Zákon o kybernetické bezpečnosti a informačních systémech pojišťoven


			Zákon o kybernetické bezpečnosti a informačních systémech pojišťoven
16.7.2015 Pojistný trh

1. ledna 2015 nabyl účinnosti zákon o kybernetické bezpečnosti č. 181/2014 Sb. (dále ZKB) a jeho prováděcí předpisy. Koho se zákon týká a jaký bude mít případně vliv na bezpečnost, informační systémy (IS) a informační technologie (IT) pojišťoven? Jak jsou právně vymezeny požadavky na zabezpečení IS v pojišťovnách? Nejen na tyto klíčové dotazy se bude snažit najít odpovědi následující článek.

Základní premisa zákona

Smyslem zákona je stanovit podmínky spolupráce mezi soukromým sektorem a veřejnou správou za účelem vyšší efektivity řešení kybernetických bezpečnostních incidentů a zakotvit oprávnění a povinnosti v dané oblasti s cílem zvýšit bezpečnost kybernetického prostoru. Kybernetickým prostorem se podle zákona rozumí digitální prostředí umožňující vznik, zpracování a výměnu informací tvořené informačními systémy a službami a sítěmi elektronických komunikací. Není možné postihnout a eliminovat všechna rizika, která se mohou dotknout každého z uživatelů kybernetického prostoru, přesto je záměrem ZKB ochránit alespoň tu část infrastruktury, která je pro fungování státu významná a jejíž narušení by vedlo k poškození nebo ohrožení zájmu České republiky kritické informační a komunikační infrastruktury a tz. významných informačních systémů. 

Cíle ZKB

Hlavním cílem zákona je ustanovení konstituce práv a povinností orgánu státu, jemuž je svěřena konkrétní pravomoc v oblasti zajišťování kybernetické bezpečnosti v souvislosti s právy a povinnostmi dalších orgánů státu a soukromoprávních subjektů, které v této oblasti participují. Tímto orgánem je Národní bezpečnostní úřad (NBÚ) a jeho Národní centrum kybernetické bezpečnosti (NCKB) vnitřní organizační útvar NBÚ působící na úseku kybernetické bezpečnosti, který je přímo podřízen řediteli NBÚ. Součástí NCKB je t vládní CERT1 – pracoviště provozované jako součást Národního centra kybernetické bezpečnosti za účelem ochrany služeb a sítí elektronických komunikací a informačních systémů před kybernetickými bezpečnostními událostmi.

alšími z cílů jsou nastavení mechanizmu přenosu informací nezbytných pro prevenci před kybernetickými hrozbami, které budou sloužit pro analýzu možných kybernetických útoků a pro způsoby jejich včasného rozpoznání, a vybudování systému včasného varování, prevence a osvěty včetně poskytování pomoci při zavádění preventivních opatření a konkrétních protiopatření při hrozícím útoku. Zákon také ovlivňuje standardizaci nastavení bezpečnosti systémů nezbytných pro chod státu v rámci kritické informační infrastruktury státu, a v neposlední řadě stanovuje pravidla pro koordinaci činností pro odvrácení a při odvracení hrozícího útoku na prvky kritické informační infrastruktury státu a k řešení situací, v nichž je potřeba přijímat opatření před možným následkem hrozícího útoku. 

Vliv na pojistný trh

Vztahuje se ZKB na informační systémy pojišťoven? Podívejme se na problematiku podrobněji. Klíčovými pojmy zákona jsou podle paragrafu 2 zejména: 

  • kritická informační infrastruktura – prvek nebo systém prvků kritické infrastruktury v komunikačním odvětví a informační systémy v oblasti kybernetické bezpečnosti,
  • významný informační systém – informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci.

 

První a nejdůležitější pojem, kritická informační infrastruktura, je třeba z nepříliš srozumitelné definice „převyprávět“. Jedná se o stavbu, zařízení, prostředek nebo veřejnou infrastrukturu, jejichž narušení by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu, přičemž se v rámci ZKB toto omezuje na odvětví komunikačních a informačních systémů. Prvky kritické infrastruktury jsou vymezené krizovým zákonem a průřezová a odvětvová kritéria jsou stanovena nařízením vlády č. 432/2010 Sb. Podle něho jsou průřezovými kritérii pro určení prvku kritické infrastruktury tato hlediska: 

  • oběti s mezní hodnotou více než 250 mrtvých nebo více než 2 500 osob s následnou hospitalizací po dobu delší než 24 hodin,
  • ekonomický dopad s mezní hodnotou hospodářské ztráty státu vyšší než 0,5 % hrubého domácího produktu3 nebo
  • dopad na veřejnost s mezní hodnotou rozsáhlého omezení poskytování nezbytných služeb nebo jiného závažného zásahu do každodenního života postihujícího více než 125 000 osob.

Odvětvová kritéria pro určení prvku kritické infrastruktury zahrnují sítě pevných a mobilních komunikací, pro rozhlasové a televizní vysílání, pro satelitní komunikaci, technologické prvky pro poštovní služby a informační systémy, služby nebo sítě elektronických komunikací, které zajišťují provoz již výše určeného prvku kritické infrastruktury a budou pro tento prvek nenahraditelné. V části VII. nařízení Finanční trh a měna se za prvek kritické infrastruktury považuje pojišťovna, která nabízí komplexní portfolio služeb pro veškeré klienty, disponuje rozsáhlou skupinou dceřiných a přidružených společností zajišťujících další finanční služby a která má rozsáhlou síť regionálních poboček, a to za předpokladu, že přesahuje tržní podíl měřený objemem předepsaného pojistného 25 %.

