Daniel Bagge Národní centrum kybernetické bezpečnosti o Byl zřízen 1. srpna 1998 na základě zákona č. 148/1998 Sb., O ochraně utajovaných skutečností o Rozhoduje o vydání osvědčení fyzické osoby/podnikatele a o vydání dokladu o bezpečnostní způsobilosti fyzické osoby a o zrušení platnosti osvědčení fyzické osoby/podnikatele a dokladu o Má v kompetenci ochranu utajovaných informací o Provádí certifikace technických prostředků, informačních systémů, kryptografických zařízení, sítí, apod. o Je zodpovědný za kryptografickou ochranu utajovaných informací (vyvíjí a schvaluje národních šifrové algoritmy a vytváří národní politiku kryptografické ochrany, atd.) 2 o Dříve v gesci MV o NBÚ / NCKB – civilní, nevojenská agentura o 19. října 2011 NBÚ ustaven Vládou ČR jako gestor kybernetické bezpečnosti a národní autorita v této oblasti o Spolu s tím byla přijata Strategie pro kybernetickou oblast ČR 2012 – 2015 a Akční plán o a také byla ustavena Rada kybernetické bezpečnosti 3 1. Přijetí Zákona o kybernetické bezpečnosti 2. Vybudování Národního centra kybernetické bezpečnosti a GovCERT.CZ (součástí NCKB) 3. NSKB 2012 – 2015 (všechny hlavní cíle realizovány či průběžně plněny) 4. Přijetí nové NSKB 2015 – 2020 a Akčního plánu 4 o Bezpečnostní strategie ČR (aktualizace 2015) o Národní strategie kybernetické bezpečnosti ČR pro období let od 2015 až 2020 o Akční plán k Národní strategii kybernetické bezpečnosti ČR pro období let od 2015 až 2020 o Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů o Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) o Vyhláška o stanovení významných informačních systémů a jejich určujících kritériích 6 8 VládaČR Bezpečnostní rada státu Rada kybernetické bezpečnosti Národní bezpečnostní úřad NCKB Vládní CERT (GovCERT.CZ) OTPVV Národní CERT (CSIRT.CZ) Ministerstvo vnitra ÚZSI Policie ČR ÚSKPV / oik Ministerstvo obrany VZ Vojenský CERT (CIRC Centre) BIS memorandum o BEZPEČNOST – široké spektrum bezpečnostních oblastí, zahrnuje všechny preventivní a reaktivní aktivity státu v oblasti ochrany dat, informací, systémů, služeb a sítí ve smyslu neustálého navyšování integrity, odolnosti a robustnosti státní informační infrastruktury o OBRANA – ochrana státu výhradně proti pokročilým, závažným, nepřátelským kybernetickým útokům. Mezi kybernetickou bezpečností a obranou rozlišujeme v závislosti na: 1.povaze hrozby 2.a typu kybernetického útoku a jeho cíli o KRIMINALITA – trestná činnost, pro kterou je určující vztah k software, k datům, respektive uloženým informacím, respektive veškeré aktivity, které vedou k neautorizovanému čtení, nakládání, vymazání, zneužití, změně nebo jiné interpretaci dat 9 o 16. února 2015 schválena Vládou ČR o Srovnání s NSKB 2012 – 2015: kvalitativní posun od budování základních kapacit směrem k hlubšímu a pokročilému zajišťování kybernetické bezpečnosti o Cílena především na veřejný sektor a kritickou informační infrastrukturu (KII) 11 o Chránit národní KII a VIS o Aktivně spolupracovat se zahraničními partnery o Bojovat efektivněji s informační kriminalitou o Vybudovat a posilovat národní schopnosti v kybernetické obraně o Zajistit bezpečný kyberprostor stimulující českou ekonomiku o Zvyšovat osvětu a digitální gramotnost české společnosti a podporovat vzdělávání 12 1. Vize 2. Principy 3. Výzvy 4. Hlavní cíle 13 o Dlouhodobé vize a priority ČR v oblasti kybernetické bezpečnosti o Aktivně pomáhat svým mezinárodním partnerům, plnit závazky vyplývající z členství v mezinárodních organizacích, kolektivní obrany Severoatlantické aliance o Podporovat spolupráci a dialog zemí středoevropského regionu skrze mezinárodní organizace, jejichž je členem o Hladce fungující informační společnost o Patřit mezi přední státy se silnou expertízou a znalostmi na zabezpečení industriálních systémů o … 14 o Základní principy, které stát následuje při zajišťování kybernetické bezpečnosti v ČR o Ochrana základních lidských práv a svobod a principů demokratického právního státu o Komplexní přístup ke kybernetické bezpečnosti založený na principu subsidiarity a spolupráce o Budování důvěry a spolupráce mezi veřejným a soukromým sektorem a občanskou společností o Rozvoj