Ministerstva, úřady i firmy vzaly varování NÚKIB vážně. Provedly předepsané analýzy, přijímají opatření ke snížení rizika

Loňské varování NÚKIB před technickými a programovými prostředky společností Huawei Technologies Co., Ltd. (dále jen „Huawei“) a ZTE Corporation (dále jen „ZTE“) a jejich dceřiných společností podle dostupných údajů výrazně změnilo pohled na rizikovost zařízení těchto výrobců, která se vyskytují v systémech spadajících pod zákon o kybernetické bezpečnosti. Správci těchto  systémů přijali nebo plánují přijmout řadu opatření ke snížení těchto nově vzniklých rizik.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) provedl průzkum, jehož cílem bylo zjistit rozsah používání těchto technologií mezi povinnými orgány a osobami spadajícími do působnosti zákona o kybernetické bezpečnosti a vliv varování ze 17. prosince 2018 na změnu hodnoty rizik u těchto technologií podle vyhlášky o kybernetické bezpečnosti.

V rámci průzkumu bylo osloveno celkem 126 organizací spadajících pod zákon o kybernetické bezpečnosti a bylo vyhodnoceno 472 systémů kritické informační infrastruktury (KII), významných informačních systémů (VIS) a informačních systému základních služeb (ISZS). Z celkového počtu 126 oslovených organizací jich 75 uvedlo, že zařízení výše uvedených společností nepoužívá, 49 je používá a dvě ještě nedodaly požadované podklady.

Po vydání varování dne 17. prosince 2018 byly subjekty spadající pod zákon o kybernetické bezpečnosti povinny aktualizovat analýzu rizik a přehodnotit hodnotu rizika u dotčených zařízení. Pokud upravená hodnota rizika nepřesáhla akceptační hranici, pak nebylo nutné zavádět dodatečná bezpečnostní opatření a bylo možné riziko akceptovat. Pokud hodnota rizika přesáhla hranici akceptace, je organizace povinna zavést bezpečnostní opatření a snížit tak hodnotu rizika na akceptovatelnou úroveň.

Technické a programové prostředky výše uvedených společností byly hodnoceny z pohledu rizikovosti na škále nízká, střední, vysoká, kritická.

Poměr zařízení společnosti Huawei, ZTE a jejich dceřiných společností z pohledu rizikovosti před vydáním varování, po jeho vydání a po následném zavedení bezpečnostních opatření udává následující tabulka:

Tab AR 190620

Bezpečnostní opatření mohou být různá, jak technického tak organizačního charakteru. Obecně všechna bezpečnostní opatření směřují k snížení či eliminaci rizika a zajištění požadované úrovně dostupnosti, důvěrnosti a integrity informačního nebo komunikačního systému.

Za nejefektivnější opatření lze označit vyvarování se rizikových aktivit nebo vyloučení rizikových prostředků. Existují i další bezpečnostní opatření, jako příklady lze uvést  šifrování, zavedení přísnější fyzické bezpečnosti, logování změn, redundanci, pořizování záloh, apod. Jejich použití a účinnost je potřeba řešit případ od případu na základě konkrétních systémů a dané situace.

Analýzy rizik jsou povinné pro všechny správce a provozovatele systémů, které spadají pod zákon o kybernetické bezpečnosti. Jde o systémy nezbytné či významné pro chod státu a poskytování základních služeb občanům bez ohledu na to, zda je jejich provozovatel ze soukromého nebo státního sektoru. Aktualizaci analýz si vyžádalo zmíněné varování NÚKIB z konce loňského roku.  Tato tisková zpráva obsahuje souhrnné informace zjištěné z těchto analýz. Bližší informace či konkrétní výsledky není možné sdělovat či komentovat.