Taková podle aktuálních údajů v ČR není, byť by jedna z nich Česká pojišťovna – měla být na pozoru. Abychom odpověděli na otázku z úvodu této kapitoly, z poskytnutých informací vyplývá, že informační systémy pojišťoven nebudou zřejmě splňovat výše uvedená kritéria, a nejsou tak řazeny mezi prvky kritické informační infrastruktury, natož pak infrastruktury komunikační. A protože významné informační systémy jsou podle ZKB informační systémy spravované orgány veřejné moci, pak také IS pojišťoven nebudou spadat pod tuto kategorii. Souhrnně si tedy můžeme říci, že se na informační systémy pojišťoven nebude ZKB vztahovat!

Je nepochybné, že pojišťovny musí své informační systémy provozovat jako zabezpečené IS, neboť obsahují data, která mají být chráněna podle zvláštních předpisů. Zákon č. 277/2009 Sb., o pojišťovnictví ukládá povinnost zachovávat mlčenlivost osob činných pro pojišťovnu nebo zajišťovnu a dalších osob, a z tohoto požadavku lze dovozovat i povinnost zajistit, aby neoprávněné osoby nemohly získat údaje z IS pojišťovny.

Operační riziko v oblasti IS

Konečně již dříve ČNB vydala v částce 5/2011 ze dne 7. 6. 2011 úřední sdělení z 27. 5. 2011 k výkonu činnosti na finančním trhu – operační riziko v oblasti informačního systému, jehož cílem je poskytnout věcný výklad a další informace k výkonu činnosti na finančním trhu, pokud jde o kvalitativní požadavky související s operačním rizikem v oblasti informačního systému, kterému je nebo by mohl být poskytovatel finančních služeb vystaven. Toto úřední sdělení se podle názoru autora na pojišťovny vztahuje, byť o perfekcionalitě zákonného zmocnění nemusí být každý příjemce přesvědčen, což je pro všechny podzákonné předpisy, zejména pak vydávané ČNB, nikoliv výjimečné. Pokud se totiž (navíc v poznámce pod čarou) úřední sdělení odkazuje na požadavky na řízení rizik a informační systém, jež jsou stanoveny v příloze č. 1 vyhlášky č. 434/2009 Sb., a to na základě § 6 odst. 1 zákona o pojišťovnictví, podle kterého jsou pojišťovny a zajišťovny povinny vytvořit a udržovat funkční a efektivní řídicí a kontrolní systém – k oběma předpisům viz výše, pak z požadavků vyplývajících z citované vyhlášky lze platnost obsahu úředního sdělení pro pojišťovny dovozovat poněkud kostrbatě. Ovšem platí karbanické pravidlo „Vyšší bere“. Nezbývá tedy než doufat, že se uplatní odst. 3 tohoto sdělení, podle kterého Česká národní banka při výkonu dohledu postupuje individuálně, s přihlédnutím ke konkrétním podmínkám zaměření a uspořádání výkonu činnosti daného  poskytovatele finančních služeb. 

Je ZKB využitelný v praxi pojišťoven?

Pokud budeme předpokládat, že se výše citované úřední sdělení ČNB uplatní pro informační systémy pojišťoven, pak stále záleží na té které pojišťovně, jak požadavky ČNB splní. Zákon o kybernetické bezpečnosti a jeho prováděcí předpisy, zejména pak vyhláška č. 316/2014 Sb., je jedním z možných zdrojů inspirace, ačkoliv, jak jsme si řekli v úvodu, se na IS pojišťoven zřejmě nevztahuje. Podobným inspiračním zdrojem mohou být i předpisy o ochraně utajovaných informací: zákonem č. 412/2005 Sb. a prováděcí předpisy – vyhlášky č. 522/2005 Sb. až 529/2005 Sb. Autor se nicméně domnívá, že standardní cestou k budování zabezpečeného informačního systému pojišťovny jsou mezinárodně uznávané normy, nikoliv takové „samo-domo“, jaké vyhláška NBÚ č. 316/2014 Sb. představuje. Obecně využitelné jsou ČSN ISO/IEC TR 13335 (řízení bezpečnosti IT), ČSN ISO/IEC 15408 (Common Criteria) Informační metody – Kritéria pro hodnocení bezpečnosti informačních technologií, ČSN ISO/IEC 17799:2005, a především pak řada bezpečnostních norem ČSN ISO/IEC 27000.4

Prevence je důležitější nežli represe

Nebude-li ovšem informační systém pojišťovny vytvořen a provozován jako bezpečný informační systém, pak je zbytečné se spoléhat na nástroje následné represe, představované především trestním zákoníkem a realizované pomocí kriminalistických metod a nástrojů. Rovněž v oblasti dokazování v civilních sporech a ve správním řízení nelze počítat s tím, že z „obyčejného“ informačního systému (či dokonce z pouhého obsahu e-mailové komunikace) bude možno získat relevantní důkazy a „ustát“ tíhu důkazního břemene. 

Líbil se vám článek? Předplatné magazínu Pojistný obzor si můžete zakoupit ZDE.

Autor: Prof. Vladimír Smejkal

 

Zdroj: Pojistný obzor

Komentáře

Přidat komentář

Nejsou žádné komentáře.

RSS

Související články