CSIRT a CERT

Legislativní rámec CSIRT/CERT týmů v ČR je částečně stanoven zákonem o kybernetické bezpečnosti. Tento zákon stanoví podmínky pro existenci národního a vládního CSIRT/CERT týmu, avšak na druhou stranu nijak neomezuje vznik a existenci jiných CSIRT/CERT týmů.

Na základě zákona o kybernetické bezpečnosti jsou v ČR povinně zřízeny dva týmy typu CERT/CSIRT, a to národní a vládní. Každý z těchto týmů má zákonem (§ 17 a násl. ZoKB) přesně stanovená práva a povinnosti.

Týmy, jejichž působnost je vymezena zákonem o kybernetické bezpečnosti, jsou povinny respektovat limity tímto zákonem stanovené.

3.1.1    Národní CERT

Národní CERT tým je definován v § 17 ZoKB. Současně je uvedeno, že:

(1) Národní CERT zajišťuje v rozsahu stanoveném tímto zákonem sdílení informací na národní a mezinárodní úrovni v oblasti kybernetické bezpečnosti.

(2) Provozovatel národního CERT

a)    přijímá oznámení kontaktních údajů od orgánů a osob uvedených v § 3 písm. a), b) a h) a tyto údaje eviduje a uchovává,

b)    přijímá hlášení o kybernetických bezpečnostních incidentech od orgánů a osob uvedených v § 3 písm. b) a h) a tyto údaje eviduje, uchovává a chrání,

c)    vyhodnocuje kybernetické bezpečnostní incidenty u orgánů a osob uvedených v § 3 písm. b) a h),

d)    poskytuje orgánům a osobám uvedeným v § 3 písm. a), b) a h) metodickou podporu, pomoc a součinnost při výskytu kybernetického bezpečnostního incidentu,

e)    působí jako kontaktní místo pro orgány a osoby uvedené v § 3 písm. a), b) a h),

f)     provádí hodnocení zranitelností v oblasti kybernetické bezpečnosti,

g)    předává Úřadu údaje o kybernetických bezpečnostních incidentech ohlášených podle § 8 odst. 3, bez uvedení ohlašovatele,

h)    předává Úřadu na vyžádání údaje podle § 16 odst. 5 a 6,

i)     plní roli týmu CSIRT podle příslušného předpisu Evropské unie[1],

j)     informuje bez uvedení identifikačních údajů ohlašovatele příslušný orgán jiného členského státu o kybernetickém bezpečnostním incidentu s významným dopadem na kontinuitu poskytování základní nebo digitální služby v tomto členském státě a zároveň o tom informuje Úřad, přičemž zachovává bezpečnost a obchodní zájmy ohlašovatele,

k)    spolupracuje s týmy CSIRT jiných členských států a

l)     přijímá hlášení o kybernetických bezpečnostních incidentech od orgánů a osob neuvedených v § 3, a pokud to jeho kapacity umožňují, zpracovává je a poskytuje orgánům nebo osobám dotčeným kybernetickým bezpečnostním incidentem metodickou podporu, pomoc a součinnost.

(3) Provozovatel národního CERT může vlastním jménem a na vlastní odpovědnost vykonávat i další hospodářskou činnost v oblasti kybernetické bezpečnosti neupravenou tímto zákonem, pokud tato činnost nenaruší plnění povinností uvedených v odstavci 2.

(4) Provozovatel národního CERT při plnění povinností uvedených v odstavci 2 koordinuje svou činnost s Úřadem.

(5) Provozovatel národního CERT musí při plnění povinností podle odstavce 2 postupovat nestranně.

Toto ustanovení definuje instituci národního dohledového pracoviště, pro které je použito legislativní zkratky národní CERT a vymezuje jeho činnost. Zákon předpokládá, že národní CERT bude provozován zpravidla osobou soukromého práva, která uzavře s NBÚ veřejnoprávní smlouvu, a bude sloužit zejména jako společné kontaktní a koordinační místo pro povinné osoby soukromého práva. Vůči národnímu dohledovému pracovišti budou poskytovatelé služeb elektronických komunikací, subjekty zajišťující sítě elektronických komunikací a subjekty zajišťující významné sítě realizovat svou zákonnou notifikační povinnost.

Model standardně soukromoprávního výkonu funkcí národního CERT usnadňuje komunikaci mezi národním CERT a povinnými osobami využívajícími jej povinně jako kontaktní místo. Tyto osoby budou mít totiž rovněž zpravidla soukromoprávní povahu. Národní CERT se bude také moci zapojit do mezinárodních sítí obdobných soukromoprávních národních dohledových pracovišť a těžit z poznatků, které se v rámci těchto sítí neformálně předávají.

Předpokládaný soukromoprávní charakter národního CERT je vzhledem ke smyslu a účelu zákona vhodný i z toho důvodu, že provozovatel národního CERT může, jedná-li se o osobu soukromého práva, vyvíjet iniciativně k dosažení účelu zákona též aktivity na základě tacitního dovolení, tj. libovolné aktivity podle své soukromé vůle neporušující zákonné povinnosti. Provozovatel národního CERT tak bude moci například poskytovat metodickou a informační pomoc i subjektům stojícím mimo osobní působnost zákona, tj. osobám mimo definice jednotlivých kategorií povinných osob, které o to projeví zájem. Národní CERT bude moci dále vyvíjet vlastní vzdělávací, publikační, výzkumnou nebo vývojovou činnost apod. Podmínkou omezující iniciativně vykonávané činnosti národního CERT k dosažení účelu tohoto zákona je jejich bezrospornost s plněním povinností vyčtených v zákoně taxativně.

