První rok Aktu o kybernetické bezpečnosti aneb co je nového?

Od prosince roku 2019 jsme svědky zvyšujícího se počtu bezprecedentních projevů hyenismu (čtěte kyberútoků) proti nemocnicím, které mohou mít zvláště při probíhající pandemii velice závažné následky. Užívání certifikovaných produktů, služeb a procesů může mnohým těmto útokům (nejen proti nemocnicím) předejít. Jak tedy vypadá certifikační aparát Unie necelý rok před spuštěním? A jakou roli v něm bude hrát Česká republika?1
kybernetická bezpečnost certifikace Akt o kybernetické bezpečnosti compliance standardizace certifikační schémata Common Criteria
Datum 27. června 2019 je pro boj za zlepšení kyberbezpečnosti v Unii významným dnem. Jak jste se mohli dozvědět v červnovém čísle DSM [2], tento den vstoupil v platnost tzv. Akt o kybernetické bezpečnosti, nařízení EU, které vlévá do žil ENISA (Evropská agentura pro kybernetickou bezpečnost) permanentní mandát a zavádí revoluční certifikační rámec pro kyberbezpečnost produktů, služeb a procesů. Jednotná certifikační procedura s certifikáty uznatelnými napříč celou Unií je jedním ze základních kamenů jednotného digitálního trhu. Kromě odstranění značné fragmentace tohoto segmentu vnitřního trhu Unie pak Akt představuje i další způsob, jak významně přispět k posílení kyberbezpečnosti, a to nejen pro veřejný sektor, ale také pro spotřebitele. [3, 4]
Nařízení, přestože již z velké části účinné, zatím tento systém nespustilo. Certifikace je velice náročnou procedurou, a to zejména na kapacity schopné ji provádět. Mnohé členské státy, Českou republiku nevyjímaje, navíc dosud žádnou proceduru obecné certifikace kyberbezpečnosti produktů, služeb a procesů nijak legislativně neupravovaly a nevyžadovaly. Existovala jen určitá komerční schémata bez veřejnoprávního uznání. Subjekty, na které dopadají compliance povinnosti (např. podle zákona o kybernetické bezpečnosti) by sice o certifikaci měly pochopitelně zájem, ale kvůli zmíněnému státnímu neuznání a fragmentaci unijního trhu (tedy nemožnosti přeshraničního uznávání certifikátů) tento zájem neodůvodňoval investice, které by jinak byly k vytvoření kapacit a ke spuštění národního certifikačního systému (mj. i kvůli relativně malé známosti compliance procedur v ČR)2 potřeba, tak jako např. ve Francii. [4]
Právě Francie, Německo a další státy3 představují přesný opak. Pokud bychom o České republice mluvili jako o „certifikačním nováčkovi“, tyto státy bychom mohli označit za „certifikační matadory“. Mají totiž vyvinuté národní certifikační systémy, které byly převážně vytvořeny kvůli nedostatkům systému Common Criteria4 (např. potřebě nízkoúrovňového bezpečnostního standardu pro obyčejné uživatele, u kterého by proces nezabral polovinu uherského roku). [4]
Ať už prostřednictvím vlastních certifikačních systémů, nebo účastí v systému Common Criteria (pod dohodou Common Criteria Recognition Agreement či přímo SOGIS-MRA), „certifikační matadoři“ si vytvořili relevantní certifikační kapacity i tolik potřebné know-how, které je nyní využitelné i pro certifikační systém Aktu (i když určitá adaptace bude nutná, celkové náklady jsou nesrovnatelné v porovnání s „certifikačními nováčky“). Protože tyto rozdíly jsou vskutku značné, je nutné (a fér), aby certifikační rámec nebyl spuštěn bez šance, že si všechny členské státy vytvoří své vlastní relevantní kapacity, pokud o to budou mít zájem. V opačném případě by si totiž unijní trh pravděpodobně rozdělili „certifikační matadoři“, což by odporovalo základním myšlenkám Unie. [4]
Trpělivost „matadorů“ má však své meze a „adaptační“ lhůta vyprší dva roky po vstupu Aktu v platnost. Již více než rok tedy běží nesnadný závod, do kterého se zapojila i Česká republika. Ta má v certifikační oblasti velice vysoké ambice, neboť zapojení ČR do certifikačních mechanismů může vést ke značné tržní výhodě a k výraznému posílení českého technologického průmyslu.
