Ochrana osobních údajů a kybernetické bezpečnosti s GINIS Jan Dienstbier Garant platformy KYBEZ

„Cokoliv je připojeno lze hacknout!“ Moto „Cokoliv je připojeno lze hacknout!“ Oddělení kybernetické kriminality „Rozlišuji pouze dvě kategorie systémů, ty které již hackli a ty, které to ještě nevědí“ John Chambers ex CEO Cisco Produkt řeší řízení záznamů a dokumentace v organizaci, určuje nezbytné činnosti při implementaci systému kybernetické bezpečnosti a jeho dalšího efektivního provozu. Základem je elektronický nástroj administrativní podpory procesů zákona o Kybernetické bezpečnosti (ZoKB), který je dodáván se speciální metodikou. Metodika se zabývá otázkou nastavení systému řízení kybernetické bezpečnosti (SŘKB), principů vedení řízené dokumentace a evidence záznamů ZoKB a odpovídajících ISO norem. Rychlost zprovoznění systému řízení kybernetické bezpečnosti a efektivita jeho dalšího fungování je dána zejména zkušenostmi. Z tohoto důvodu jsou k produktu a speciální metodice navrženy i služby, které organizaci zajistí úplné a efektivní zprovoznění systému řízení kybernetické bezpečnosti a dále pak jeho následnou údržbu a rozvoj. Struktura produktu je patrná z následujícího obrázku. Popis jednotlivých částí je uveden dále. Základem je elektronický nástroj administrativní podpory procesů zákona o Kybernetické bezpečnosti (ZoKB), který je dodáván se speciální metodikou. Speciální metodika zajišťuje nastavení systému řízení kybernetické bezpečnosti, principů vedení řízené dokumentace a evidence záznamů ZoKB a odpovídajících ISO norem. Služby, které organizaci zajistí úplné a efektivní zprovoznění systému řízení kybernetické bezpečnosti a dále pak následnou údržbu a rozvoje systému řízení kybernetické bezpečnosti.

Co nás čeká GDPR a novela zákona o ochraně osobních údajů eIDAS Zákon o KYBERNETICKÉ BEZPEČNOSTI (181/2014 Sb.) a jeho novelizace - Rozšíření počtu povinných subjektů Zostřený dohled ze strany NBÚ, vyšší pokuty + NIS - ZKB Veřejné zakázky výhradně elektronicky Smart Cities ZTOPO eIDAS GDPR Výrazný dopad do oblasti bezpečnosti Špidlův trojúhelník (kybernetické, informací, ochrany osobních údajů…) eIDAS - Nařízeni Evropského parlamentu o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním (Evropském) trhu Uznávání prostředků pro elektronickou identifikaci fyzických (el.podpis) a právnických (el.pečeť) osob • Vytvoření Národní identitní autority - stát garantuje vaši identitu v kyberprostoru – je to něco nového? • Pravidla pro služby vytvářející důvěru, • Úplné elektronické podání Jen tak na okraj – 74% útoků jde přes zneužitou (špatně zabezpečenou) identitu … a zase ty pokuty - až 2 mil. Kč

eIDAS Nařízení Evropského parlamentu o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním evropském trhu • Účinnost od 1.7.2016 – přechodné období 2 roky Uznávání prostředků pro elektronickou identifikaci fyzických (el.podpis) a právnických (el. pečeť) osob Vytvoření Národní identitní autority - stát garantuje identitu v kyberprostoru – je to něco až tak nového? Pravidla pro služby vytvářející důvěru Úplné elektronické podání Jen tak na okraj – 74% útoků jde přes zneužitou (špatně zabezpečenou) identitu (WannaCry … ) a zase ty pokuty - až 2 mil. Kč

Zákon o kybernetické bezpečnosti v novelizované podobě (NIS) Rozšíření záběru Poskytovatelé základních služeb (určí NBÚ) ZKB - základní službou je služba, jejíž poskytování je závislé na sítích elektronických komunikací nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení společenských nebo ekonomických činností v některém z těchto odvětví: • energetika • dodávky a rozvody pitné vody • doprava, • digitální infrastruktura • bankovnictví • chemický průmysl • infrastruktura finančních trhů, • veřejná správa • zdravotnictví ZKB - informačním systémem základní služby je informační systém, na jehož fungování je závislé poskytování základní služby,

