Rovnako ako zákon o bezpečnosti IT 2
Nový návrh zákona má zaviesť bezpečnostnú značku, ktorá používateľom ukazuje, ku ktorým IT produktom môžu bez obáv získať prístup.
Dlho platilo, že to, ako dobre alebo zle je IT systém zabezpečený, je na operátorovi. Politika vo veľkej miere zostávala mimo. Až v roku 2015 sa zákon o bezpečnosti IT začal zameriavať na „kritické infraštruktúry“, t. J. Na systémy s dôležitým verejným významom. Revízia tohto zákona (IT-SiG 2.0) ide oveľa ďalej, ako ukazuje ministerský návrh federálnej vlády, ktorý je k dispozícii od mája 2020: Zákonné požiadavky sa teraz týkajú veľkého počtu spoločností. Regulovaný musí byť aj trh IT pre spotrebiteľov, zatiaľ však na dobrovoľnej báze.
Federálna vláda chce na ochranu občanov vytvoriť „jednotnú bezpečnostnú značku IT“, „ktorá zviditeľní IT bezpečnosť výrobkov prvýkrát“. To by malo umožniť „informované rozhodnutie o kúpe“. Dôležitá etiketa je umiestnená na výrobkoch alebo na ich obaloch. Obsahuje QR kód, ktorý sa používa na vyvolanie aktuálnych bezpečnostných informácií o produkte na webovej stránke Federálneho úradu pre informačnú bezpečnosť (BSI).
Ochrana spotrebiteľa prostredníctvom označovania?
Stále nie je jasné, ako by sa malo toto označenie podrobne implementovať. Pokiaľ ide o mnohé ďalšie nariadenia, návrh odkazuje aj na zákonné nariadenie, ktoré ešte musí byť vypracované. Je však zrejmé, že výrobcovia zariadení musia predložiť žiadosť o použitie štítku BSI. V každom prípade má byť táto kancelária v budúcnosti centrom regulácie IT sektoru v Nemecku. Jednou z jeho novo pridaných úloh je ochrana spotrebiteľa.
Za účelom získania štítku by mali žiadatelia predložiť dokumenty s dôkazmi o prisľúbených bezpečnostných vlastnostiach produktu v oblasti IT. Ak BSI žiadosť schváli, výrobky môžu mať bezpečnostný štítok IT. Aj potom by mal úrad prostredníctvom náhodných vzoriek skontrolovať, či výrobca alebo dovozca naďalej dodržiava zákonné požiadavky.
Tieto plány sa stretávajú s kritikou spoločnosti Bitkom e. V. Aj keď v zásade víta bezpečnostné označenie IT, považuje aspoň medzinárodný prístup za rozumnejší ako čisto národný predpis na medzinárodnom trhu. Podľa asociácie navyše existuje riziko, že sa spotrebitelia budú dlhodobo cítiť v bezpečí jednoduchou kúpou takto označeného zariadenia. Používatelia si však musia uvedomiť, že záleží na tom, ako ich správne používať, napríklad na inštaláciu aktualizácií.
Štátna kontrola výrobcu
V budúcnosti bude výrobcom IT pomáhať štát ako celok. Rovnako ako v prípade mnohých ďalších opatrení, aj tu má BSI ústrednú úlohu: V prípade významných porúch v oblasti kritických infraštruktúr („KRITIS“) by úrad mal mať možnosť vyžadovať od výrobcov výrobkov okrem iného informácie o technických podrobnostiach.
BSI potom môže nielen využiť toto a poznatky z neho získané, ale aj ich odovzdať iným orgánom a útvarom, pokiaľ je to nevyhnutné na splnenie jeho úloh. Návrh zákona nezohľadňuje, že môžu byť ovplyvnené aj vysoko citlivé obchodné informácie.
Prevádzkovatelia systému „KRITIS“ musia do BSI predložiť zoznam všetkých svojich základných IT produktov. Kancelária môže tieto informácie použiť na vytvorenie databázy - je to mimoriadne citlivé, pretože poskytuje aj zoznam všetkých potenciálnych zraniteľností a vhodných vektorov útokov. Návrh ide ešte ďalej: zakazuje použitie takých kritických komponentov, ktoré pochádzajú od „nedôveryhodných výrobcov“. (Zakázaná) prevádzka týchto komponentov musí byť nahlásená Federálnemu ministerstvu vnútra (BMI). Výrobca sa považuje za dôveryhodného, ak vydal „záruku“. Musí poskytovať dostatočné dôkazy o tom, že výrobok je bezpečný. To, ako by sa to malo robiť podrobne, je stále úplne otvorené - rovnako ako otázka, či je takýto dôkaz vôbec možný v čase otvoreného zdroja a medzinárodných dodávateľov.
