„Výhodou krátkých vln je způsob jejich šíření v atmosféře – díky mnohonásobným odrazům, k nimž dochází na ionizovaných částicích ve vyšších vrstvách (ionosféra), není nutná přímá dohlednost mezi vysílačem a přijímačem, takže jejich vzájemná vzdálenost může dosáhnout i tisíců až desítek tisíc kilometrů. Slabinou jsou naopak nestabilní podmínky šíření. Prostřednictvím krátkých vln se často vysílají zahraniční programy rozhlasových stanic do zemí, kde je omezená svoboda projevu nebo kde je zavedena cenzura.(zdroj: Wikipedia)“
#Povzdech
Před Vánoci jsem nakoupil dárky – bezpečnostní klíče s FIDO 2, nalákal rodinu na zřízení mojeID a v růžových barvách popisoval, jak je super, že už nebudou muset na úřady a vše zařídí z pohodlí domácnosti. Pak si rodina přečetla článek Davida Slížka o digitalizaci státních služeb v roce 2021 a poslala mě i s bezpečnostními klíči k čertu. Doma není nikdo prorokem a stát mu to neusnadňuje. Tak dík.
#Kybernetickýbalíček
Dne 16. prosince 2020 zveřejnila Evropská komise kybernetický balíček, který zahrnuje Strategii kybernetické bezpečnosti EU, návrh revize směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016, o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii, a návrh směrnice o odolnosti kritických subjektů.
Strategie kybernetické bezpečnosti
Strategii kybernetické bezpečnosti připravila Evropská komise s Vysokým představitelem Unie pro zahraniční věci a bezpečnostní politiku a je součástí dalších strategických dokumentů jako jsou Formování digitální budoucnosti Evropy, Plán Evropské komise na podporu oživení pro Evropu atd.
Evropská komise si uvědomuje závislost moderní společnosti na sítích elektronických komunikací a informačních systémech a provázanosti jednotlivých odvětví (doprava, energetika, zdravotnictví atd.). Přesun do digitálního prostředí přináší výhody, ale také může zvýšit jejich zranitelnost i zranitelnost společnosti jako celku.
K „běžným“ bezpečnostním rizikům se samozřejmě připojilo i geopolitické napětí a snahy některých států potlačit globální a otevřený Internet. Hybridní hrozby, dezinformační kampaně a kybernetické útoky vytváří nebezpečný koktejl, který každý den ohrožuje stabilitu a fungování demokratických institucí.
Hybridní hrozby kombinující dezinformační kampaně s kybernetickými útoky na infrastrukturu, ekonomické procesy a demokratické instituce oslabují mezinárodní bezpečnost, stabilitu a výhody, které kyberprostor přináší pro hospodářský, sociální a politický rozvoj společnosti. Od útoku v Estonsku v roce 2007 uběhlo už 13 let a z výjimečného se stala každodenní realita.
Strategie chce reagovat na bezpečnostní výzvy prostřednictvím regulačních, investičních a politických nástrojů. Evropská komise také deklaruje finanční podporu prostřednictvím investic do digitální transformace (šifrování, kvantová výpočetní technika a podobně).
Ve strategii je také deklarována podpora EU prostřednictvím investic do digitální transformace EU v příštích sedmi letech. Z klíčových technologií, do nichž je nezbytné začlenit kybernetickou bezpečnost, strategie zdůrazňuje zejména investice do AI, šifrování a kvantové výpočetní techniky.
Dokument je členěn na tři oblasti:
a) odolnost, technologická suverenita a vedoucí postavení,
b) budování provozních kapacit v oblasti prevence, odstrašování a reakce,
c) prosazování globálního a otevřeného kyberprostoru.
V rámci první oblasti klade strategie důraz na budování odolnosti technologií vůči kybernetickým incidentům, zajištění bezpečnosti důležitých infrastruktur a služeb, posílení průmyslových a technologických kapacit v oblasti kybernetické bezpečnosti a důrazu na kybernetickou bezpečnost průmyslových procesů, operací a zařízení již od fáze návrhu (koncept „cybersecurity by design“).
Legislativním nástrojem má být revidovaná směrnice NIS (viz dále), poté navrhuje strategie vytvoření EU Sítě bezpečnostních operačních středisek (SOCs), která má fungovat jako evropský kybernetický štít. Jednotlivé SOCs by také měly spolupracovat se sítí CSIRT dle nynějšího návrhu revize směrnice NIS.
Dále se počítá se zajištěním komunikační maximálně bezpečné infrastruktury, která by měla využívat kvantové technologie (iniciativa Euro QCI).
Komise chce také podporovat rozvoj veřejné evropské služby pro překlad systému doménových jmen (DNS), tzv. DNS4EU. Komise chce vytvořit pohotovostní plán pro řešení scénářů ovlivňujících integritu a dostupnost globálního kořenového systému DNS, což by mělo být financováno EU za spolupráce agentury ENISA, členských států a dvou unijních DNS kořenových operátorů. Současně Komise apeluje na zrychlení zavádění IPv6.
Do strategie se dostala také potřeba dokončení implementace EU 5G Toolboxu (do poloviny roku 2021) a doporučení, aby bylo dokončena implementace na národní úrovní a aby členské státy monitorovaly a analyzovaly vývoj v oblasti 5G tak, aby bylo možné identifikovat a řešit nová nebo vznikající rizika. Problematika dodavatelských řetězců v 5G sítích by měla být i nadále koordinována na EU úrovni.