K § 17 odst. 2 písm. a), b), d) a e)

Mezi subjekty, se kterými komunikuje a spolupracuje provozovatel národního CERT, se doplňují poskytovatelé digitálních služeb.

K § 17 odst. 2 písm. c)

Mezi subjekty, se kterými spolupracuje provozovatel národního CERT, v tomto případě, u nichž vyhodnocuje kybernetické bezpečnostní incidenty, se doplňují poskytovatelé digitálních služeb. Toto ustanovení je v obráceném gardu k ustanovení, které stanoví povinnost poskytovatelů digitálních služeb hlásit kybernetické bezpečnostní incidenty provozovateli národního CERT.

K § 17 odst. 2 písm. g)

Jedná se o jazykovou úpravu ustanovení a výslovného vztažení povinnosti předávání informací na incidenty nahlášené povinnými subjekty.

K § 17 odst. 2 písm. h)

Zpřesňuje se znění ustanovení a ruší se omezení situací, za kterých národní CERT předává Úřadu kontaktní údaje povinných osob.

K § 17 odst. 2 písm. i) až l)

Národní CERT (Computer Emergency Response Team) na základě směrnice v tomto ustanovení získává nová kompetence a s nimi související povinnosti. Toto ustanovení je úzce provázáno s § 8, který mimo jiné upravuje hlášení kybernetických bezpečnostních incidentů, které postihly informační systém poskytovatele digitálních služeb. Národní CERT se v tomto ohledu mimo jiné určuje jako jeden z týmů CSIRT (Computer Security Incident Response Team) v České republice; vládní CERT (Národní centrum kybernetické bezpečnosti, jež je součástí NBÚ) je druhým týmem CSIRT ve smyslu směrnice pro incidenty proti bezpečností sítí a informačních systémů určených provozovatelů základních služeb.

Týmy CSIRT musí naplňovat požadavky přílohy I směrnice, to je v případě národního CERT provozovaným sdružením CZ.NIC naplněno jednak požadavky na provozovatele národního CERT stanovené § 18 zákona a obsahem veřejnoprávní smlouvy, kterou s ním dle § 19 NBÚ uzavřel. Tato smlouva dle odstavce 1 tohoto ustanovení má zajistit plnění činností podle § 17, tedy i nových požadavků vyplývajících ze směrnice.

Konkrétně úkolům týmu CSIRT podle směrnice odpovídá zákon takto:

Národní CERT: přijímá hlášení o kybernetických bezpečnostních incidentech, vyhodnocuje je, poskytuje dotčeným subjektů metodickou podporu, pomoc a součinnost, působí jako kontaktní místo, provádí hodnocení zranitelnosti v oblasti kybernetické bezpečnosti, předává NBÚ údaje o incidentech, plní roli týmu CSIRT podle směrnice, spolupracuje s jinými týmy CSIRT, komunikuje s příslušnými orgány jiných členských států a v neposlední řadě přijímá dobrovolná hlášení o kybernetických bezpečnostních incidentech. Tím naplňuje požadavky přílohy I směrnice:

• Monitorování incidentů na vnitrostátní úrovni - § 17 odst. 2 písm. b), c), l)
• Vydávání včasných varování a upozornění, oznamování a šíření informací o rizicích a incidentech příslušným zúčastněným stranám – § 17 odst. 2 písm. d), e), g), j)
• Reakce na incidenty - § 17 odst. 2 písm. c), d)
• Poskytování dynamické analýzy rizik a incidentů a přehledu o situaci - § 17 odst. 2 písm. f)
• Účast v síti CSIRT – na uvážení provozovatele národního CERT, viz dále komentář k § 20.

Povinnost zřídit alespoň jeden bezpečnostní tým typu CSIRT, který by byl odpovědný za zvládání rizik a řešení incidentů podle řádně vymezených postupů a splňují požadavky na bezpečnostní týmy typu CSIRT vyplývá z čl. 9 odst. 1 NIS.

Směrnice NIS stanoví, že tento povinně zřízený tým musí pokrýt svojí činností alespoň odvětví uvedená v příloze č. II (druhy subjektů) a služby uvedené v příloze III (druhy digitálních služeb).

V příloze č. I směrnice NIS jsou definovány úkoly a požadavky na bezpečnostní týmy typu CSIRT. Mezi tyto úkoly a povinnosti dle přílohy č. I NIS patří:

1.     Požadavky na týmy CSIRT

• Týmy CSIRT zajistí, aby v jejich komunikačních službách nebyla žádná kritická místa (tzv. single points of failure), a tyto služby tak byly široce dostupné, a disponují několika způsoby, jimiž budou kontaktovat ostatní a jimiž bude možné kontaktovat je, a to kdykoli. Komunikační kanály musí být navíc jasně specifikované a spolupracujícím partnerům a subjektům spadajícím do působnosti týmů dobře známé.
• Pracoviště týmů CSIRT a jejich podpůrné informační systémy se nacházejí na bezpečném místě.
• Kontinuita činnosti:

• Týmy CSIRT musí mít možnost účastnit se mezinárodních sítí pro spolupráci, pokud chtějí být jejich součástí.

2.     Úkoly týmů CSIRT

• Úkoly týmů CSIRT zahrnují alespoň:

• Týmy CSIRT naváží spolupráci se soukromým sektorem.
• V zájmu usnadnění spolupráce týmy CSIRT prosazují přijetí a používání společných či standardních postupů v oblasti:

Sdružení CZ.NIC provozuje národní tým CSIRT České republiky – CSIRT.CZ (blíže viz https://csirt.cz/).

