Obsah

NIS2 se od původní NIS liší v tom, že nařizuje státům hlouběji zanalyzovat rizika spojená s hrozbami kyberútoků a tyto analýzy budou nyní zahrnovat i soukromý sektor do značné míry. Každý zahrnutý subjekt bude mít za povinnost provést a udržovat analýzu rizik z pohledu kybernetické bezpečnosti. Členské státy se budou muset zaměřit na analýzu klíčových služeb a soukromých sektorů s vysokým dopadem rizik. Dalším prvkem, který se v NIS2 objevuje nově, je zabezpečení dodavatelských řetězců a to z hlediska bezpečnosti dodavatele. V tomto ohledu bude pravděpodobně možné získat certifikaci a tím prokazovat dostatečnou úroveň kybernetické bezpečnosti. Státní subjekty mohou/budou muset zamítnout spolupráci se subjekty, které nedisponují dostatečnou certifikací. Členské státy budou mít 18 měsíců na implementaci NIS2 od jejího uvedení v platnost. Sankce pro členské státy mohou dosahovat až 10 mil. EUR.

NIS2 je stále ve fázi návrhu. Diskutuje se hlavně zabezpečení dodavatelských řetězců ležících mimo EU, které EU (respektive ENISA) mít pod kontrolou nemůže. Dalším horkým tématem je dodržování bezpečnostních opatření jednotlivými subjekty uvnitř státu, což bude regulovat a kontrolovat stát samotný, protože není v silách ENISA provádět takovéto kontroly.

Dalším zajímavým prvkem je zřízení registru pod správou ENISA, který bude obsahovat bezpečnostní informace a slabiny jednotlivých subjektů a dle míry dopadu rizika takové slabiny bude tyto subjekty bedlivěji kontrolovat.

Odkazy

https://digital-strategy.ec.europa.eu/en/library/proposal-directive-measures-high-common-level-cybersecurity-across-union

Účastníci

• Benjamin Bögel

• Muriel Boix

• Alisha Müller

Obsah

Je to něco jako wikipedie pro kybernetickou bezpečnost. Obsahuje aktualizované právní podklady s příklady jednotlivých případů incidentů a problémů. Příklady jsou převzaté ze skutečných událostí a jsou formátované do podoby scénářů, které pomohou nejen správcům ICT, ale i orgánům s právním zaměřením vypořádat se se situacemi, které s sebou nesou zodpovědnost za kybernetickou bezpečnost.

Důraz je zde zaměřen nejen na právní předpisy EU ale i na mezinárodní legislativu. Scénáře a první předpisy respektive jejich důsledky jsou zde neustále aktualizovány.

Odkazy

https://cyberlaw.ccdcoe.org/wiki/Main_Page

Účastníci

• Kubo Mačák

• Taťána Jančárková

• Samuele De Tomas Colatin

• Maria Tolppa

Obsah

Diskuse se zabývala dopadem veřejně dostupného výpočetního času na kvantových počítačích na kryptografii v běžně používaných systémech. Dále popisovali řešení, které samotné kvantové počítače mohou poskytnout: QKD (Quantum Key Distribution).

Diskuse probírala postupně několik podřízených témat:

Co to je Kvantový výpočet

Ke kvantovému výpočtu potřebujeme kvantový počítač. Je to zařízení, které místo bitů počítá s Qubity (kvantovými bity). Qubit nabývá stejně jako klasický binární bit stavy 0 a 1, ale také oba naráz a to ne vždy stejnou měrou (amplitudou). K reprezentaci bitů se v běžných fyzikálních systémech používají různé prostředky (prohlubně, magnetická polarizace, náboj, světelný pulz, úrovně elektrického napětí), avšak v kvantové mechanice je nejlepším reprezentantem částice a čím menší tím lepší (atom, foton, …). Kvantový výpočet probíhá v kvantovém procesoru, do kterého vstupuje určitý počet Qubitů a zase z něj po provedení výpočtu vystupuje s informací o výsledku. Problém je v přečtení takové informace, protože pokud chceme zjistit její hodnotu, tak už ji nemůžeme použít, protože zanikne (Schrödingerova kočka). Když ji naopak chceme použít, tak ji nemůžeme přečíst, protože při zpracování také zanikne. Tento problém je do jisté míry principem a důvodem současně, proč je kvantový výpočet o tolik rychlejší, než klasický, založený na fyzikálním systému. Neplatí to u všech typů výpočtů, ale k prolomení kryptografických algoritmů je kvantový výpočet více než dostačující.

Kvantové počítače pracují s fotony, a protože je foton velice náchylný na ovlivnění okolím, tak musí být kvantový procesor zchlazen téměř na absolutní nulu, řádově miliKelviny pomocí adiabatického magnetického chlazení.

Co se stane s kryptografií

Kvantové výpočty jsou schopné prolomit stávající kryptografické šifry během několika sekund bez znalosti reverzního algoritmu. Na planetě Zemi existuje jen několik kvantových počítačů, ale neustále vzrůstá jejich počet. Pokud se výpočetní čas na kvantových počítačích uvolní pro veřejnost, je to jen otázka času, než bude tento čas zneužit k poskytnutí prostředků pro útok na veřejně dostupné služby a datacentra nebo vládní organizace.