Příprava certifikačních systémů
„Adaptační“ fáze není zamýšlena pouze pro členské státy, slouží také k přípravě samotného certifikačního systému a relevantních procedur. Akt o kybernetické bezpečnosti totiž obsahuje jenom základní pravidla, toliko rámec, do kterého budou přidávána jednotlivá certifikační schémata (česká verze Aktu mluví o „certification schemes“ jako o „certifikačních systémech“).
Prvním z klíčových dokumentů, na který se nyní upírají oči celé Unie, je Průběžný pracovní program Unie pro evropskou certifikaci kybernetické bezpečnosti (dále jen „Program“).5 Dle Aktu měla Komise tento Program přijmout do 28. června 2020, ale problémy způsobené vážnou epidemiologickou situací tento plán narušily. Návrh Programu je tak v současné době projednáván na úrovni poradních sborů Evropské komise a agentury ENISA.
Tento dokument bude předzvěstí podoby celého systému a relevantního trhu. Bude zároveň obsahovat chystaná certifikační schémata a oblasti, které Komise považuje za důležité (je tedy důvodné očekávat, že z těchto oblastí vzejdou další certifikační schémata). Program bude obsahovat přibližný časový rámec, ve kterém je možné nová schémata očekávat. Je tedy svým způsobem kotvou právní jistoty celého Aktu, a to i navzdory tomu, že se jedná o právně nezávazný dokument. Zahrnutí schématu v Programu je totiž nutným předpokladem pro řádné spuštění přípravy daného schématu.6
Právě časový rámec je tím, co je na Programu pro mnohé zúčastněné strany nejcennější. Jedná se o určitou možnost připravit se na to, co přijde. Taková možnost není cenná pouze pro zájemce o certifikaci, kteří se musejí připravit na absolvování nesnadné procedury, ale také pro certifikační tělesa, tedy CAB (Conformity Assessment Body), která danou proceduru zajišťují. Nová schémata totiž mohou obsahovat specifické požadavky na kapacity i nastavení procedur, které s sebou mohou nést povinnost dodatečné akreditace. Když se tedy CAB rozhodne k danému schématu přistoupit a poskytovat dle něj své služby [2], čas na přípravu vlastních kapacit a laboratoří bude velice důležitý pro zachování rovného unijního trhu.
Zmíněný nástin oblastí zájmu Komise představuje dlouhodobý plán, podle kterého bude Komise koordinovat Akt s aktivitami standardizačních těles jako CEN a CENELEC, neboť právě ze standardů bude certifikační rámec intenzivně čerpat, alespoň v počátcích své existence, a je tak potřeba, aby „pravá ruka věděla, co dělá levá“. Navíc jedna ze strategických priorit Aktu zdůrazňuje, aby nedocházelo ke zbytečnému znovuvytváření schémat, ale naopak se přejímala funkční schémata z jiných systémů a certifikační aktivity se doplňovaly se standardizačními. To je pro zúčastněné strany určitou útěchou, neboť nedojde ke zborcení jejich know-how, pokud jsou již zvyklé pracovat např. právě se standardy. [13]
Jaká schémata z jakých oblastí můžeme čekat?
5G sítě jsou dalším logickým krokem postupující digitalizace společnosti a jsou nutným předpokladem pro např. efektivní nástup IoT. Představují ale také extrémní zvýšení závislosti společnosti na ICT, a tím pádem i analogické zvýšení rizik. Komise si je vědoma důležitosti zabezpečení 5G sítí [8, 9] a nijak se netají, že 5G sítě budou jednou z priorit certifikačního rámce za podpory standardizačních aktivit, a to v generické podobě pravděpodobně již na pozici 3. nebo 4. schématu. [13]
Budoucí certifikační schémata budou obecně trojího typu – generická, zaměřená na konkrétní technologie nebo na konkrétní sektory. Generická mohou napříč ICT produkty, službami a procesy posuzovat kyberbezpečnostní hledisko ICT produktů obecně, kryptografických nástrojů, procesů uplatňovaných při vývoji či systémů řízení bezpečnosti informací (ISMS – Information Security Management System). Technologicky orientovaná certifikační schémata se pak očekávají pro oblasti 5G, internetu věcí, umělé inteligence, blockchainu, cloudových služeb, služeb SOC (Security Operations Center) a CSIRT (reakce na bezpečnostní incidenty) či NESAS (Network Equipment Security Assurance Scheme). Sektorově specifická schémata by měla pokrývat řídicí systémy průmyslové automatizace, energetické, zdravotnické či dopravní systémy nebo bezpečnost autonomních vozidel. [13]
Specifickou oblast zájmu představuje LES (Lightweight Evaluation Scheme). Jedná se o schéma, které by umožňovalo certifikaci ICT produktů na základní (nejnižší) úrovni, zejména pak metodou vlastního posuzování. K obdobným schématům přistoupily některé členské státy (např. Francie) poté, co Common Criteria nebyla schopna naplnit tuto základní potřebu a jevila se jako příliš náročná pro potřeby řadových zákazníků a spotřebitelů. LES by navíc byl podstatně méně náročný na kapacity, čas i prostředky, certifikace dle něj by tak byla pro obecný trh Unie daleko dostupnější, zvláště pro malé a střední podniky, což by zároveň vedlo k posílení kyberbezpečnosti. V současné době na přípravě standardu s velice podobným zaměřením pracuje JTC13 (spolupráce CEN-CENELEC) a je možné, že dojde k určité koordinaci či adopci [13].