Návrh zákona tiež stanovuje porovnateľné predpisy pre telekomunikačný sektor. Tento prístup dostal v diskusii prezývku „Lex Huawei“. To naráža na debatu o úlohe čínskeho poskytovateľa pri vytváraní celulárnych sietí 5G. Uvedené požiadavky na operátorov „KRITIS“ sa nevzťahujú na vybavenie IT používané súkromnými osobami, ale iba na infraštruktúru spoločnosti. Presne v tom spočíva kľúčová úloha IT-SiG 2.0.
Viac regulácie pre základné veci
Primárne je určená na silnejšiu reguláciu IT spoločností a služieb ako doteraz, od ktorých závisí fungovanie komunity. Zákon o BSI presne definuje, ktorých inštitúcií sa to týka. Podľa tohto sa požiadavky „KRITIS“ vzťahujú iba na „zariadenia, systémy alebo ich časti“, ktoré patria do energetiky, informačných technológií a telekomunikácií, dopravy a dopravy, zdravotníctva, vodného hospodárstva, výživy, financií a poisťovníctva. Okrem toho „ak zlyhajú alebo sú narušené, musia hroziť značné prekážky v zásobovaní alebo ohrozenie verejnej bezpečnosti“.
V uvedených oblastiach existujú zákonné nariadenia, ktoré podrobnejšie vysvetľujú, na koho sa požiadavky vzťahujú. Stupeň dodávky sa určuje na základe prahových hodnôt pre každú kategóriu systému. Prahová hodnota je zvyčajne 500 000 ľudí.
Poskytovatelia kritickej infraštruktúry sú už povinní prevádzkovať svoje systémy IT v súlade so súčasným stavom techniky a pravidelne ich kontrolovať a modernizovať. Bezpečnostné normy tu zohrávajú rozhodujúcu úlohu. Týka sa to napríklad základnej ochrany IT a štandardov ISO ako 27001 definovaných v BSI, ale aj špecifických priemyselných požiadaviek. Cieľom je zabrániť neoprávnenému prístupu k technickému vybaveniu a údajom, ako aj poruchám. Bezpečnostné incidenty musia byť nahlásené BSI. Úrad sprístupňuje poznatky získané zo správ prevádzkovateľom a vytvára tak podmienky pre predbežné varovné opatrenia.
Nové „kritické“ oblasti
IT-SiG 2.0 teraz definuje úplne nové kategórie zariadení a spoločností. Na tieto by sa potom mali vzťahovať podobné povinnosti ako pre už existujúcich operátorov „KRITIS“. Mnoho spoločností preto čelí značným novým požiadavkám na IT, čo v neposlednom rade znamená vysoké náklady.
Návrh zákona preberá pojem „spoločnosť v osobitnom verejnom záujme“ do nemeckého zákona o bezpečnosti IT. Takéto spoločnosti nie sú operátormi „KRITIS“ v zmysle predchádzajúcej definície. Vyvíjajú alebo vyrábajú však produkty, ktoré sú relevantné pre armádu alebo pre štátnu bezpečnosť. Alebo sú zohľadnené z dôvodu ich ekonomického významu a pridanej hodnoty, ktorú vytvárajú. To by mohlo mať vplyv napríklad na veľké spoločnosti DAX, ktorých správne obchodné operácie závisia od tisícov pracovných miest a mnohých dodávateľských reťazcov. Do nových kategórií spadajú aj spoločnosti, ktoré podliehajú regulácii v súlade s nariadením o ochrane pred nebezpečnými látkami.
Porušenie bezpečnosti by navyše malo stáť veľa peňazí: IT-SiG 2.0 prispôsobuje rámec pokút rámcu GDPR. To znamená: V prípade porušenia zákona je splatných najviac 20 miliónov eur alebo až štyri percentá z celkového globálneho obratu spoločnosti v predchádzajúcom finančnom roku.