Zákon o kybernetické bezpečnosti v novelizované podobě (NIS) Dopadová určující kritéria Dopadové určující kritérium je naplněno v okamžiku, kdy narušení bezpečnosti informací v informačním systému a síti základní služby může způsobit některý z následujících dopadů: a) omezení základní služby postihující více než 50 000 – 100 000 osob, b) závažné omezení či narušení jiné základní služby, nebo omezení či narušení provozu prvku kritické infrastruktury, c) hospodářskou ztrátu vyšší než 250 – 500 milionů Kč, d) nedostupnost služby poskytované alespoň 50 000 – 100 000 osobám, která není nahraditelná jinou službou, e) oběti na životech s mezní hodnotou více než 100 mrtvých nebo 1 000 zraněných osob vyžadujících lékařské ošetření, f) ohrožení veřejné bezpečnosti v minimálním rozsahu správního území obce s rozšířenou působností, g) kompromitaci citlivých údajů o nejméně 200 000 osobách. Odvětvová určující kritéria Speciální průřezová kritéria a jejich prahové hodnoty budou nastaveny tam, kde je to relevatní, na základě výsledků jednání pracovní skupiny Např. ve zdravotnictví jedno z kritérií - Specializované zdravotnické zařízení, které má v České republice méně než x alternativních zařízení se stejným zaměřením

GDPR Nařízení Evropského parlamentu o ochraně a práci s osobními údaji V účinnost 25. května 2018 Nahrazuje předchozí směrnici 95/46 a zákon 101/200 Sb. Nejkomplexnější soubor pravidel pro ochranu osobních údajů Regulátorem v ČR ÚOOÚ Zaváděno kvůli ochraně osob a nejednotné evropské legislativě Posílení práv subjektů osobních údajů Všude stejně, včetně sankcí – nemalých Zavádí institut osobní újmy

GDPR hlavní změny proti stávající situaci Kurz "KYBERNETICKÁ BEZPEČNOST" 25.3.2015 GDPR hlavní změny proti stávající situaci Hlášení incidentů Posuzování vlivu na soukromí Jmenování pověřence na ochranu osobních údajů (DPI) Ochrana „ by design“ a „ by default“ Právo na přenositelnost Zrušení informační povinnosti Gradace povinností dle rizikovosti Možnost výjimek z práv a úpravy domácí legislativou One stop shop (vše na jednom místě)

Plynoucí požadavky Povinnost přijmout opatření adekvátní rizikům (posouzení dopadu) Procesy Důvod zpracování Jen po dobu nezbytnou Organizační opatření Technická opatření (šifrování, pseudonymizace, anonymizace osobních dat Povinnost uchovat záznam u správců a zpracovatelů Spolupráce správce a zpracovatele s dozorovými orgány Povinnost hlásit incident do 72 hodin

Pseudonymizace x Anonymizace Anonymizace - nevratná změna => nejsou OÚ Pseudonymizace - zpracování osobních údajů tak, aby data nemohla být přiřazena ke konkrétní osobě či subjektu – lze opět přiřadit => stále OÚ Převážně na databázové vrstvě Bezvýznamový identifikátor Bezvýznamový identifikátor, Adresa Bezvýznamový identifikátor, Jméno, Příjmení, Adresa Bezvýznamový identifikátor, Jméno, Příjmení

Správní pokuty Odvíjí se od závažnosti a charakteru přestupku Úmysl vs. Nedbalost Počet dotčených subjektů Kroky podniknuté ke zmírnění škody Oblast osobních údajů dotčená porušením nařízení … Pokuty ve výši milionů EUR nebo % výše ročního obratu daného subjektu

GDPR revoluce nebo evoluce Jak pro koho Kdo postupoval v souladu se zákonem 101/2000 Sb. Evoluce Kdo ne REVOLUCE