Proto se musí kryptografie posunout kupředu a začít využívat nových technologií zejména ve vládní sféře. Ačkoliv kvantové počítače tento problém sice nezpůsobily, ale značně urychlily, jsou také kupodivu jeho řešením. Pomocí kvantových počítačů je možné poskytovat symetrickou kvantovou kryptografii, která nahradí stávající kryptografické metody u velkých firem a státních prostředků správy. Princip spočívá v přenosu klíčů pomocí kvantové sítě (QKD) a použití těchto klíčů v klasických systémech.

Co je QKD

Quantum Key Distribution je metoda šíření klíčů k symetrické kryptografické šifře, které ovšem nelze zneužít. Bezpečnost přenosu takových klíčů spočívá v tom, že klíč lze z kvantové síti buď přečíst nebo použít, ale nikdy obojí zaráz. Nelze ho tedy odcizit. Samotný výpočet šifry u přijímačů pak zajišťuje specializovaný HW, který je nepřerušovanou optickou linkou propojen s kvantovým procesorem, který klíč vypočítal.

QKD tedy vyžaduje vybudování infrastruktury pro rozsáhlou optickou síť, která bude obsahovat vždy a pouze přímá spojení mezi kvantovým procesorem a zdroji a cíli. Neexistuje žádný kvantový opakovač natož přepínač nebo směrovač. Zde se zatím nedosáhlo takové technologické úrovně na to, aby taková zařízení mohla být vůbec vymyšlena.

Jak na tom je EU

Hlavním výrobcem kvantových procesorů je firma IBM. V současné době je úroveň abstrakce nad kvantovým výpočetním systémem na úrovni analogie hradel NAND, OR, AND, XOR nad klasickými fyzikálními systémy. U fyzikálních systémů je posloupnost abstrakce, které jsme jako lidstvo zatím dosáhli následující: Fyzikální reprezentace → hradla → mikro kód → assembler → jazyk C → frameworky → abstraktní generátory kódu, atd. Je tedy zřejmě, že vývoj v oblasti kvantové výpočetní techniky má kudy se ubírat.

Problém spočívá v počáteční neochotě k uvolnění prostředků pro realizaci a další výzkum západními zeměmi a EU. Velké množství odborníků, kteří se kvantovým výpočtem zabývali, bylo totiž zaplaceno Čínou, která již nyní disponuje několika stovkami kilometrů kvantové sítě pro QKD včetně několika satelitů s kvantovými lasery. Čína tedy zaujmula dominantní postavení nad QKD jak z hlediska vědeckého, tak z hlediska ekonomického. EU ve spolupráci se západními státy vyvíjí svou vlastní technologii téměř od začátku. Předpokládaná doba nasazení v EU se tak oddálila.

Plánovaná kvantová síť by měla zahrnovat Prahu, Brno, Olomouc a Ostravu.

Will it run Minecraft?

Tuto otázku položil jeden z diváků v publiku pomocí aplikace sli.do a přestože získala velký počet hlasů k zodpovězení, tak ji moderátoři smazali.

Účastníci

• Jan Bouda

• Rupert Ursin

• Mário Ziman

• Igor Jex

Obsah

Zde se vedla diskuse k zavedení projektu pro bezplatnou podporu a služby pro sektor zdravotnictví. Pan Kadlčák jako Zvláštní zmocněnec Odboru kybernetické bezpečnosti Ministerstva zahraničních věcí České republiky celkem úspěšně moderoval něco jako malou tiskovou konferenci. Paní Katerina (rodilá Brňačka) z Microsoftu se ukázala jako skvělý řečník avšak s IQ kvokajícího koně (bez urážky). Její poznámky a ujištění, že MS bude české zdravotnictví podporovat různými projekty a zavede nové metody a postupy vyvolávaly v publiku ohlasy až nemístné. Spousta komentářů/otázek v aplikaci sli.do zdůrazňovala zastaralost zařízení samotných (win7, winXP) atd. a to z důvodu jejich nenahraditelnosti a nemožnosti spustit na nich něco novějšího, ať už z důvodu nekompatibility proprietárního SW nebo nedostatečného výkonu. Tyto připomínky zůstaly bez odezvy. Nejlépe hodnocený výstup měla paní Klara z CyberPeace Institutu (CPI), která opravdu dobře popsala procesy, kterými musí jednotlivé strany zúčastněné na projektu projít a vybudovat model, který funguje od samého počátku, protože jak správně podotkla, tak bezpečnostní opatření jsou ve zdravotnictví téměř non-existent.

Odkazy

https://cyberpeaceinstitute.org/

Účastníci

• Richard Kadlčák (OKB MZV)

• Petr Novotný (NÚKIB)

• Klara Jordan (CPI)

• Katerina Anna Magnna (Microsoft)