Vývoj trhu, dohled » Zákon o kybernetické bezpečnosti a informačních systémech pojišťoven

Zákon o kybernetické bezpečnosti a informačních systémech pojišťoven

16.7.2015, Vývoj trhu, dohled, Pojistný obzor

Zákon o kybernetické bezpečnosti a informačních systémech pojišťoven

1. ledna 2015 nabyl účinnosti zákon o kybernetické bezpečnosti č. 181/2014 Sb. (dále ZKB) a jeho prováděcí předpisy. Koho se zákon týká a jaký bude mít případně vliv na bezpečnost, informační systémy (IS) a informační technologie (IT) pojišťoven? Jak jsou právně vymezeny požadavky na zabezpečení IS v pojišťovnách? Nejen na tyto klíčové dotazy se bude snažit najít odpovědi následující článek.

Základní premisa zákona

Smyslem zákona je stanovit podmínky spolupráce mezi soukromým sektorem a veřejnou správou za účelem vyšší efektivity řešení kybernetických bezpečnostních incidentů a zakotvit oprávnění a povinnosti v dané oblasti s cílem zvýšit bezpečnost kybernetického prostoru. Kybernetickým prostorem se podle zákona rozumí digitální prostředí umožňující vznik, zpracování a výměnu informací tvořené informačními systémy a službami a sítěmi elektronických komunikací. Není možné postihnout a eliminovat všechna rizika, která se mohou dotknout každého z uživatelů kybernetického prostoru, přesto je záměrem ZKB ochránit alespoň tu část infrastruktury, která je pro fungování státu významná a jejíž narušení by vedlo k poškození nebo ohrožení zájmu České republiky kritické informační a komunikační infrastruktury a tz. významných informačních systémů. 

Cíle ZKB

Hlavním cílem zákona je ustanovení konstituce práv a povinností orgánu státu, jemuž je svěřena konkrétní pravomoc v oblasti zajišťování kybernetické bezpečnosti v souvislosti s právy a povinnostmi dalších orgánů státu a soukromoprávních subjektů, které v této oblasti participují. Tímto orgánem je Národní bezpečnostní úřad (NBÚ) a jeho Národní centrum kybernetické bezpečnosti (NCKB) vnitřní organizační útvar NBÚ působící na úseku kybernetické bezpečnosti, který je přímo podřízen řediteli NBÚ. Součástí NCKB je t vládní CERT1 – pracoviště provozované jako součást Národního centra kybernetické bezpečnosti za účelem ochrany služeb a sítí elektronických komunikací a informačních systémů před kybernetickými bezpečnostními událostmi.

alšími z cílů jsou nastavení mechanizmu přenosu informací nezbytných pro prevenci před kybernetickými hrozbami, které budou sloužit pro analýzu možných kybernetických útoků a pro způsoby jejich včasného rozpoznání, a vybudování systému včasného varování, prevence a osvěty včetně poskytování pomoci při zavádění preventivních opatření a konkrétních protiopatření při hrozícím útoku. Zákon také ovlivňuje standardizaci nastavení bezpečnosti systémů nezbytných pro chod státu v rámci kritické informační infrastruktury státu, a v neposlední řadě stanovuje pravidla pro koordinaci činností pro odvrácení a při odvracení hrozícího útoku na prvky kritické informační infrastruktury státu a k řešení situací, v nichž je potřeba přijímat opatření před možným následkem hrozícího útoku. 

Vliv na pojistný trh

Vztahuje se ZKB na informační systémy pojišťoven? Podívejme se na problematiku podrobněji. Klíčovými pojmy zákona jsou podle paragrafu 2 zejména: 

  • kritická informační infrastruktura – prvek nebo systém prvků kritické infrastruktury v komunikačním odvětví a informační systémy v oblasti kybernetické bezpečnosti,
  • významný informační systém – informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci.

 

První a nejdůležitější pojem, kritická informační infrastruktura, je třeba z nepříliš srozumitelné definice „převyprávět“. Jedná se o stavbu, zařízení, prostředek nebo veřejnou infrastrukturu, jejichž narušení by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu, přičemž se v rámci ZKB toto omezuje na odvětví komunikačních a informačních systémů. Prvky kritické infrastruktury jsou vymezené krizovým zákonem a průřezová a odvětvová kritéria jsou stanovena nařízením vlády č. 432/2010 Sb. Podle něho jsou průřezovými kritérii pro určení prvku kritické infrastruktury tato hlediska: 

  • oběti s mezní hodnotou více než 250 mrtvých nebo více než 2 500 osob s následnou hospitalizací po dobu delší než 24 hodin,
  • ekonomický dopad s mezní hodnotou hospodářské ztráty státu vyšší než 0,5 % hrubého domácího produktu3 nebo
  • dopad na veřejnost s mezní hodnotou rozsáhlého omezení poskytování nezbytných služeb nebo jiného závažného zásahu do každodenního života postihujícího více než 125 000 osob.