K odst. 1), 2) a 4)

Dle zákona o kybernetické bezpečnosti provozovatel národního CERT:

• přijímá oznámení kontaktních údajů od orgánů a osob uvedených v § 3 písm. a), b) a h) ZoKB a tyto údaje eviduje a uchovává,
• přijímá hlášení o kybernetických bezpečnostních incidentech od orgánů a osob uvedených v § 3 písm. b) a h) ZoKB a tyto údaje eviduje, uchovává a chrání,
• vyhodnocuje kybernetické bezpečnostní incidenty u orgánů a osob uvedených v § 3 písm. b) a h) ZoKB,
• poskytuje orgánům a osobám uvedeným v § 3 písm. a), b) a h) ZoKB metodickou podporu, pomoc a součinnost při výskytu kybernetického bezpečnostního incidentu,

Polem působnosti týmu CSIRT.CZ je celý adresní rozsah České republiky. O pomoc s řešením incidentů se na CSIRT.CZ mohou obrátit všichni správci sítí, kteří potřebují pomoci s řešením incidentu vyžadujícím koordinaci řešení nebo mají podezření, že by incident mohl mít celoplošný dopad. Bližší informace a pokyny k hlášení incidentů je možné nalézt zde[2]. Tým CSIRT.CZ nemá výkonné pravomoci a při řešení incidentů působí v roli koordinátora, který může poskytnout také metodickou pomoc při jejich řešení.[3]

působí jako kontaktní místo pro orgány a osoby uvedené v § 3 písm. a), b) a h) ZoKB,

provádí hodnocení zranitelností v oblasti kybernetické bezpečnosti,

předává NÚKIB údaje o kybernetických bezpečnostních incidentech ohlášených podle § 8 odst. 3 ZoKB, bez uvedení ohlašovatele,

• předává NÚKIB na vyžádání kontaktní údaje podle § 16 odst. 5 a 6 ZoKB,
• plní roli týmu CSIRT podle směrnice NIS,
• informuje bez uvedení identifikačních údajů ohlašovatele příslušný orgán jiného členského státu o kybernetickém bezpečnostním incidentu s významným dopadem na kontinuitu poskytování základní nebo digitální služby v tomto členském státě a zároveň o tom informuje NÚKIB, přičemž zachovává bezpečnost a obchodní zájmy ohlašovatele,
• spolupracuje s týmy CSIRT jiných členských států,
• přijímá hlášení o kybernetických bezpečnostních incidentech od dalších osob, neuvedených v § 3 ZoKB, a pokud to jeho kapacity umožňují, zpracovává je a poskytuje orgánům nebo osobám dotčeným kybernetickým bezpečnostním incidentem metodickou podporu, pomoc a součinnost.

Sdružení CZ.NIC je dle § 17 odst. 4 ZoKB povinno koordinovat činnost národního CSIRT týmu s činností NÚKIB.

Vedle povinností explicitně stanovených zákonem o kybernetické bezpečnosti si národní CSIRT stanovil i další úkoly[4], mezi které patří:

Informování o nákaze v doméně .CZ

Pro účely centrálního monitoringu a řešení hrozeb v doméně druhého řádu vyvinul CSIRT.CZ open source tracker: Malicious Domain Manager.

Aplikace slouží jako centrální bod pro sběr a analýzu informací o škodlivých URL v doméně .CZ.

Aplikace podporuje historii hrozeb v doméně a přímé kontaktování jejich držitele. Držitelé domén jsou kontaktováni z dedikované adresy malware@nic.cz.

• Skener webu

Pro neziskový a veřejný sektor primárně je poskytována služba bezplatného penetračního testování webových stránek. Testování spočívá v automatických a ručních testech zaměřených na hledání bezpečnostních slabin v aplikaci. Každý bezpečnostní nález je označený odhadnutou mírou potencionálního rizika a obsahuje popis doporučení pro jeho případnou opravu.

Blíže viz https://www.skenerwebu.cz.

• Vzdělávaní a přednášky

Ve spolupráci s Akademií CZ.NIC jsou pravidelně realizovány školení Počítačová bezpečnost prakticky a Základy fungování CSIRT týmu. CSIRT.CZ také realizuje specializované kurzy pro bezpečnostní složky, státní i vzdělávací instituce či přednášky ad hoc.

• Pomoc při zřizovaní CERT/CSIRT týmu
• Pracovní skupiny

Tým CSIRT.CZ pořádá pravidelné setkání bezpečnostních týmů a členů bezpečnostní komunity v České republice.

• Zátěžové testy

Po DDoS útocích z roku 2013, které byly zaměřené na významné služby v České republice, připravily Laboratoře CZ.NIC zátěžové testy dosahující stejné a vyšší intenzity, jako zmiňované DDoS útoky. Ve spolupráci s CSIRT.CZ se tato služba poskytuje bezplatně pro všechny zájemce, kteří splní vstupní podmínky.

• Intrusion Detection System

Ve spolupráci se sdružením CESNET provozuje CSIRT.CZ systém detekující podezřelé chování systémů připojených do sítě Internet.

V případě zaznamenání podezřelých pokusů o připojení z konkrétních IP adres, jsou o takové události ihned informování zodpovědní administrátoři (prostřednictvím e-mailové adresy ids@csirt.cz).