kapacit k zajišťování kybernetické bezpečnosti 15 1. Česká republika jako možný testovací objekt 2. Nedostatečná důvěra veřejnosti ve stat 3. Vzrůstající počet uživatelů internetu, informačních a komunikačních technologií a narůstající kritičnost jejich selhání 4. Se vzrůstajícím počtem uživatelů mobilních platforem stoupá i množství mobilního malware 5. Možnosti zneužití zadních vrátek hardware pro exfiltraci informací 6. Koncept „internetu věcí“ 7. Bezpečnostní rizika spjatá s přechodem z protokolu IPv4 na IPv6 8. Bezpečnostní rizika spjatá s elektronizací veřejné správy (eGovernment) 9. Nedostatečné zabezpečení malých a středních podniků 16 10. Big data, skladování dat v nových prostředích 11. Ochrana průmyslových řídicích systémů a informačních systémů ve zdravotnictví 12. Inteligentní energetické sítě 13. Vzrůstající závislost obranných složek státu na informačních a komunikačních technologiích 14. Malware je stále sofistikovanější 15. Botnety a DDoS/DoS útoky 16. Nárůst informační kriminality 17. Hrozby a rizika spjaté s užíváním sociálních sítí na internetu 18. Nízká digitální gramotnost koncových uživatelů 19. Nedostatek odborníků na kybernetickou bezpečnost a nutnost revize stávajících studijních programů ve školství 17 I. Zajištění efektivity a posilování všech struktur, procesů a spolupráce při zajišťování kybernetické bezpečnosti II. Aktivní mezinárodní spolupráce III. Ochrana národní KII a VIS IV. Spolupráce se soukromým sektorem 18 V. Výzkum a vývoj / Spotřebitelská důvěra VI. Podpora vzdělávání, osvěta a rozvoj informační společnosti VII. Podpora rozvoje schopností Policie České republiky vyšetřovat a postihovat informační kriminalitu VIII.Právní úprava pro kybernetickou bezpečnost (vytváření právního rámce). Účast na tvorbě a implementaci evropských a mezinárodních pravidel 19 20 o Vychází z hlavních cílů Strategie o Přijat vládou ČR v květnu 2015 o Obsah: o definuje konkrétní kroky o stanovuje termíny plnění o určuje odpovědné subjekty o 141 úkolů pro 17 subjektů: NBÚ/NCKB, MO, MZV, MV, MPO, MF, MŠMT, MPSV, MS, VZ, BIS, ÚZSI, TAČR, PČR, VP, ÚV ČR a ČTÚ 21 22 o Společná jednání se všemi partnery ohledně implementace Strategie a Akčního plánu, která se konají 2x ročně o Agenda: sledovat, diskutovat a hodnotit úroveň plnění jednotlivých úkolů Akčního plánu o Každý rok – informace Vládě ČR ohledně stavu implementace Strategie a Akčního plánu formou přílohy ke Zprávě o stavu kybernetické bezpečnosti ČR 23 24 Commentingphase Draftingphase Approvalphase Initiationphase Content analysis of NCSSs in the Europe Studying guidelines (ENISA, NATO, national level) Evaluation of the previous NCSS Considering the structure Taking a stock of existing policies, legal/strategic documents Identyfing stakeholders Setting vision, scope and priorities Engaging stakeholders Applying guidelines, analysis and other conlusions Drafting NCSS draft Compliance check Informal (internal and external) comments NCSS proposal Interministerial (official) commenting procedure + settlement National Security Council approval Government approval NEW NCSS 25 Initiation phase • Q4 2013 – Q1 2014 Drafting phase • Q2 2014: DRAFT Commenting phase • Q2 2014: Internal and external (informal) comments • AUG 14: Interministerial commenting procedure • SEP 14: Comment settlement Approval phase • 22 DEC 14: National Security Council approval • 16 FEB 15: Government approval Execution of the Strategy 26 27 o GovCERT.CZ – vládní CERT (Computer Emergency Response Team) o Chrání kritické prvky národní infrastruktury o Působnost: Veřejná správa a kritická informační infrastruktura o Slouží v ČR jako hlavní kontaktní bod v oblasti kybernetické bezpečnosti a ve spolupráci s Národním CERT (CSIRT.CZ, spravován CZ.NIC – nekritická, soukromá sféra) zajišťuje na top úrovni kybernetickou bezpečnost ČR 28 o Počet zaměstnanců: 12 o Členění týmu: o reaktivní oddělení o oddělení vyhledávání o analytické oddělení o Základní služby: o proaktivní: koordinační činnost v rámci komunity a informační HUB, schopnosti detekce anomálií o reaktivní: reakce na incidenty, zpracování artefaktů 29 o Pomoc s technickým řešením incidentu (incident