Komise také zaznamenala zvýšený zájem trhu o certifikaci kyberbezpečnosti dodavatelského řetězce, což je oblast, na které pracuje i český NÚKIB. Tato oblast se stává o to důležitější, čím je na subjekty na konci daného řetězce vyvíjen větší regulatorní tlak v podobě compliance povinností (tedy např. soulad s požadavky zákona o kybernetické bezpečnosti). Tyto povinné subjekty tak čím dál častěji posuzují kyberbezpečnost svých dodavatelů. Napříč Unií jsou ovšem posuzovací metodiky roztříštěné a posuzování samotné je nepřehledné a zbytečně nákladné, zvláště pak pro malé a střední podniky, kterým na takové posuzování často chybí základní know-how.
Certifikační schémata „ve výrobě“
Již v červenci 2019 Komise poprvé pověřila agenturu ENISA přípravou prvního návrhu certifikačního schématu. Toto schéma má propojit unijní certifikační rámec a SOG-IS MRA („Senior Officials Group Information Systems Security – Mutual Recognition Agreement“), národní schémata, která vznikla pod touto dohodou a pod certifikačním systémem Common Criteria for Information Security Evaluation. Schéma je založeno na právě zmíněném systému a jeho metodologii (Common Methodology for Information Technology Security Evaluation). Podle návrhu EUCC, jak se toto schéma zkracuje, který byl již zveřejněn k veřejným konzultacím [10], by mělo být možné certifikovat jakýkoli ICT produkt, který zahrnuje alespoň jeden bezpečnostní funkční požadavek podle druhé části Common Criteria a snaží se o dosáhnutí certifikace na úrovni významné či vysoké záruky. EUCC, kvůli povaze přejímaných Common Criteria a pravděpodobně i z důvodů potenciální možnosti uznávání certifikátů s dalšími zeměmi CCRA, cílí právě na vyšší úrovně záruky a základní úroveň ani metodu vlastního posuzování neumožňuje. To znamená, že certifikace produktů pod EUCC spíše nebude určená pro produkty řadových spotřebitelů. Pro nízkorizikovou úroveň certifikace bude sloužit výše zmíněný LES.
EUCC umožňuje Unii přijmout do zatím prázdného rámce funkční aspekty systému CC, např. profily ochrany, metodiku, ale zároveň umožňuje zasáhnout do chyb, kterými je tento systém stižen (např. patch management). Stejně tak dopadá i na fragmentaci trhu způsobenou členstvím pouze některých členských států v SOG-IS a s tím spojeným neuznáváním certifikátů. Navíc je z návrhu EUCC patrné, že některé slabiny, které byly vytýkány Aktu o kybernetické bezpečnosti, budou řešeny ad hoc v jednotlivých schématech, což může být ve výsledku jednodušší a vhodnější postup. [10]
V listopadu 2019 Komise pověřila agenturu ENISA přípravou druhého certifikačního systému, tentokrát s tematikou cloudových služeb. Tato oblast byla vybrána zejména kvůli vytvoření evropského datového prostoru, tedy zavedení volného pohybu dat, a to jak osobních, tak neosobních, v rámci Unie. Právě zvýšení očekávaného pohybu dat po Evropě a využívání cloudů s sebou přináší i potřebu vyšší bezpečnosti takových služeb, a to zvláště v dnešní nelehké době.7 Schéma zatím nebylo zveřejněno, a není tak možné se k němu podrobněji vyjádřit. [13]
Proces vytváření kapacit
Jak bylo zmíněno výše, Česká republika bude usilovat o aktivnější roli v unijním certifikačním aparátu. Bude to mít však podstatně komplikovanější než evropští „matadoři“, neboť v této oblasti nemá vybudované institucionální zázemí ani potřebné mechanismy.