• Provozování honeypotů

V rámci bezpečnostního výzkumu provozuje CSIRT.CZ ve spolupráci s Laboratořemi CZ.NIC řadu honeypotů. V rámci projektu Honeynet je možné nalézt vizualizaci útoků v reálném čase na https://honeymap.cz. Nově zachycené vzorky malwaru jsou analyzovány.

• PROKI

Rozesílání informací o bezpečnostních incidentech, jež mají původ v rozsahu českých IP adres.

K odst. 3) a 5)

Ustanovení § 17 odst. 2 ZoKB umožňuje, aby sdružení CZ.NIC vlastním jménem a na vlastní odpovědnost vykonávalo i další hospodářskou činnost v oblasti kybernetické bezpečnosti, která není přímo upravena zákonem o kybernetické bezpečnosti. Podmínkou však je, že tato další hospodářská činnost nenaruší plnění úkolů národního CSIRT.

Sdružení CZ.NIC je povinno při plnění povinností národního CSIRT týmu postupovat nestranně.

Dle ustanovení § 18 ZoKB se provozovatelem národního CERT se může stát pouze právnická osoba,

a)    která splňuje podmínky uvedené v odstavci 2 a

b)    se kterou Úřad uzavřel veřejnoprávní smlouvu podle § 19.

(2) Provozovatelem národního CERT může být pouze právnická osoba, která

a)    nevyvíjí ani nevyvíjela činnost proti zájmu České republiky ve smyslu zákona upravujícího ochranu utajovaných informací,

b)    provozuje nebo spravuje informační systémy nebo služby a sítě elektronických komunikací[5] anebo se na jejich provozu a správě podílí, a to nejméně po dobu 5 let,

c)    má technické předpoklady v oblasti kybernetické bezpečnosti,

d)    je členem nadnárodní organizace působící v oblasti kybernetické bezpečnosti,

e)    nemá v evidenci daní u orgánů Finanční správy České republiky ani orgánů Celní správy České republiky ani v evidenci daní, pojistného na sociální zabezpečení a pojistného na veřejné zdravotní pojištění evidovány nedoplatky,

f)     nebyla pravomocně odsouzena za spáchání trestného činu uvedeného v § 7 zákona o trestní odpovědnosti právnických osob a řízení proti nim,

g)    není zahraniční osobou podle jiného právního předpisu a

h)    nebyla založena nebo zřízena výlučně za účelem dosažení zisku; tím není dotčena možnost provozovatele národního CERT postupovat podle § 17 odst. 3.

(3) Zájemce prokazuje splnění podmínek předložením

a)    čestného prohlášení v případě odstavce 2 písm. a) až d), g) a h) a

b)    potvrzení orgánu Finanční správy České republiky a Celní správy České republiky v případě odstavce 2 písm. e).

(4) Z obsahu čestného prohlášení podle odstavce 3 písm. a) musí být zřejmé, že uchazeč splňuje příslušné předpoklady. Potvrzení podle odstavce 3 písm. b), že uchazeč nemá v evidenci daní u orgánů Finanční správy České republiky ani orgánů Celní správy České republiky ani v evidenci daní, pojistného na sociální zabezpečení a pojistného na veřejné zdravotní pojištění evidovány nedoplatky, nesmí být starší než 30 dnů. Za účelem prokázání podmínky uvedené v odstavci 2 písm. f) si Úřad vyžádá výpis z evidence Rejstříku trestů podle jiného právního předpisu[6].

(5) Provozovatel národního CERT vykonává činnosti podle § 17 odst. 2 písm. a) až c), e) a g) až l) bezúplatně. Provozovatel národního CERT je povinen vynaložit k řádnému a účelnému výkonu činností uvedených v § 17 odst. 2 nezbytné náklady.

(6) Úřad zveřejní na svých internetových stránkách údaje o provozovateli národního CERT, a to jeho obchodní firmu nebo název, adresu sídla, identifikační číslo osoby, identifikátor datové schránky a adresu jeho internetových stránek.

Toto ustanovení stanoví obecné podmínky pro výběr provozovatele národního CERT. Současně je upraven způsob založení jeho závazku k provozování národního CERT formou veřejnoprávní smlouvy uzavřené s NBÚ. Užití institutu veřejnoprávní smlouvy odpovídá předpokladu, že provozovatelem národního CERT bude osoba soukromého práva. Závazky provozovatele národního CERT vykonávat činnosti uvedené v tomto zákoně mají sice převážně charakter soukromoprávní, ve vztahu k poskytovatelům služeb elektronických komunikací, subjektům zajišťující sítě elektronických komunikací a subjektům zajišťující významné sítě však bude provozovatel národního CERT vystupovat jako subjekt, prostřednictvím jehož činnosti tyto povinné osoby plní některé své zákonné povinnosti, typicky povinnost oznamovat kontaktní údaje a v případě subjektů zajišťujících významné sítě též povinnost hlásit výskyt kybernetických bezpečnostních incidentů.

Vzhledem k tomu, že národní CERT je pracovištěm velkého významu pro systém kybernetické bezpečnosti České republiky, vyžaduje se, aby měl jeho provozovatel sídlo na území České republiky. S ohledem na bezpečnostní expozici národního CERT tedy není možno vnímat tento požadavek jako diskriminační vůči osobám se sídlem v ostatních státech Evropské unie. Bezúhonnost, transparentní vlastnická struktura a neexistence splatných finančních závazků vůči státu jsou v případě spolupráce státu a osoby soukromého práva standardně požadovanými formálními podmínkami. Zákon rovněž formuluje materiální podmínky výkonu funkce provozovatele národního CERT, přičemž se požaduje, aby provozovatel národního CERT prokázal faktické schopnosti, zkušenosti a technické možnosti schopnost vykonávat činnosti uložené mu tímto zákonem, jakož i schopnost pracovat v součinnosti se zahraničními subjekty působícími na úseku kybernetické bezpečnosti. Zákon dále požaduje, aby provozovatel národního CERT vykonával činnosti svěřené mu tímto zákonem nestranně, bez ohledu na jeho případný smluvní či jiný vztah s povinnými osobami.