Návrh však v žiadnom prípade nevyjasňuje, čo presne je „spoločnosť v osobitnom verejnom záujme“. Rovnako ako príliš veľa otázok, aj táto zostáva nateraz otvorená - na to by mal odpovedať zákonný výnos Federálneho ministerstva vnútra (BMI). Z dôvodu aktuálnosti má zmysel neregulovať všetky numerické alebo technické požiadavky zákonom. Ak sa však otázky, ktoré je nevyhnutné urgentne špecifikovať, v určitom okamihu po prijatí zákona posunú do fázy, má to dôsledky pre priemyselné odvetvia a spoločnosti, ktoré sú oprávnené na reguláciu. Už v počiatočnej fáze potrebujete právnu istotu, na koho sa presne nové nariadenia vzťahujú a čo je potrebné urobiť.
Aj tí, ktorí sa predtým považovali za operátorov „KRITIS“, musia očakávať značné úsilie pri implementácii nových predpisov. Návrh zaväzuje tieto spoločnosti, aby zaviedli procesy na kontrolu dôveryhodnosti zamestnancov v obzvlášť citlivých oblastiach.
Okrem toho by podľa „najmodernejších poznatkov“ mala bezpečnosť IT v budúcnosti zahŕňať povinnosť používať „systémy detekcie útokov“. Podľa návrhu ide o „procesy podporované technickými nástrojmi a organizačnou integráciou na detekciu útokov na systémy IT“. Pokiaľ ide o spôsob fungovania, uvádza sa v ňom: „Detekcia útoku sa vykonáva porovnaním údajov spracovaných v systéme IT s informáciami a technickými vzormi, ktoré naznačujú útoky“. V tejto súvislosti by BSI malo byť schopné vypracovať príslušné technické pokyny (BSI-TR). Aký vzťah by mal existovať s ostatnými bezpečnostnými technickými normami a štandardizáciami, ako sú špecifikácie ISO, zostáva nejasný.
Aj z hľadiska ochrany údajov nie je povinné používanie systémov detekcie útokov nijakou maličkosťou. Návrh de facto umožňuje spoločnostiam uchovať si svoje súkromné uchovávanie údajov: operátori môžu údaje spojené s takýmito systémami uchovávať až desať rokov a v jednotlivých prípadoch sa môžu zasielať aj orgánom činným v trestnom konaní.
Viac energie pre BSI
IT-SiG 2.0 opäť prispieva k tomu, aby sa BSI zmenila na akúsi super agentúru pre bezpečnosť IT. Snaha vlády pokryť túto oblasť holistickejšie ako doteraz mala za následok značné zvýšenie právomocí a zamestnancov BSI. Samotné zmeny, ktoré priniesol IT-SiG 2.0, by mali súvisieť s vytvorením 583 nových pracovných miest v bonnskom orgáne.
BSI nebude iba bodom hlásenia pre otázky „KRITIS“. Predchádzajúce nemecké a európske právne predpisy už stanovujú, že výmena informácií na účely prevencie, odhaľovania a ochrany kybernetických útokov je koordinovaná a nadnárodná. Úlohou BSI ako centrálneho zberného miesta je prijímať a vyhodnocovať informácie o bezpečnostných rizikách IT z čo najväčšieho množstva rôznych zdrojov, aby bolo možné vypracovať celkový plán bezpečnostnej situácie IT - takzvanú situačnú správu. Na základe toho môžu byť spoločnosti alebo široká verejnosť varovaní napríklad pred bezpečnostnými nedostatkami a škodlivým softvérom.
„Nový zákon prispôsobuje rozsah pokút za porušenie bezpečnosti nariadeniu GDPR.„
Kritici sa sťažujú, že údaje uložené orgánom sú mimoriadne citlivé. Aké bezpečné sú možné osobné údaje tých, ktorí poskytujú informácie BSI? Obavy z ochrany údajov narastajú, pretože BSI má v budúcnosti dostať svoje vlastné právomoci v telekomunikačnom práve. Môže napríklad získať prístup k údajom o zákazníkoch uložených poskytovateľmi telekomunikačných služieb. Patria sem telefónne čísla, ID spojenia, mená a adresy účastníkov, ako aj „International Mobile Equipment Identity“ (IMEI) pre zmluvy o mobilných telefónoch. Doteraz sa také rozsiahle právo na informácie obmedzovalo na políciu a trestné stíhanie.