handling); navázání komunikace s jiným subjektem; o ICS/SCADA (SCADA laboratoř); o Open Source Intelligence (OSINT); o Klientské honeypoty; o Síťová bezpečnost a analýza síťového provozu; o Penetrační testování; o Forenzní analýza; o Analýza malwaru a reverzní inženýrství; * Bližší seznámení s činností GovCERT.CZ: 27.10.2015 30 31 o Počet zaměstnanců: 11 o Připravuje dlouhodobou strategii a poskytuje analýzu, výzkum, expertízu, včetně věcných i právních doporučení k zajištění, aby NCKB, potažmo ČR plnila všechny stanovené cíle v oblasti zajišťování kybernetické bezpečnosti, a to co nejefektivnějším způsobem o Kontinuálně analyzuje strategické dopady, hrozby a výzvy vycházející z kybernetické bezpečnostního prostředí o Zajišťuje efektivní koordinaci a harmonizaci kybernetických bezpečnostních politik napříč veřejnou sférou a dalšími soukromoprávními subjekty povinnými dle Zákona. 32 o EU – kybernetická diplomacie, NIS směrnice, atd. o ENISA – členství v ENISA Management Board, zástupce v expertní skupině na národní strategie kybernetické bezpečnosti o OSCE – opatření pro zvyšování důvěry mezi státy v kyberprostoru 33 o CECSP – Středoevropské platformy pro kybernetickou bezpečnost, založilo NBÚ o NATO – kontaktní bod pro kybernetickou obranu o Příprava nového memoranda ohledně spolupráce v kybernetické obraně o Zastupování ČR v Cyber Defence Committee o CCDCOE – 1 stálý zástupce v Tallinnu, Estonsko 34 o Určování KII (ve 3 vlnách) – současný stav: 1. vlna – kritické informační/komunikační systémy státní správy – ústřední správní úřady určené jako kritické pro zajištění základních služeb státu – identifikováno 45 informačních/komunikačních systémů splňující kritéria stanovená pro KII, které spravuje 14 subjektů státní správy – DOKONČENO 2. vlna – zbývající část státní správy – PROBÍHÁ 3. vlna – kritická informační infrastruktura v soukromém sektoru – vydána první opatření obecné povahy (OPP) = 17 prvků KII u 10 subjektů (datum nabytí účinnosti zítra, tj. 9.října 2015) a další OOP se připravují 35 o Určování VIS: o Jedná se pouze o systémy orgánů veřejné moci o Naplnění kritérií posuzuje sám správce informačního systémů – Kritéria pro významné informační systémy jsou stanovena vyhláškou o významných informačních systémech, která zároveň uvádí jejich výčet o Současný stav: o v příloze vyhlášky 92 VIS provozováno 35 veřejnými subjekty (oficiální počet) o Do KII však přeřazeno 22 systémů a 19 nově identifikovaných = NBÚ momentálně eviduje 89 VIS (nejde o konečný počet) o Předpokládána aktualizace seznamu VIS 36 o Národní strategie kybernetické bezpečnosti a Akční plán o Každoroční zpracovávání Zprávy o stavu kybernetické bezpečnosti ČR o Zpracovávání analýz / komentářů a podpora ostatním subjektům v otázkách kybernetické bezpečnosti 37 o Prezentování aktivit NCKB na národní i mezinárodní úrovni (konference, semináře, videokonference) 38 o Publikační činnost: – PAČKA, R. (2015): The Real Dawn of the Age of Cyber Warfare. In Diplomatic Courier. – PAČKA, R. (2015): Difference Between Cyber Security and Cyber Defence from a Czech Perspective. In Cyber Security Review. – BAGGE, D. (2014): Regional cyber security: The case of the Czech Republic. In Journal of European Security and Defense Studies. – PAČKA, R. – ULMANOVÁ, M. (2014): CECSP: Towards Effective Collaboration on Cyber Security in Central Europe. In Cyber Security Review. – BAGGE, D. (2014): Global nature of cyber security threat: Czech perspective, cooperation with industry, academia and international stakeholders. In Cyber Security Review. – Etc. o Poskytování pracovních stáží vysokoškolským studentům o Podpora aktivit GovCERT.CZ (právní a věcná podpora GovCERT.CZ při incident/event handlingu) 39 o Implementace Národní strategie kybernetické bezpečnosti a Akčního plánu → prohloubení a rozšíření stávající agendy o Hlubší kooperace s KII a VIS subjekty o Osvětová činnost / vzdělávací programy o Výzkum a vývoj o Hlubší spolupráce s Policií ČR v oblasti informační kriminality o Úzká spolupráce se zpravodajskými službami a Armádou ČR / spolupráce v rámci kybernetické obrany ČR o Atd. 40 41 Daniel Bagge d.bagge@nbu.cz www.nbu.cz www.govcert.cz