů a zároveň i služeb a procesů.5 Common Criteria, která jsou pravděpodobně nejpokročilejším dosavadním certifikačním systémem v relevantní oblasti a která zároveň umožňují do určité míry mezinárodní uznávání certifikátů, dopadala pouze na certifikaci ICT produktů (např. Smart TV) [8].
Akt o kybernetické bezpečnosti vstoupil v účinnost z velké části v červnu roku 2019. Pro část týkající se certifikačního rámce ovšem stále běží „implementační“ lhůta, která vyprší teprve v roce 2021, kdy bude rámec plně spuštěn. Členské státy mají nyní čas na přípravu odpovídajících certifikačních kapacit (o což se snaží i Česká republika). To je obzvlášť důležité pro ty státy, které dosud neměly s certifikací kyberbezpečnosti zkušenosti.
Je nutné zdůraznit, že dle Aktu ani jiné evropské či české legislativy momentálně neexistuje povinnost certifikovat. Certifikátem prodejce získá toliko tržní výhodu. Povinnost může stanovit pouze právo národní6 nebo unijní. Komise si pro tento postup nechala možnost vyhodnotit účinky certifikace na unijní trh (společně s účinky kyberbezpečnostních incidentů na stav EU jako celku) a dle výsledků tohoto posouzení pak stanovit certifikaci určitých technologií jako povinnou [6]. Přestože se původně zdálo, že bude tento postup využíván spíše vzácně, po účasti na konferenci „Standardisation and the Cybersecurity Act – What’s Up?“, kterou uspořádala ENISA dne 3. února 2020 v Bruselu, jsme nabyli dojmu, že Komise plánuje tento institut používat daleko aktivněji, a o certifikaci tak zdaleka nebude jen tržně motivovaný zájem.
Kdo bude mít certifikaci na starost?
Nejdůležitější role při správě nového certifikačního rámce zastávají ENISA a Komise. ENISA byla pověřena přípravou jednotlivých certifikačních schémat (systémů, jak bylo slovo „scheme“ oficiálně přeloženo). Certifikační rámec je možné vnímat jako obecný základ, který přípravu takových schémat umožňuje a který specifikuje, jaké náležitosti mají schémata mít. Až podle konkrétních schémat bude probíhat samotná certifikace. Zatím není úplně zřejmé, jak budou schémata přesně vypadat. Schémata, která jsou nyní v přípravě, budou obecnějším aktem zastřešujícím určitou technologii (např. Cloud Computing) a teprve v přílohách budou stanovené detailní požadavky pro konkrétní technologie. ENISA však u schémat připravuje pouze návrh, samotné schéma schvaluje Komise formou implementačního aktu [6]. První připravované schéma se týká integrace a převzetí systémů SOG-IS a Common Criteria. Jeho návrh by měl být hotový dle momentálních odhadů v červnu letošního roku, kdy začne schvalovací procedura (dle očekávání by schéma mělo být do roka hotové). Druhé schéma se bude pravděpodobně soustředit právě na cloudové služby, přičemž zatím není jasné přesnější rozpětí tohoto schématu. ENISA a Komise však nejsou na tento úkol samy a ani „nestaví na zelené louce“. Kromě převzetí systémů SOG-IG a Common Criteria, které do rámce „vlijí“ množství již osvědčených postupů a praktik (a pravděpodobně i podschémat, ale toto je jen odhad autora), budou na tvorbě schémat spolupracovat se standardizačními organizacemi (CENELEC, ETSI ad.). Navíc budou návrhy schémat konzultovány i s širokou veřejností a zástupci zúčastněných stran. První schéma bude již zanedlouho zpřístupněno k veřejné debatě [2].
