Image

Role jednotek CSIRT v proaktivním hodnocení kybernetické bezpečnosti a její hranice

Vyvíjející se prostředí kybernetické bezpečnosti vyžaduje změnu rolí jednotek CSIRT s důrazem na proaktivní opatření, jako je například hodnocení zranitelnosti. Tato prezentace zkoumá legislativní a operační rámce na Slovensku, v Česku a Polsku a poskytuje srovnávací analýzu jejich přístupů k posílení pravomocí jednotek CSIRT podle nových zákonů o kybernetické bezpečnosti v rámci transpozice směrnice NIS2.

Na Slovensku je proaktivní skenování zranitelností již základním kamenem činnosti vládní jednotky CSIRT.SK v rámci její konstituence, příkladem je projekt Achilles. Nedávno novelizovaný slovenský zákon o kybernetické bezpečnosti dále upřesňuje, že všechny jednotky CSIRT mají zákonnou pravomoc provádět neinvazivní zjišťování a hodnocení zranitelností v rámci své působnosti. Tato hodnocení se výslovně vyhýbají negativním dopadům na hodnocené sítě, systémy nebo služby a zachovávají rovnováhu mezi proaktivní bezpečností a minimálním narušením. Česko ve svém návrhu zákona o kybernetické bezpečnosti zaujímá podobně proaktivní postoj. 

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) koordinuje činnosti související s kybernetickými bezpečnostními hrozbami a zranitelnostmi, včetně vyhledávání zranitelností a penetračních testů. Tyto činnosti jsou prováděny s výslovným souhlasem dotčených stran, což odráží vyvážený přístup, který upřednostňuje spolupráci a dodržování etických zásad.

Polský návrh zákona o kybernetické bezpečnosti, který je součástí transpozice směrnice NIS2, nabízí širší a invazivnější rámec. Umožňuje posuzování bezpečnosti, přičemž jednotky CSIRT mají pravomoc i jinak zakázáními zařízeními a nástroji získat přístup k informacím, které jim nejsou určené, a to přelomením anebo obcházením ochrany, anebo mohou získat přístup k celému informačnímu systému anebo jeho časti. Tento přístup vyvolává kritické otázky ohledně právních a etických hranic, zejména pokud jde o vyvážení potřeby komplexního posouzení bezpečnosti s respektováním autonomie organizace a soukromí.

Prezentace zkoumá, jak tyto přístupy odrážejí širší cíle proaktivní kybernetické bezpečnosti a zároveň řeší problémy harmonizace a důvěry v partnerství veřejného a soukromého sektoru. Srovnáním neinvazivní strategie Slovenska a Česka s expanzivními a potenciálně invazivními opatřeními Polska chceme vyvolat diskusi o tom, jak mohou jednotky CSIRT účinně zvýšit národní odolnost v oblasti kybernetické bezpečnosti, aniž by překročily právní nebo etické hranice.

 Michal Rampášek

Michal Rampášek je renomovaný bratislavský advokát specializující se na kybernetickou bezpečnost, právo informačních technologií a trestní právo, s víc jako 10 roční praxí. Působí jako advokát v advokátní kanceláři PETERKA & PARTNERS v Bratislavě.

Michal jeexterním právníkem slovenské Vládní jednotky CSIRT (CSIRT.SK), kde poskytuje právní poradenství v oblasti kybernetické bezpečnosti a regulace. Díky svéhluboké expertize v oblasti práva IT, kybernetické bezpečnosti a trestního právanabízí klientůmkomplexní právní poradenství přizpůsobené novým regulacím a digitálnímu prostředí. Ječlenem ISACA Slovakia Chaptera též certifikovaným Manažerem kybernetické bezpečnosti. 

Vedle své právní praxe působí jako doktorand aexterní vyučující na Ústavu práva informačních technologií a práva duševního vlastnictví Právnické fakulty Univerzity Komenského v Bratislavě.

Michal jeautorem několika vedeckých článkůzaměřených na právo informačních technologií a kybernetickou bezpečnost a pravidelně vystupuje na odborných a vědeckých konferencích s touto tematikou. Je rovněžspoluautorem univerzitní učebnice "Právo a umělá inteligence".