V současné době je jasné, že NÚKIB stojí v roli národní autority pro kyberbezpečnostní certifikace. Díky tomu se účastní jednání poradní skupiny ECCG8 [11], která spolupracuje na přípravě pracovního programu a jednotlivých certifikačních schémat. NÚKIB rovněž v současné době připravuje novelu zákona o kybernetické bezpečnosti, která bude mimo jiné reagovat na Akt o kybernetické bezpečnosti a přiznávat mu roli národní autority pro kyberbezpečnostní certifikace. Navrhované znění této novely však zatím nebylo zveřejněno. Národní autorita pro kyberbezpečnostní certifikace může navíc vystupovat i jako subjekt posuzování shody (CAB) či připravovat národní certifikační schémata, ani v jednom z těchto směrů se však zatím NÚKIB pravděpodobně nehodlá angažovat.
Dalším klíčovým prvkem certifikačního mechanismu je akreditační orgán, který má za úkol v souladu s požadavky příslušných certifikačních schémat provádět posouzení způsobilosti CAB a akreditovat jej. Tuto roli hraje v ČR Český institut pro akreditaci, o.p.s.. [7]
Poslední složkou celého systému jsou pak CAB, tedy instituce, které budou v mezích své akreditace a v souladu s pravidly příslušných schémat ověřovat, zda jednotlivé produkty, služby a pro7 cesy splňují formulované požadavky. Vzhledem k tomu, že v ČR žádný certifikační systém v oblasti obecné kyberbezpečnosti produktů ani služeb neexistoval, neexistuje ani žádná instituce, která by disponovala technickým a personálním vybavením nutným k provádění ověřování shody. Jelikož by vybudování subjektu posuzování shody „na zelené louce“ bylo velmi nákladné, předpokládá se využití dostupných kapacit v držení akademických institucí a průmyslu. První iniciativu v tomto směru vyvíjí konsorcium vysokých škol sdružených v Národním centru kompetence pro kyberbezpečnost [5], které je mimo jiné rovněž členem poradní skupiny ENISA pro oblast certifikací (Stakeholder Cybersecurity Certification Group [6]). Masarykova univerzita, České vysoké učení technické a Vysoké učení technické v Brně v současné době pracují na založení samostatné právnické osoby, která by se mohla ucházet o akreditaci dle budoucích certifikačních schémat a pro provádění ověřování by využívala know-how a infrastrukturního a personálního vybavení univerzit a dalších partnerů.
Závěr
Budování mechanismů a nástrojů pro provádění evropských certifikací v oblasti kybernetické bezpečnosti je zjevně během na dlouhou trať. Jak je ale patrné z výše uvedeného, v posledním roce bylo vykonáno mnoho, a to i přes omezení vyplývající z aktuální epidemiologické situace.
EU je na prahu přijetí klíčového Průběžného pracovního programu Unie pro evropskou certifikaci kybernetické bezpečnosti, který načrtne budoucí podobu celého systému a trhu s kyberbezpečnostní certifikací a nastíní zaměření budoucích certifikačních schémat. Na spadnutí je rovněž přijetí prvního obecného certifikačního schématu EUCC, které umožní nastartování procesu certifikací na straně jednotlivých členských států.
Intenzivní příprava probíhá i na úrovni jednotlivých členských států včetně ČR, která je v nevýhodném postavení kvůli dosavadní neexistenci relevantních národních certifikačních mechanismů v oblasti kyberbezpečnosti. NÚKIB připravuje novelu zákona o kybernetické bezpečnosti a připravuje se na výkon svojí role národní certifikační autority, ČIA se připravuje na provádění akreditací podle budoucích schémat a pracuje se i na vybudování prvního subjektu ověřování shody v rámci spolupráce českých akademických institucí.