Koordinace postupů a priorit byla na výše zmíněné konferenci častokrát opakována a k jejímu dosažení pomůže i příprava pracovního programu certifikačního rámce, jehož příprava byla svěřena Komisi. V tomto programu budou stanoveny priority, strategie a cíle certifikačního rámce a zároveň časový plán (či spíše odhad), kdy budou jednotlivá schémata připravována a spouštěna. Tento program má vést ke sjednocení certifikačních a standardizačních aktivit na poli EU a k větší proinformovanosti zúčastněných stran ohledně připravovaných schémat. Schémata ovšem mohou být připravována ve výjimečných případech i mimo program (počítám, že těsně po spuštění rámce těchto případů nebude málo), a je tedy žádoucí program opakovaně kontrolovat [6].
Na vnitrostátní úrovni jsou nejdůležitější dva orgány – vnitrostátní orgán certifikace kybernetické bezpečnosti (NCCA) a subjekty posuzování shody (CAB). CAB je certifikační autoritou a společně s testovacími laboratořemi budou provádět samotný certifikační proces. Oproti tomu NCCA jsou orgány dozoru, které dohlížejí na správné a odpovědné provádění certifikačního procesu (jinými slovy kontrolují CAB) a v některých situacích mohou fungovat též jako specializovanější CAB [6].
CAB jsou základním kamenem celého systému. Je tím pádem důležité, aby úroveň certifikačního procesu byla v celé EU jednotná a kvalitní. Z toho důvodu Akt obsahuje nemalé množství vcelku náročných podmínek směřujících právě na provoz CAB. Tyto podmínky jsou natolik náročné (finančně i odborně), že ne všechny státy musejí nutně mít vlastní CAB. Subjekty z členských států samozřejmě budou moci certifikovat u jakéhokoli CAB, přítomnost CAB na území státu však přitahuje pozornost relevantních subjektů a investičních příležitostí z okolí a je i pohodlnější pro lokální subjekty [8]. V České republice momentálně probíhá projekt spuštění CAB jako akademického spin-off. CAB nebudou pravděpodobně schopny univerzálního testování podle podmínek libovolného schématu. Vybavení testovacích laboratoří, nad kterými musí mít CAB kontrolu, je finančně nesmírně náročné a schémata budou natolik rozličná, že přizpůsobení testování určitému schématu bude nezbytně vyžadovat i modifikaci vybavení testovacích laboratoří. Proto si CAB budou vybírat, podle kterých schémat budou certifikaci nabízet (certifikační proces bude samozřejmě komerční).
Certifikační proces aneb co s tím?
Prvním krokem pro zájemce o certifikaci je zjištění informací o existenci a obsahu schématu relevantního pro danou technologii. Pro tyto účely bude ENISA provozovat internetové stránky obsahující informace o schématech, certifikátech a měly by pomoci i s nalezením CAB schopného certifikaci provést [6].
Certifikační schémata budou umožňovat certifikaci v alespoň jedné ze tří úrovní záruky za bezpečnost (základní, významné a vysoké). Úrovně záruky definují, jak náročné je testování, kterým musí bezpečnostní technologie projít (včetně použitých metod a důkladnosti testů) a jaké úrovni útoků by technologie čistě teoreticky měla odolat (např. schopnost odolat útoku útočníka na úrovni script-kiddie s omezenými zdroji a znalostmi). Pokud dané schéma nabízí více než jednu úroveň záruky, výběr je na samotném žadateli o certifikaci [6]. Výběru by ale mělo předcházet vyhodnocení rizik, kterým může technologie reálně čelit. Žadatel o certifikaci poté kontaktuje příslušné CAB, které testování provede a případně udělí certifikát platný v celé EU.
U držitele certifikátu se presumuje, že je v souladu s bezpečnostními požadavky daného schématu. Členské státy mohou stanovit, že získání certifikátu podle určitého schématu bude podmínkou presumpce souladu prodejce s určitými normami vnitrostátního práva (tato možnost bude pravděpodobně vcelku hojně využívána, neboť se jedná o skvělý nástroj odstranění dvojí administrativní zátěže).