K § 18 odst. 5

Toto ustanovení reaguje na rozšíření kompetencí provozovatele národního CERT v § 17 a rozšiřuje adekvátně okruh činností, jež provozovatel národního CERT vykonává bezplatně.

K § 18 odst. 5

Legislativně technická úprava z důvodu rozšíření kompetencí provozovatele národního CERT. Pro zajištění důsledného naplňování povinností vyplývajících ze směrnice a následně ze zákona o kybernetické bezpečnosti se zakotvuje povinnost národního CERT vynaložit na zajištění výkonu kompetencí adekvátní finanční prostředky.

K odst. 1) a 2)

Provozovatelem národního CERT týmu je sdružení CZ.NIC.

Ustanovení § 18 ZoKB definuje podmínky, za kterých se může subjekt stát provozovatelem národního CERT.

Provozovatelem národního CERT může být pouze právnická osoba[7], se níž NÚKIB (či dříve NBÚ) uzavřel veřejnoprávní smlouvu[8] (dle § 19 ZoKB), a která splňuje následující podmínky:

a)    nevyvíjí ani nevyvíjela činnost proti zájmu České republiky ve smyslu zákona upravujícího ochranu utajovaných informací,

Dle § 2 písm. b) ZoOUI je „zájmem České republiky zachování její ústavnosti, svrchovanosti a územní celistvosti, zajištění vnitřního pořádku a bezpečnosti, mezinárodních závazků a obrany, ochrana ekonomiky a ochrana života nebo zdraví fyzických osob.“

b)    provozuje nebo spravuje informační systémy nebo služby a sítě elektronických komunikací anebo se na jejich provozu a správě podílí, a to nejméně po dobu 5 let,

c)    má technické předpoklady v oblasti kybernetické bezpečnosti,

d)    je členem nadnárodní organizace působící v oblasti kybernetické bezpečnosti,

Požadavek na provozování některého ze systémů uvedených pod písmenem c), na existenci technických předpokladů v oblasti kybernetické bezpečnosti a členství v nadnárodní organizaci působící v oblasti kybernetické bezpečnosti dává státu garanci, že se daná osoba dostatečně dlouho a kvalitně věnuje problematice kybernetické bezpečnosti, řešení incidentů aj. De facto jde o prokázání faktické schopnosti, zkušenosti a technické možnosti vykonávat činnosti uložené mu ZoKB.

e)    nemá v evidenci daní u orgánů Finanční správy České republiky ani orgánů Celní správy České republiky ani v evidenci daní, pojistného na sociální zabezpečení a pojistného na veřejné zdravotní pojištění evidovány nedoplatky,

f)     nebyla pravomocně odsouzena za spáchání trestného činu uvedeného v § 7 zákona o trestní odpovědnosti právnických osob a řízení proti nim,

Neexistence splatných finančních závazků vůči státu, stejně jako prokázání bezúhonnosti je v případě spolupráce státu a osoby soukromého práva standardně požadovanou formální podmínkou pro uzavření smlouvy.

Zákon o kybernetické bezpečnosti se v § 18 odst. 2 písm. f) dopouští faktické nepřesnosti, která je způsobena novelizací zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim. V tomto zákoně byly původně v § 7 vymezeny ty trestné činy, jichž se může dopustit právnická osoba. V současné účinné právní úpravě je v § 7 uvedeno negativní vymezení trestných činů.

Ustanovení § 7 TOPO (s účinností od 1. 12. 2016) stanoví, že právnická osoba může být trestně odpovědná za spáchání všech trestných činů s výjimkou trestných činů v tomto ustanovení taxativně uvedených.

Vedle vymezení okruhu trestných činů je třeba v případě trestně právní odpovědnosti právnických osob řešit i otázku přičitatelnosti. Přestože právnická osoba je fiktivní konstrukt, právo obecně ve vztahu k právnickým osobám uznává jejich způsobilost právně (tedy i protiprávně) jednat, včetně toho, že se jim přičítá zavinění. Zavinění jakožto podmínka trestní odpovědnosti se právnické osobě přičítá, jestliže nastaly okolnosti dle § 8 odst. 2 zákona o trestněprávní odpovědnosti právnických osob.

Dle § 8 odst. 1 zákona o TOPO se trestným činem spáchaným právnickou osobou rozumí protiprávní čin spáchaný v jejím zájmu nebo v rámci její činnosti, jednal-li tak

a)    statutární orgán nebo člen statutárního orgánu, anebo jiná osoba ve vedoucím postavení v rámci právnické osoby, která je oprávněna jménem nebo za právnickou osobu jednat,

b)    osoba ve vedoucím postavení v rámci právnické osoby, která u této právnické osoby vykonává řídící nebo kontrolní činnost, i když není osobou uvedenou v písmenu a),

c)    ten, kdo vykonává rozhodující vliv na řízení této právnické osoby, jestliže jeho jednání bylo alespoň jednou z podmínek vzniku následku zakládajícího trestní odpovědnost právnické osoby, nebo

d)    zaměstnanec nebo osoba v obdobném postavení (dále jen „zaměstnanec“) při plnění pracovních úkolů, i když není osobou uvedenou v písmenech a) až c),

jestliže lze právnické osobě jednání výše uvedené osoby přičítat podle § 8 odst. 2 TOPO.

g)    není zahraniční osobou podle jiného právního předpisu,

Za zahraniční osobu se dle § 3024 OZ považuje fyzická osoba s bydlištěm nebo právnická osoba se sídlem mimo území České republiky.