Práva občanov a spoločností sú osobitne ovplyvnené oprávnením BSI ukladať údaje denníka, ktoré sú generované počas prevádzky federálnej komunikačnej technológie. Tieto údaje sa už môžu zhromažďovať a automaticky vyhodnocovať, ak je to potrebné z bezpečnostných dôvodov IT. V prípade IT-SiG 2.0 sa diskutuje o rozšírení tohto oprávnenia: Údaje protokolu by sa nemali mať povolené ukladať iba tak dlho, ako je to potrebné na ich vyhodnotenie, ale maximálne po dobu 18 mesiacov. Tieto údaje môžu určite obsahovať osobné údaje. Zákonná pseudonymizácia to nemení.
Aby mohla BSI podľa svojho návrhu zákona plniť svoje úlohy, malo by sa jej v budúcnosti umožniť „implementovať opatrenia na zisťovanie škodlivého softvéru, bezpečnostných medzier a ďalších bezpečnostných rizík vo verejne prístupných IT systémoch“. Predpokladom je to, že „skutočnosti odôvodňujú predpoklad, že nie sú chránené, a že môže byť ohrozená ich bezpečnosť alebo funkčnosť“. Systém IT by sa mal považovať za „nechránený“, ak má verejne známe medzery v zabezpečení alebo ak sú prijaté bezpečnostné opatrenia zjavne nedostatočné, aby k nim mali prístup škodlivé strany.
Pri svojom oficiálnom vyhľadávaní rizika môže BSI „použiť systémy a procesy, ktoré simulujú úspešný útok útočníka, s cieľom zhromaždiť a vyhodnotiť malvér a iné metódy útoku“. To znamená, že kancelária by mala nielen skenovať porty, ale aj prevádzkovať honeypoty a závrty. Aktívne prenikanie do IT systémov nie je koniec koncov naplánované. Ak sa pomocou uvedených technických postupov skutočne zistia slabé miesta, BSI by mala informovať osobu zodpovednú za IT systém alebo zodpovedného operátora.
Nie nezávislý orgán
Jednou z úloh, ktorú má úrad v budúcnosti dostať, je udelenie právomocí pôsobiť ako orgán posudzovania zhody v oblasti bezpečnosti IT. Federálna vláda okrem toho s najväčšou pravdepodobnosťou pomenuje BSI ako národný orgán pre certifikáciu kybernetickej bezpečnosti v súlade so zákonom o kybernetickej bezpečnosti (CSA) EÚ. Úrad, ktorý je taký dôležitý, nie je nezávislý, ale je podriadený federálnemu ministerstvu vnútra. Toto ministerstvo však riadi aj orgány ako Federálny úrad na ochranu ústavy, Federálny úrad kriminálnej polície a Federálne riaditeľstvo polície. Ak chcete skutočne brať tému bezpečnosti IT vážne, mali by ste vyžadovať BSI, ktorý je nezávislý od BMI, ako najvyšší federálny orgán rovnakého postavenia. O tomto sa v súčasnosti stále vedie debata. Je však celkom zrejmé, že minimálne IT-SiG 2.0 zatiaľ takúto nezávislosť neprinesie.
Na európskej úrovni sa dá predpokladať, že obrovské zoskupenie právomocí pre BSI bude mať za následok konflikty s GDPR a nariadením EÚ o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu (eIDAS-VO). Môže dokonca dôjsť k vnútornému konfliktu záujmov: Ako môže byť BSI na jednej strane vyšetrovacím orgánom v oblasti IT, ktorý aktívne odhaľuje nedostatky, a na druhej strane možno predtým sám certifikoval príslušné systémy?
Veľa materiálu pre argumenty
Návrh zákona o IT-SiG 2.0 ukazuje, akým smerom by sa mala bezpečnosť IT v Nemecku a Európe podľa vôle politikov v nasledujúcich rokoch uberať. Cesta vedie podľa štátom byrokratických receptúr v smere štátnej bezpečnosti. Nariadenia by mali upravovať technické podmienky do posledného detailu. Dopady pociťujú aj spotrebitelia: Najmä na trhu IT pre súkromné osoby bude hrať dôležitú úlohu nová bezpečnostná značka, ktorá sa má udeliť. V neposlednom rade táto cesta ovplyvňuje suverenitu nad vlastnou IT infraštruktúrou. Skutočne to povedie k cieľu komplexnej a lepšej bezpečnosti IT? Pochybnosti sú povolené. (juke)