Pokud po udělení certifikátu zjistí výrobce či vývojář novou zranitelnost produktu, která by mohla mít negativní vliv na bezpečnostní záruku poskytovanou certifikátem, je povinen neprodleně informovat subjekt posuzování shody, který bude řídit další postup (v případě zásadní zranitelnosti může dojít až k recertifikaci) [5]. Velká nejistota panuje ohledně bezpečnostních aktualizací. Není jisté, jestli by každá bezpečnostní aktualizace měla vést ke kompletní recertifikaci, částečné recertifikaci, určitému druhu dodatečného posouzení či neměla mít vůbec vliv na platnost uděleného certifikátu. Není ani jisté, jak by případně vypadala procedura odejmutí certifikátu v případě vady nalezené při procesu tzv. peer review mezi NCCA. Stejně tak nebyla vyřešena otázka maximální délky certifikačního procesu, což je jedna z největších slabin systému Common Criteria. Téměř neupravenou zůstala i odpovědnost států za certifikaci (oproti systému eIDAS, kde je tato materie upravena) [8]. Tyto aspekty budou snad dotvořeny v rámci jednotlivých schémat, jinak se jedná o velikou slabinu Aktu.
Pokud žadatelé nebudou souhlasit s rozhodnutím CAB (případně NCCA), mají právo podat proti němu stížnost, o níž rozhoduje stejný orgán, který je vydal. Nesouhlasí-li ani s tímto, jsou oprávněni hledat nápravu soudní cestou, a to u soudů členského státu, ve kterém sídlí daný certifikační orgán [6].
Vlastní posouzení
Akt upravuje i zvláštní režim certifikace, kterým je vlastní posouzení. Jak již název napovídá, místo nezávislého subjektu provádějícího certifikaci zde v roli posuzovatele vystupuje prodejce/výrobce sám. Ten musí provést všechny kontroly toho, jestli technologie skutečně vyhovuje požadavkům schématu, a je za odpovědné provedení této kontroly odpovědný. Vlastní posouzení je umožněno pouze pro základní úroveň záruky, a tak by kontroly měly být plně v kapacitách hodnotitelů samotných. Pokud dojdou k názoru, že technologie splňuje všechny podmínky, může vydat tzv. EU prohlášení o shodě, které informuje kupce stejně jako certifikát. Jakmile toto prohlášení vydá, přejímá plnou odpovědnost za soulad produktu se schématem [6]. To je jedna ze slabin vlastního posouzení. U certifikace je možné, že v případě škody způsobené certifikovanou technologií došlo k pochybení v procesu certifikace ze strany CAB, a náhrada škody by tak mohla být směřována tímto směrem. V případě vlastního posouzení je však hodnotitel sám plně odpovědný [8].
Vlastní posouzení musí být povoleno schématem samotným. To může povolit jak certifikaci, tak i vlastní posouzení, musí však stanovit, jak od sebe různě posouzené technologie odlišit (z pohledu spotřebitele) [6]. Jak je patrné, model vlastního posouzení bude preferovaný pro potřeby obyčejného trhu, neboť se jedná o proces rychlejší a levnější. Místo certifikace je u vyšších úrovní záruky.
Vztah k dalším legislativním aktům
Certifikace podle Aktu o kybernetické bezpečnosti se úzce pojí ke směrnici NIS a nařízení GDPR. Certifikace má pomoci s implementací cílů směrnice NIS, která de facto sloužila k vytvoření kyberbezpečnostních kapacit členských států, certifikace může tyto schopnosti dostat až ke spotřebitelům. Má sloužit jako cesta k zabezpečení systémů, které směrnice NIS označila jako podstatné. Certifikace podle Aktu je vytvořená jako obecná kyberbezpečnostní certifikace, nijak by se tedy neměla dotknout zvláštních certifikačních pravidel dle GDPR [8].