Vzhledem k významnosti národního CERT týmu v oblasti kybernetické bezpečnosti ČR je požadováno, aby provozovatel tohoto týmu měl sídlo na území ČR. Tento požadavek nelze vnímat jako diskriminaci vůči jiným osobám se sídlem v jiném členském státu Unie.

h)    nebyla založena nebo zřízena výlučně za účelem dosažení zisku; tím není dotčena možnost provozovatele národního CERT postupovat podle § 17 odst. 3 ZoKB.

K odst. 3) a 4)

Právnická osoba, která se chce stát provozovatelem národního CERT, prokazuje splnění podmínek předložením čestného prohlášení [v případě § 18 odst. 2 písm. a) až d), g), h) ZoKB] a potvrzením orgánu Finanční správy České republiky a Celní správy České republiky [v případě § 18 odst. 2 písm. e) ZoKB].

Z obsahu čestného prohlášení musí být zřejmé, že uchazeč splňuje příslušné předpoklady. Potvrzení, že uchazeč nemá v evidenci daní u orgánů Finanční správy České republiky ani orgánů Celní správy České republiky ani v evidenci daní, pojistného na sociální zabezpečení a pojistného na veřejné zdravotní pojištění evidovány nedoplatky, nesmí být starší než 30 dnů.

Z důvodu prokázání té skutečnosti, že právnická osoba nebyla pravomocně odsouzena za spáchání trestného činu si NÚKIB vyžádá výpis z evidence Rejstříku trestů.

K odst. 5)

Provozovatel národního CERT vykonává činnosti uvedené v § 17 odst. 2 ZoKB bezúplatně. Výjimkou z podmínky bezplatnosti jsou pouze následující činnosti:

§  poskytuje orgánům a osobám uvedeným v § 3 písm. a), b) a h) ZoKB metodickou podporu, pomoc a součinnost při výskytu kybernetického bezpečnostního incidentu,

§  provádí hodnocení zranitelností v oblasti kybernetické bezpečnosti.

Provozovatel národního CERT je povinen vynaložit k řádnému a účelnému výkonu činností uvedených v § 17 odst. 2 ZoKB nezbytné náklady.

K odst. 6)

Z důvodu možnosti kontaktovat provozovatele národního CERT týmu jsou údaje o tomto provozovateli zveřejněny na internetových stránkách NÚKIB. Zveřejněny jsou následující informace: obchodní firmu nebo název, adresu sídla, identifikační číslo osoby, identifikátor datové schránky a adresu jeho internetových stránek. 

3.1.2    Vládní CERT

Vládní CERT jako součást Úřadu

a)    přijímá oznámení kontaktních údajů od orgánů a osob uvedených v § 3 písm. c) až g),

b)    přijímá hlášení o kybernetických bezpečnostních incidentech od orgánů a osob uvedených v § 3 písm. c) až g),

c)    vyhodnocuje údaje o kybernetických bezpečnostních událostech a kybernetických bezpečnostních incidentech z kritické informační infrastruktury, informačního systému základní služby, významných informačních systémů a dalších informačních systémů veřejné správy,

d)    poskytuje orgánům a osobám uvedeným v § 3 písm. c) až g) metodickou podporu a pomoc,

e)    poskytuje součinnost orgánům a osobám uvedeným v § 3 písm. c) až g) při výskytu kybernetického bezpečnostního incidentu a kybernetické bezpečnostní události,

f)     přijímá podněty a údaje od orgánů a osob uvedených v § 3 a od jiných orgánů a osob a tyto podněty a údaje vyhodnocuje,

g)    přijímá údaje od provozovatele národního CERT a tyto údaje vyhodnocuje,

h)    přijímá údaje od orgánů, které vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí, a tyto údaje vyhodnocuje,

i)     poskytuje podle § 9 odst. 4 provozovateli národního CERT, orgánům vykonávajícím působnost v oblasti kybernetické bezpečnosti v zahraničí a jiným osobám působícím v oblasti kybernetické bezpečnosti údaje z evidence incidentů,

j)     provádí hodnocení zranitelností v oblasti kybernetické bezpečnosti,

k)    informuje bez uvedení identifikačních údajů ohlašovatele příslušný orgán jiného členského státu o kybernetickém bezpečnostním incidentu, který má významný dopad na kontinuitu poskytování základních služeb v tomto členském státě nebo se dotýká poskytování digitálních služeb v tomto členském státě, přičemž zachovává bezpečnost a obchodní zájmy ohlašovatele,

l)     přijímá hlášení o kybernetickém bezpečnostním incidentu od orgánů a osob neuvedených v § 3; vládní CERT hlášení zpracovává, a pokud to jeho kapacity umožňují a jedná se o kybernetický bezpečnostní incident s významným dopadem, poskytuje orgánům nebo osobám dotčeným kybernetickým bezpečnostním incidentem metodickou podporu, pomoc a součinnost,

m)  plní roli týmu CSIRT podle příslušného předpisu Evropské unie[9] a

n)    spolupracuje s týmy CSIRT jiných členských států.