Nechceme strašit… chceme pomáhat! Ale … Kurz "KYBERNETICKÁ BEZPEČNOST" 25.3.2015 Nechceme strašit… chceme pomáhat! Ale … Zákon o trestní odpovědnosti osob Trestní zákoník Porušení povinnosti při správě cizího majetku (§ 220) (2) Odnětím svobody na šest měsíců až pět let nebo peněžitým trestem bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 jako osoba, která má zvlášť uloženou povinnost hájit zájmy poškozeného, nebo b) způsobí-li takovým činem značnou škodu. (3) Odnětím svobody na dvě léta až osm let bude pachatel potrestán, způsobí-li činem uvedeným v odstavci 1 škodu velkého rozsahu. Zákoník práce náhrada škody (čtyř a půlnásobek měsíčního výdělku) / Výpověď (okamžité zrušení pracovního poměru) Zákon o státní službě 1. 1. 2015 náhrada škody (osminásobek měsíčního výdělku) / kárné provinění (§ 91) / písemná důtka / snížení platu až o 15 % na dobu až 3 kalendářních měsíců / odvolání ze služebního místa představeného/ propuštění ze služebního poměru § 220 Porušení povinnosti při správě cizího majetku (1) Kdo poruší podle zákona mu uloženou nebo smluvně převzatou povinnost opatrovat nebo spravovat cizí majetek, a tím jinému způsobí škodu nikoli malou, bude potrestán odnětím svobody až na dvě léta nebo zákazem činnosti. (2) Odnětím svobody na šest měsíců až pět let nebo peněžitým trestem bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 jako osoba, která má zvlášť uloženou povinnost hájit zájmy poškozeného, nebo b) způsobí-li takovým činem značnou škodu. (3) Odnětím svobody na dvě léta až osm let bude pachatel potrestán, způsobí-li činem uvedeným v odstavci 1 škodu velkého rozsahu.

Jak řešit informační a kybernetickou bezpečnost Komplexně Integrovat všechna rizika Neexistuje jeden jediný subjekt, který umí komplexně řešit vše Je dobré vytvářet aliance, sdružení, platformy a hledat systémové integrátory pro kybernetickou bezpečnost KYBEZ je platforma, založená na bezplatné, dobrovolné a efektivní spolupráci odborných akademických, veřejných a mediálních institucí a nezávislých specializovaných komerčních společností z oblasti informačních a telekomunikačních technologií.

GORDIC pro řízení kybernetické bezpečnosti Služby – Služby řízení KB Software – DRMS KYBEZ Metodika – Speciální metodika GINIS bezpečný informační systém GINIS® DRMS jako nástroj řízení kybernetické bezpečnosti a ochrany dat (včetně osobních údajů) GINIS jako prostředek k sofistikovanému zálohování a ukládání agendových dat a osobních údajů Produkt řeší řízení záznamů a dokumentace v organizaci, určuje nezbytné činnosti při implementaci systému kybernetické bezpečnosti a jeho dalšího efektivního provozu. Základem je elektronický nástroj administrativní podpory procesů zákona o Kybernetické bezpečnosti (ZoKB), který je dodáván se speciální metodikou. Metodika se zabývá otázkou nastavení systému řízení kybernetické bezpečnosti (SŘKB), principů vedení řízené dokumentace a evidence záznamů ZoKB a odpovídajících ISO norem. Rychlost zprovoznění systému řízení kybernetické bezpečnosti a efektivita jeho dalšího fungování je dána zejména zkušenostmi. Z tohoto důvodu jsou k produktu a speciální metodice navrženy i služby, které organizaci zajistí úplné a efektivní zprovoznění systému řízení kybernetické bezpečnosti a dále pak jeho následnou údržbu a rozvoj. Struktura produktu je patrná z následujícího obrázku. Popis jednotlivých částí je uveden dále. Základem je elektronický nástroj administrativní podpory procesů zákona o Kybernetické bezpečnosti (ZoKB), který je dodáván se speciální metodikou. Speciální metodika zajišťuje nastavení systému řízení kybernetické bezpečnosti, principů vedení řízené dokumentace a evidence záznamů ZoKB a odpovídajících ISO norem. Služby, které organizaci zajistí úplné a efektivní zprovoznění systému řízení kybernetické bezpečnosti a dále pak následnou údržbu a rozvoje systému řízení kybernetické bezpečnosti.

Jan Dienstbier Garant platformy KYBEZ info@kybez.cz, www.kybez.cz Děkuji za pozornost. Jan Dienstbier Garant platformy KYBEZ info@kybez.cz, www.kybez.cz