Odvětvová kritéria pro určení prvku kritické infrastruktury zahrnují sítě pevných a mobilních komunikací, pro rozhlasové a televizní vysílání, pro satelitní komunikaci, technologické prvky pro poštovní služby a informační systémy, služby nebo sítě elektronických komunikací, které zajišťují provoz již výše určeného prvku kritické infrastruktury a budou pro tento prvek nenahraditelné. V části VII. nařízení Finanční trh a měna se za prvek kritické infrastruktury považuje pojišťovna, která nabízí komplexní portfolio služeb pro veškeré klienty, disponuje rozsáhlou skupinou dceřiných a přidružených společností zajišťujících další finanční služby a která má rozsáhlou síť regionálních poboček, a to za předpokladu, že přesahuje tržní podíl měřený objemem předepsaného pojistného 25 %.

Taková podle aktuálních údajů v ČR není, byť by jedna z nich Česká pojišťovna – měla být na pozoru. Abychom odpověděli na otázku z úvodu této kapitoly, z poskytnutých informací vyplývá, že informační systémy pojišťoven nebudou zřejmě splňovat výše uvedená kritéria, a nejsou tak řazeny mezi prvky kritické informační infrastruktury, natož pak infrastruktury komunikační. A protože významné informační systémy jsou podle ZKB informační systémy spravované orgány veřejné moci, pak také IS pojišťoven nebudou spadat pod tuto kategorii. Souhrnně si tedy můžeme říci, že se na informační systémy pojišťoven nebude ZKB vztahovat!

Je nepochybné, že pojišťovny musí své informační systémy provozovat jako zabezpečené IS, neboť obsahují data, která mají být chráněna podle zvláštních předpisů. Zákon č. 277/2009 Sb., o pojišťovnictví ukládá povinnost zachovávat mlčenlivost osob činných pro pojišťovnu nebo zajišťovnu a dalších osob, a z tohoto požadavku lze dovozovat i povinnost zajistit, aby neoprávněné osoby nemohly získat údaje z IS pojišťovny.

Operační riziko v oblasti IS

Konečně již dříve ČNB vydala v částce 5/2011 ze dne 7. 6. 2011 úřední sdělení z 27. 5. 2011 k výkonu činnosti na finančním trhu – operační riziko v oblasti informačního systému, jehož cílem je poskytnout věcný výklad a další informace k výkonu činnosti na finančním trhu, pokud jde o kvalitativní požadavky související s operačním rizikem v oblasti informačního systému, kterému je nebo by mohl být poskytovatel finančních služeb vystaven. Toto úřední sdělení se podle názoru autora na pojišťovny vztahuje, byť o perfekcionalitě zákonného zmocnění nemusí být každý příjemce přesvědčen, což je pro všechny podzákonné předpisy, zejména pak vydávané ČNB, nikoliv výjimečné. Pokud se totiž (navíc v poznámce pod čarou) úřední sdělení odkazuje na požadavky na řízení rizik a informační systém, jež jsou stanoveny v příloze č. 1 vyhlášky č. 434/2009 Sb., a to na základě § 6 odst. 1 zákona o pojišťovnictví, podle kterého jsou pojišťovny a zajišťovny povinny vytvořit a udržovat funkční a efektivní řídicí a kontrolní systém – k oběma předpisům viz výše, pak z požadavků vyplývajících z citované vyhlášky lze platnost obsahu úředního sdělení pro pojišťovny dovozovat poněkud kostrbatě. Ovšem platí karbanické pravidlo „Vyšší bere“. Nezbývá tedy než doufat, že se uplatní odst. 3 tohoto sdělení, podle kterého Česká národní banka při výkonu dohledu postupuje individuálně, s přihlédnutím ke konkrétním podmínkám zaměření a uspořádání výkonu činnosti daného  poskytovatele finančních služeb. 

Je ZKB využitelný v praxi pojišťoven?