Vládní CERT je součástí NBÚ, respektive Národního centra kybernetické bezpečnosti, jež je organizačním celkem NBÚ, který zajišťuje jeho činnost. Vládní CERT je koncipován jako centrální veřejnoprávní pracoviště a veřejnoprávní „single point of contact“ pro oblast kybernetické bezpečnosti. Jeho činnost zahrnuje příjem kontaktních údajů od vybraných povinných osob, příjem informací o kybernetické bezpečnostní situaci, a to zejména příjem povinných a iniciativních hlášení kybernetických bezpečnostních incidentů a dalších údajů o kybernetické bezpečnostní situaci od tuzemských a zahraničních orgánů veřejné moci a spolupracujících subjektů a jejich vyhodnocování. Vládní CERT dále poskytuje součinnost vybraným typům povinných osob při výskytu kybernetického bezpečnostního incidentu, zajišťuje součinnost s ostatními orgány a subjekty zajišťujícími kybernetickou bezpečnost v České republice a ve spolupracujících nebo spojeneckých státech a rovněž provádí hodnocení zranitelností v oblasti kybernetické bezpečnosti.

K § 20 písm. a), b), d) a e)

Mezi subjekty, se kterými komunikuje a s nimiž spolupracuje vládní CERT, se doplňují nové povinné subjekty - provozovatelé základních služeb a správci a provozovatelé informačních systémů základních služeb.

K § 20 písm. c)

Mezi informační systémy, u nichž vládní CERT vyhodnocuje údaje o kybernetických bezpečnostních událostech a kybernetických bezpečnostních incidentech, se doplňují informační systémy, na jejichž provozování je závislé poskytování základních služeb.

K § 20 písm. i)

Legislativně technická úprava vyplývající z potřeby doplnění nových písmen do tohoto ustanovení.

K § 20 písm. j) a písm. k) až n)

Vládní CERT na základě směrnice v tomto ustanovení získává nové kompetence a s nimi související povinnosti. Toto ustanovení je úzce provázáno s § 8, který upravuje hlášení kybernetických bezpečnostních incidentů.

Vládní CERT podle zákona ve znění tohoto návrhu: přijímá hlášení o kybernetických bezpečnostních incidentech, vyhodnocuje je, poskytuje dotčeným subjektů metodickou podporu, pomoc a součinnost, působí jako kontaktní místo, provádí hodnocení zranitelnosti v oblasti kybernetické bezpečnosti, předává NBÚ údaje o incidentech, plní roli týmu CSIRT podle směrnice, spolupracuje s jinými týmy CSIRT, komunikuje s příslušnými orgány jiných členských států a v neposlední řadě přijímá dobrovolná hlášení o kybernetických bezpečnostních incidentech.

Tím naplňuje požadavky přílohy I směrnice:

·       Monitorování incidentů na vnitrostátní úrovni - § 20 písm. b), c), f), g), l).

·       Vydávání včasných varování a upozornění, oznamování a šíření informací o rizicích a incidentech příslušným zúčastněným stranám – § 20 písm. d), e), i), n).

·       Reakce na incidenty - § 20 písm. d), e).

·       Poskytování dynamické analýzy rizik a incidentů a přehledu o situaci - § 20 písm. j).

·       Účast v síti CSIRT - § 20 písm. m).

Tím, že vládní CERT, který je součástí NBÚ, plní roli týmu CSIRT, bude i naplňovat požadavky směrnice na účast týmu CSIRT v síti CSIRT podle článku 12 směrnice. Účast zástupců národního CERT bude ponechána na jejich uvážení.

Směrnice stanoví ve svém článku 9, že každý členský stát zřídí jeden nebo více týmu CSIRT, neřeší však, že by se měli zástupci všech týmů CSIRT členského státu povinně účastnit práce sítě CSIRT. Postačuje tak plně účast alespoň jednoho týmu CSIRT, což naplní zástupci vládního CERT. Ustanovení upravuje postup vládního CERT v případě, že má nahlášený kybernetický bezpečnostní incident významný dopad na kontinuitu poskytování základních služeb, nebo dopad na poskytování digitálních služeb v jiném členském státu Evropské unie. V takovém případě se v souladu s čl. 14 odst. 5, potažmo čl. 16 odst. 6 směrnice zakotvuje oprávnění vládního CERT informovat o daném incidentu příslušné orgány jiných členských států.

Směrnice předvídá ve svém čl. 20 situaci, kdy subjekt, který nebyl určen jako provozovatel základních služeb a není ani poskytovatelem digitálních služeb, zaregistruje napadení bezpečnosti jeho informačních systémů a má snahu tuto situaci řešit. V tomto případě může tento kybernetický bezpečnostní incident dobrovolně nahlásit vládnímu CERT a ve spolupráci s ním situaci řešit. Vládní CERT v tomto případě hlášení zpracuje, a pokud to jeho kapacity umožňují a jedná se o kybernetický bezpečnostní incident s významným dopadem, poskytuje přiměřeně, jako když je mu nahlášen kybernetický bezpečnostní incident u provozovatele základních služeb.

Na základě zákona o kybernetické bezpečnosti jsou v ČR povinně zřízeny dva týmy typu CERT/CSIRT, a to národní a vládní.

Provozovatelem národní CERT je právnická osoba s níž NÚKIB (dříve NBÚ) uzavřel veřejnoprávní smlouvu (viz § 19 ZoKB).

Vládní CERT (GovCERT.CZ – blíže viz https://www.govcert.cz/) je zřízen na základě zákona jakožto součást Národního úřadu pro kybernetickou a informační bezpečnost (dříve v gesci NBÚ).