Doufejme, že se nadšení všech zapojených nevytratí. Uplatnění uznávaných certifikací může výrazně přispět k celkové bezpečnosti informačních a komunikačních technologií a zapojení ČR do těchto mechanismů může vést k výraznému posílení českého technologického průmyslu.
Václav Stupka
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. Jakub Vostoupal
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Poznámky pod čarou:
-
Tento čl.nek vznikl za podpory projektu „Centrum excelence pro kyberkriminalitu, kyberbezpečnost a ochranu kritických informačn.ch infrastruktur“, reg. č.: CZ.02.1.01/0.0/0.0/16_019/0000822, financovan.ho z EFRR a specifick.ho výzkumu Masarykovy univerzity, projekt Pr.vo a technologie VIII (MUNI/A/0989/2019).
-
Česká republika je např. mezi státy uznávajícími certifikáty systému Common Criteria pod dohodou CCRA, tedy Common Criteria Recognition Agreement, nemůže však sama takové certifikáty vydávat.
-
Jedná se zejména o Francii, Německo, Španělsko a Nizozemí s Belgií.
-
Jedná se o komplexní certifikační systém, který umožňuje certifikovat kyberbezpečnost produktů a zároveň umožňuje uznávání těchto certifikátů napříč členy dohody CCRA. Systém Common Criteria se po svém založení těšil takové přízni, že text CC byl přijat i Mezinárodní standardizační organizací a implementován do standardu ISO/IEC 15408. Více viz [12].
-
Ke dni 30. 11. 2020 existuje pouze neveřejný návrh Programu, přičemž autoři mají k tomuto návrhu přístup prostřednictvím účasti v Stakeholder Cybersecurity Certification Group.
-
Tento požadavek umožňuje obejít odst. 2 článku 48 Aktu v „řádně odůvodněných případech“. Program je pak ale stejně nutné patřičně aktualizovat.
-
S tímto souvisí i dlouho debatovaná otázka „ukotvení“ dat v cloudech na území EU.
- Pozor, nezaměňovat s SCCG, tedy se skupinou sdružující zúčastněné strany (stakeholders).
Použité zdroje:
[ 1 ] Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013.
[ 2 ] STUPKA, Václav a Jakub VOSTOUPAL. Evropský certifikační rámec kyberbezpečnosti ICT produktů, služeb a procesů. Data Security Management, TATE International, 2020, roč. 24, č. 2, s. 25–29.
[ 3 ] STUPKA, Václav. Kybernetická bezpečnost v České republice [online]. Brno, 2018. Disertační práce. Masarykova univerzita, Právnická fakulta. Dostupné z: https://is.muni.cz/th/d5zot/
[ 4 ] VOSTOUPAL, Jakub. Certifikace kyberbezpečnostních technologií. Revue pro právo a technologie. [Online]. 2019, č. 20, s. 147–268. Dostupné z: https://journals.muni.cz/revue/article/view/12570
[ 5 ] Národní centrum kompetence pro kyberbezpečnost. Masarykova univerzita. Dostupné z: https://nc3.cz/
[ 6 ] Stakeholder Cybersecurity Certification Group. Evropská komise. Dostupné z: https://ec.europa.eu/digital-single-market/en/stakeholder-cybersecurity-certification-group
[ 7 ] O nás – ČIA. Český Institut pro Akreditaci, o. p. s., 2020. Dostupné z: https://www.cai.cz/?page_id=23
[ 8 ] Doporučení Komise (EU) 2019/534 ze dne 26. března 2019 o Kybernetické bezpečnosti 5G sítí.
[ 9 ] Cybersecurity of 5G networks EU Toolbox of risk mitigating measure. Dostupné z: https://ec.europa.eu/digital-single-market/en/news/cybersecurity-5g-networks-eu-toolbox-risk-mitigating-measures
[ 10 ] Cybersecurity Certification: EUCC Candidate Scheme. ENISA. Dostupné z: https://www.enisa.europa.eu/publications/cybersecurity-certification-eucc-candidate-scheme/
[ 11 ] The European Cybersecurity Certification Group. Evropská komise. Dostupné z: https://ec.europa.eu/digital-single-market/en/european-cybersecurity-certification-group
[ 12 ] The Common Criteria. Common Criteria Portal. Dostupné z: https://www.commoncriteriaportal.org/
[ 13 ] Návrh Průběžného pracovního programu Unie pro evropskou certifikaci kybernetické bezpečnosti (neveřejné, pro účely SCCG).