Österreich
Secure Your Business
 

"Rakouská strategie k bezpečnosti ICT" POSILUJE BEZPEČNOST INFORMACÍ PODLE

Energetika, telekomunikace, finance, doprava: „Provozovatelé strategické infrastruktury by měli být zavázáni k bezpečnosti informací“

 

(Pros. 2012) - Globální Cyber útoky na průmyslové řídicí systémy, jako nedávno prostřednictvím virů Flame nebo Stuxnet, které byly namířeny proti íránskému jadernému programu, odstartovaly éru kybernetické války. Elektronické útoky přitom nejsou namířeny pouze proti vojenským cílům, nýbrž i proti strategickým podnikům a provozovatelům infrastruktury.


Rakousko čelí potenciálním nebezpečím kybernetické éry pomocí „Národní strategie bezpečnosti ICT“. Koncepce zveřejněná úřadem spolkového kancléře slouží k ochraně kyberprostoru a zejména k ochraně strategicky důležitých infrastruktur, jako jsou energetika, telekomunikace, finance, doprava nebo zdravotnictví.

 

Prevence je nejlepší ochrana
Z pohledu bezpečnosti informací je zajímavá oficiální a proklamovaná podpora pro-aktivních opatření, jako je řízení bezpečnosti informací a řízení rizik v podnicích - i v malých a středních firmách. Prof. DI Dr. Reinhard Posch, Chief Information Officer Rakouské republiky, úvodem píše: „Reaktivní strategie jako Cyber Defense představují důležité prvky. Účinné ale mohou být pouze tehdy, když jsou doplněny pro-aktivními prvky, které většinou vykazují podstatně vyšší faktor náklady/účinnost.“ Následně zdůrazňuje, že bude nutné výrazně zvýšit povědomí o rizicích IKT a vytvořit pochopení pro kontroly/certifikace a monitoring.

 

Podpora používání ISO 27001
Podrobněji je tato koncepce popsána v kapitole „Kritická infrastruktura“ (KI). Jedním ze tří hlavních úkolů je zde „podpora vlastní ochrany“ ve strategicky důležitých podnicích a organizacích zavedením „řízení rizik a bezpečnosti informací“ (RM/ISM). Tato „pro-aktivní minimalizace rizik“ je jednou z „nejefektivnějších metod, jak podpořit kybernetickou bezpečnost a umožnit každodenní provoz“. Z tohoto hlediska je „vybudování informační bezpečnosti jedním z nejdůležitějších opatření, která mohou provozovatelé KI učinit k vlastní ochraně“. Tato opatření mají být podporována ze strany státu, mj. zřízením „Cyber Competence Centra jako součásti portálu bezpečnosti ICT, ... který poskytuje informace o různých koncepcích RM/ISM a o certifikačních postupech například podle bezpečnostní příručky 2010 nebo podle ISO 27001“. Strategická koncepce na straně 17 konkrétně doporučuje „v nejlepším případě všechny provozovatele KI právně zavázat k používání opatření k řízení rizik a bezpečnosti informací“. A to i na pozadí vytvoření právní jistotu pro ohlašovací povinnost v souvislosti s cyber útoky.


Standardizace & Certifikace
I když se v současnosti jedná o strategický dokument, jehož legislativní podoba ještě chybí, je z něj již patrné směřování dalšího vývoje. Standardizace a certifikace se v koncepci táhnou jako červená nit v návrzích opatření, neboť kritické podniky by v budoucnu měly splňovat definované minimální bezpečnostní standardy. Certifikační organizace CIS počítá s tím, že především ve strategicky důležitých sektorech budou podniky jako banky, energetické firmy, nemocnice, poskytovatelé telekomunikačních a přepravních služeb ve výraznější míře sázet na certifikaci podle ISO 27001. Jednatel CIS Erich Scheiber: „Již dobré dva roky pozorujeme rostoucí zájem o standardizaci a certifikaci v těchto odvětvích. Podniky chtějí strukturovaným postupem nejen vytvořit účinnou bezpečnostní síť proti virtuálním útokům, ale se prostřednictvím certifikace pojistit i proti odpovědnosti a nedbalosti.“


Národní rakouská strategie bezpečnosti IKT: stáhnout

 
 
CIS - Certification & Information Security Services, s.r.o. T +420 284 007 503 office.cz@cis-cert.com Imprint

T&C