Dle zákona o kybernetické bezpečnosti vládní CERT:

• přijímá oznámení kontaktních údajů od orgánů a osob uvedených v § 3 písm. c) až g) ZoKB,
• přijímá hlášení o kybernetických bezpečnostních incidentech od orgánů a osob uvedených v § 3 písm. c) až g) ZoKB,
• vyhodnocuje údaje o kybernetických bezpečnostních událostech a kybernetických bezpečnostních incidentech z kritické informační infrastruktury, informačního systému základní služby, významných informačních systémů a dalších informačních systémů veřejné správy,
• poskytuje orgánům a osobám uvedeným v § 3 písm. c) až g) ZoKB metodickou podporu a pomoc,
• poskytuje součinnost orgánům a osobám uvedeným v § 3 písm. c) až g) ZoKB při výskytu kybernetického bezpečnostního incidentu a kybernetické bezpečnostní události,

Řešení bezpečnostních incidentů patří k hlavním činnostem vládního týmu. Při nahlášení kybernetického bezpečnostního incidentu je vládní tým GovCERT.CZ připraven pomoci IT specialistům po technické stránce, včetně poskytnutí rad pro další preventivní opatření. V případě, že dojde ke zjištění, že některý z incidentů cílí na více subjektů, je vládní tým GovCERT.CZ připraven koordinovat společný postup na jeho řešení.[10]

• přijímá podněty a údaje od orgánů a osob uvedených v § 3 ZoKB a od jiných orgánů a osob a tyto podněty a údaje vyhodnocuje,
• přijímá údaje od provozovatele národního CERT a tyto údaje vyhodnocuje,
• přijímá údaje od orgánů, které vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí, a tyto údaje vyhodnocuje,
• poskytuje podle údaje z evidence incidentů (viz § 9 odst. 4 ZoKB) provozovateli národního CERT, orgánům vykonávajícím působnost v oblasti kybernetické bezpečnosti v zahraničí a jiným osobám působícím v oblasti kybernetické bezpečnosti údaje z evidence incidentů,
• provádí hodnocení zranitelností v oblasti kybernetické bezpečnosti,
• informuje bez uvedení identifikačních údajů ohlašovatele příslušný orgán jiného členského státu o kybernetickém bezpečnostním incidentu, který má významný dopad na kontinuitu poskytování základních služeb v tomto členském státě nebo se dotýká poskytování digitálních služeb v tomto členském státě, přičemž zachovává bezpečnost a obchodní zájmy ohlašovatele,
• přijímá hlášení o kybernetickém bezpečnostním incidentu od orgánů a osob neuvedených v § 3 ZoKB; vládní CERT hlášení zpracovává, a pokud to jeho kapacity umožňují a jedná se o kybernetický bezpečnostní incident s významným dopadem, poskytuje orgánům nebo osobám dotčeným kybernetickým bezpečnostním incidentem metodickou podporu, pomoc a součinnost,
• plní roli týmu CSIRT podle čl. 9 NIS,
• spolupracuje s týmy CSIRT jiných členských států.

Vedle povinností explicitně stanovených zákonem o kybernetické bezpečnosti si vládní CERT stanovil i další úkoly[11], mezi které patří:

• Sdílení dat

GovCERT.CZ získává v rámci spolupráce s různými nadnárodními organizacemi, které se zabývají kybernetickou bezpečností, množství reportů a dat, které se týkají potenciálně infikovaných informačních systémů v ČR. Tyto informace v rámci proaktivní činnosti poskytuje dalším subjektům. Sdílená data jsou rozdělena do následujících projektů:

·       BotnetFeed – pomocí tohoto nástroje jsou zpracovávána data z převzatých C&C serverů o koncových stanicích zapojených do sítí botnetů. Pro identifikaci případně nakaženého počítačového systému je správci IP rozsahu předána IP adresa a informace o botnetu, do kterého je začleněna.

·       IHAP (Incident Handling Automation Project), MDM (Malicious Domain Manager) – v rámci těchto projektů jsou sbírány fragmenty indikátorů kompromitace (IoC) z různých serverů. Mezi nejčastější indikátory patří phishing, útoky hrubou silou, ids alerty, spam, pokusy o skenování, zneužívání zranitelností, výskyt malware a mnoho dalších typů. Na základě těchto dat jsou připravovány krátké reporty, které vždy obsahují IP adresu kompromitovaného stroje a stručné shrnutí, o jaký typ incidentu se jedná.

·       Shadowserver – projekt je zaměřen na průběžné vyhledávání relevantních informací o zranitelnostech v kyberprostoru a o výskytech těchto zranitelností na konkrétních IP adresách.

• Nasazování Honeypotů
• Penetrační testování

Jedná se o legální pokus o průnik do testovaných systémů. Výsledkem je zpráva o chybách v zabezpečení testovaného subjektu, která je určena výhradně jeho vlastníkovi, který na základě zprávy učiní příslušná bezpečnostní opatření.

Další možností je provedení skenování zranitelností podle OWASP (Open Web Application Security Project).

• Informační HUB

Na webových stránkách govcert.cz je možné nalézt informace, rešerše, analýzy a články týkající se aktuálních hrozeb a zranitelností se vztahem k systémům v České republice. Uvedené dokumenty jsou doplňovány o pravidelné měsíční bulletiny shrnující významné bezpečnostní incidenty v CŘ i zahraničí.

• Vzdělávání a výzkumná činnost

Forenzní laboratoř a SCADA laboratoř