Kybernetická bezpečnost v kritických informačních infrastrukturách

Abstract

Disertační práce pojednává o problematice kybernetické bezpečnosti kritické informační infrastruktury České republiky, identifikuje nedostatky v jejím zabezpečení a stanovuje legislativní, administrativní a technická opatření pro jejich alespoň částečnou eliminaci. V teoretické části disertační práce jsou definovány pojmy související s kybernetickou bezpečností kritické informační infrastruktury, uvedeny příslušné právní předpisy a subjekty podílející se na jejím zajištění. Zvláštní pozornost je věnována krizové dokumentaci a procesu určování chráněných aktiv. V analytické části disertační práce je hodnocen vývoj řešených kybernetických bezpečnostních incidentů v České republice za období LJK\–LJK^, evidovaných Národním úřadem pro kybernetickou a informační bezpečnost, pomocí elementárních charakteristik časových řad a stanovena predikce jejich vývoje na období následujících dvou let. Dále je výzkum zaměřen na rozsah zapracování aspektů kybernetické bezpečnosti v krizové dokumentaci vybraných subjektů, úroveň zpracování vybraného typového plánu a formuláře pro hlášení kybernetických bezpečnostních incidentů, včetně posouzení rozsahu poskytovaných informací povinnými subjekty dle zákona o svobodném přístupu k informacím. Pro aplikovatelnost v praxi disertační práce obsahuje návrh na úpravu kritérií pro určování prvků kritické informační infrastruktury, změnu statistického vykazování, zrušení institutu základní služby, změnu formuláře pro hlášení kybernetických bezpečnostních incidentů, metodiky pro analýzu rizik a sjednocení rozsahu veřejnosti poskytovaných informací. V technické rovině jsou obsaženy návrhy pro implementaci automatizované kontroly na výskyt známých zranitelností a indikátorů kompromitace u provozovaných prvků kritické informační infrastruktury.

The dissertation thesis deals with the issue of cybersecurity of critical information infrastructure of the Czech Republic, identifies deficiencies in its security and sets legislative, administrative, and technical measures for their at least partial elimination. The theoretical part of the thesis defines terms related to the cybersecurity of critical information infrastructure, the relevant legislation, and entities involved in its provision. Particular adention is given to crisis-related documentation and the process of identifying protected assets. The analytical part of the thesis evaluates the development of cybersecurity incidents in the Czech Republic addressed between LJK\ and LJK^ and registered by the National Cyber and Information Security Agency, using elementary characteristics of time series. It also predicts the development of incidents for the next two years. Furthermore, the research focuses on the extent to which cybersecurity aspects will be integrated in the crisis-related documentation of selected entities, the adequacy of the selected model action plan, and the forms for reporting cybersecurity incidents, including an assessment of the extent of the information provided by entities identified in the Freedom of Information Act. The dissertation contains a proposal to modify the criteria for identifying the elements of critical information infrastructure, amend statistical reporting, abolish the institute of essential service, revise the form for reporting cybersecurity incidents, modify risk analysis methodology and unify the scope of information provided to the public. At the technical level, the dissertation includes proposals for the implementation of automated control systems identifying known vulnerabilities and indicators of compromise in operating elements of critical information infrastructure.