Závěr
Nový certifikační rámec přináší mnohé změny a velký potenciál pro ty, kteří těchto změn dokážou využít. Pokud se České republice podaří vytvořit vlastní CAB a implementovat kyberbezpečnostní certifikaci do svého právního prostředí (společně s osvětou spotřebitelů), povede to nejen ke zvýšení kyberbezpečnosti, ale také ke zvýšení konkurenceschopnosti českého průmyslu, přilákání investičních příležitostí a zájemců o certifikaci z okolních států, možnosti přípravy národních certifikačních schémat, možnosti podniků posuzovat bezpečnost dodavatelů a dodavatelských řetězců, možnosti nastavení podmínek pro dodávky pro veřejný sektor a mnoho dalších.
Poznámky pod čarou:
- Tento článek vznikl za podpory projektu „Centrum excelence pro kyberkriminalitu, kyberbezpečnost a ochranu kritických informačních infrastruktur“ reg. č.: CZ.02.1.01/0.0/0.0/16_019/0000822 financovaného z EFRR.
- K této problematice více viz [4].
- Tedy taková, aby nepreferovala jednu technologii či technické řešení. Takový přístup by totiž mohl být diskriminační a vedl by k brzké obsolenci takové legislativy vzhledem k rychlému rozvoji nových technických řešení. K tomuto tématu více viz [3].
- Např. v České republice dosud obecná kyberbezpečnostní certifikace technologií (pozor, do této kategorie nespadá známá rodina standardů ISO 27K) vůbec neexistovala, zákony s ní nijak nepočítají a povinné subjekty ZoKB jsou ponechány ve značné nejistotě ohledně naplnění svých povinností.
- To je způsobené hlavně velkou proměnlivostí služeb a rychlostí vývoje ve světě ICT.
- V České republice může dojít k propojení se zákonem o kybernetické bezpečnosti a bude možné nakázat užití certifikovaných technologií, případně stanovit jejich použití jako podmínku účasti v soutěži o veřejnou zakázku.
Václav Stupka, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Jakub Vostoupal, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Použité zdroje:
[ 1 ] DROGKARIS, Prokopios. Considerations on ICT Security Certification in EU – Survey Report. 2017. European Union Agency for Network and Information Security. Získáno z https://www.enisa.europa.eu/publications/certification_survey/at_download/fullReport.
[ 2 ] Konference „Standardisation and the Cybersecurity Act – What's Up?“ ze dne 3. února 2020, Brusel, Belgie.
[ 3 ] POLČÁK, Radim, Jakub HARAŠTA a Václav STUPKA. Právní problémy kybernetické bezpečnosti. Brno: Masarykova univerzita, 2016. ISBN 978-80-210-8426-1.
[ 4 ] POLČÁK, Radim, František KASL, Pavel LOUTOCKÝ, Jakub MÍŠEK a Václav STUPKA. Virtualizace právních vztahů a nové regulatorní metody v pozitivním právu. Právník, AV ČR, Ústav státu a práva, 2019, roč. 2019, č. 1, s. 86–98. ISSN 0231-6625.
[ 5 ] MITRAKAS, Andreas. The emerging EU framework on cybersecurity certification. Datenschutz und Datensicherheit. 2018, roč. 42, č. 7, s. 411–414 [vid. 11. září 2018]. ISSN 16140702.
[ 6 ] Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013.
[ 7 ] STUPKA, Václav. Kybernetická bezpečnost v České republice [online]. Brno, 2018. Disertační práce. Masarykova univerzita, Právnická fakulta. Dostupné z: https://is.muni.cz/th/d5zot/.
[ 8 ] VOSTOUPAL, Jakub. Certifikace kyberbezpečnostních technologií. Revue pro právo a technologie. [Online]. 2019, č. 20, s. 147–268. Dostupné z: https://journals.muni.cz/revue/article/view/12570
[ 9 ] LAMSER, Adam. Rozhovor s Udo Helmbrechtem, ředitelem ENISA. Data Security Management, TATE International, 2019, roč. 24, č. 1, s. 8–11.