Pokud budeme předpokládat, že se výše citované úřední sdělení ČNB uplatní pro informační systémy pojišťoven, pak stále záleží na té které pojišťovně, jak požadavky ČNB splní. Zákon o kybernetické bezpečnosti a jeho prováděcí předpisy, zejména pak vyhláška č. 316/2014 Sb., je jedním z možných zdrojů inspirace, ačkoliv, jak jsme si řekli v úvodu, se na IS pojišťoven zřejmě nevztahuje. Podobným inspiračním zdrojem mohou být i předpisy o ochraně utajovaných informací: zákonem č. 412/2005 Sb. a prováděcí předpisy – vyhlášky č. 522/2005 Sb. až 529/2005 Sb. Autor se nicméně domnívá, že standardní cestou k budování zabezpečeného informačního systému pojišťovny jsou mezinárodně uznávané normy, nikoliv takové „samo-domo“, jaké vyhláška NBÚ č. 316/2014 Sb. představuje. Obecně využitelné jsou ČSN ISO/IEC TR 13335 (řízení bezpečnosti IT), ČSN ISO/IEC 15408 (Common Criteria) Informační metody – Kritéria pro hodnocení bezpečnosti informačních technologií, ČSN ISO/IEC 17799:2005, a především pak řada bezpečnostních norem ČSN ISO/IEC 27000.4

Prevence je důležitější nežli represe

Nebude-li ovšem informační systém pojišťovny vytvořen a provozován jako bezpečný informační systém, pak je zbytečné se spoléhat na nástroje následné represe, představované především trestním zákoníkem a realizované pomocí kriminalistických metod a nástrojů. Rovněž v oblasti dokazování v civilních sporech a ve správním řízení nelze počítat s tím, že z „obyčejného“ informačního systému (či dokonce z pouhého obsahu e-mailové komunikace) bude možno získat relevantní důkazy a „ustát“ tíhu důkazního břemene. 

Líbil se vám článek? Předplatné magazínu Pojistný obzor si můžete zakoupit ZDE.

Autor: Prof. Vladimír Smejkal

 

Zdroj: Pojistný obzor

Facebook Twitter

Související články

14.07.2015Nová kniha o kybernetické kriminalitě od profesora Smejkala
30.01.2015ACE zakládá v Evropě nový útvar kybernetických rizik
26.01.2015Lloyd's: Za kybernetïcké útoky zaplatí společnosti ročně kolem 400 miliard dolarů
08.12.2014Kybernetické útoky i bezpilotní letouny ohrožují bezpečnost letadel
13.11.2014Největší nově vznikající rizika podle pojišťoven a zajišťoven: Kybernetická rizika a terorismus
06.10.2014Většina úřadů v ČR nevyhoví nárokům na kybernetickou bezpečnost
08.08.2014Pojištění proti kyberzločinu. V USA žhavý trend, v Česku čeká na objevení
18.11.2013Speciální předsazbovaná nabídka pro pojištění kybernetických rizik – CyberEdge Quotepad

Komentáře

PR články

V AXA nyní uzavřete pojištění občanské odpovědnosti výhodněji a dokonce on-line

Vytopený soused, odřené dveře vedlejšího bytu, ale i štěkající domácí mazlíček, který vyleká sousedku tak, že udělá krok do prázdna a zlomí si nohu. Zdá se vám to přitažené za vlasy? Naopak, takovéto situace jsou běžnou součástí sousedského soužití. Jejich řešení zase vizitkou dobrých sousedských vztahů. AXA v těchto dnech přináší novinky v oblasti pojištění občanské odpovědnosti.

Nejbezpečněji se loni jezdilo v Karlových Varech

Podle výsledků ČP Indexu bezpečnosti se v roce 2015 jezdilo nejbezpečněji v Karlových Varech. Ty se na prvním místě žebříčku usadily se značným náskokem. Naopak nejhůře si z krajských měst vedlo Brno. Mezi okresními městy je vítězů hned pět – Beroun, Klatovy, Rakovník, Rokycany a Tachov.

Klienti UNIQA beze škod v loňském roce dostanou opět bonus  na účet

Každý klient UNIQA pojišťovny registrovaný v exkluzivním věrnostním programu Q-Partner dostává za uplynulý kalendářní rok za své uhrazené pojistné vždy něco zpět – buď pojistné plnění jako náhradu nahlášené škody, anebo část ročního pojistného formou přímé výplaty na bankovní účet - tzv. bezeškodní bonus. Ten obdrží nyní v případě, že mu během roku 2015 žádná škoda nevznikla, jako poděkování UNIQA za jeho odpovědný přístup. Za loňský rok obdrží tento příjemný „pozdrav“ od UNIQA bezmála 4 500 klientů, mezi něž se rozdělí 4,523 milionu korun.