Kromě Internetu věcí tu nově bude i Internet zabezpečených věcí – Evropská komise totiž počítá s vytvořením regulatorního opatření pro „Internet zabezpečených věcí“.
Provozní kapacity v oblasti prevence, odstrašování a reakce mají být postaveny na komplexním systému sdílení informací a spolupráce a na společné reakci proti kolektivním kybernetickým hrozbám. Za tímto účelem by mělo dojít k vytvoření tzv. Joint Cyber Unit, což má být virtuální a fyzická platforma se zaměřením na operativní a technickou spolupráci a koordinaci postupu proti závažným přeshraničním kybernetickým incidentům a hrozbám. Zároveň se předpokládá zlepšení fungování tzv. Cyber Diplomacy Toolbox, v rámci kterého jsou zařazovány osoby nebo subjekty na sankční seznam EU.
Komise chce také předložit Akční plán pro zlepšení digitální kapacity policejních orgánů zajištěním potřebných dovedností a nástrojů, což by mělo pomoci potírat kybernetickou kriminalitu. Komise se chce zaměřit na správnou implementaci směrnice 2013/40/EU o útocích na informační systémy. Současně by mělo být předcházeno zneužívání doménových jmen a šíření nezákonného obsahu.
Dalším bodem, kde má EU zlepšovat své kapacity je kybernetická obrana, kdy by měl být proveden přezkum politického rámce EU pro kybernetickou obranu. Přezkum by měl určit podobu strategického kompasu a zajistit začlenění kybernetické obrany a bezpečnosti do obecné bezpečnostní a obranné agendy. Pozadu nemá zůstat ani vesmír – i v kosmickém prostoru má dojít k posílení kyberbezpečnostní infrastruktury.
Prosazování globálního a otevřeného kyberprostoru má být postaveno zejména na spolupráci s mezinárodními partnery a prosazování politického modelu a vize kybernetického prostoru vybudovaného na základě právního státu, lidských práv, základních svobod a demokratických hodnot.
Pod touto vzletnou formulací patří samozřejmě i prosazování mezinárodních standardů a norem pod taktovkou EU.
Ze strany EU strategie deklaruje pokračování v prosazování mezinárodní bezpečnosti a stability v kyberprostoru, zejména prostřednictvím návrhu programu činnosti zaměřeného na prosazování odpovědného chování států v kybernetickém prostoru v rámci OSN a respektování mezinárodního práva.
EU by měla také navrhnout nové právní předpisy, které budou lépe chránit děti před pohlavním zneužíváním a vykořisťováním. V oblasti boje proti kybernetické kriminalitě by EU měla pokračovat v podpoře přístupu třetích zemí k Budapešťské úmluvě Rady Evropy o počítačové kriminalitě, v dokončení prací na jejím Druhém dodatkovém protokolu.
Revize směrnice NIS
A krátce k návrhu směrnice, která reviduje směrnici NIS. Revize směrnice NIS si klade za své cíle zvýšit úroveň odolnosti informačních sítí a systémů napříč celou Unií, snížit nerovnosti v kybernetické odolnosti v rámci vnitřního trhu u subjektů regulovaných původní směrnicí NIS a konečně má zlepšit povědomí a kolektivní schopnosti k přípravě a reakci na kybernetické hrozby.
Ke splnění těchto cílů si Komise vybrala řadu nástrojů. Vedle nástrojů již známých z původní směrnice NIS jako je stanovení povinnosti určitým subjektům přijmout bezpečnostní opatření a hlásit incidenty nebo stanovení povinností směřujících vůči členským státům přijmout národní strategie kybernetické bezpečnosti či určit vnitrostátní orgány k plnění úkolů v oblasti kybernetické bezpečnosti, se v revidované směrnici (pokud bude schválena) objevují také některé nové nástroje, například:
a) koordinované zveřejňování informací o zranitelnostech (čl. 6),
b) národní plán reakce na krizi a kybernetické bezpečnostní incidenty (čl. 7 odst. 3),
c) Evropskou síť styčných organizací pro řešení kybernetických krizí (čl. 14),
d) zprávu o stavu kybernetické bezpečnosti v Unii (čl. 15),
e) mechanismus vzájemného hodnocení (čl. 16),
f) koordinované posouzení rizik bezpečnosti dodavatelských řetězců v kritických sektorech (čl. 19) nebo
g) povinné použití evropských systému certifikace kybernetické bezpečnosti (čl. 21).
Co je klíčové, revidovaná směrnice NIS se vztahuje na mnoho dosud neregulovaných subjektů a v oblasti elektronických komunikací odstraňuje dvojkolejnost, která je nyní obsažena v Kodexu pro elektronické komunikace a platné směrnici NIS.
Jaké nové oblasti budou regulovány ukazuje srovnání níže využívající infografiku Evropské komise.
Kdy budou nová pravidla platit? Směrnice NIS byla schvalována tři roky. Lze očekávat, že díky prošlapané cestě bude revize rychlejší, ale uvidíme.
#dataretention
I když přijetí novely zákona o elektronických komunikacích je stále nejisté, začíná být jisté, že k provozním a lokalizačním údajů zákazníků operátorů (tedy i vás) se nedostanou úředníci Úřadu pro ochranu hospodářské soutěže. Legislativní proces v Poslanecké sněmovně je na úplném začátku (už od listopadu 2020), ale neformální jednání probíhají a Piráti a ODS už dali ve známost, že toto nové oprávnění narušující soukromí občanů nepodpoří. Tak uvidíme. #staytuned