Co zásadního nám přináší chystaná novelizace VoKB
🕒 3 min čtení
Dostala se ke mně poslední verze novelizace VoKB po zapracování připomínek od dotčených subjektů.
Pojďme se společně podívat, co zásadního nám novelizace vyhlášky přináší. Došlo k většímu množství formálních úprav, pojmů a jejich definic, a změnám v přílohách.
Dokonce byly zapracovány i některé mé dřívější výhrady k analýze rizik. Celkově lze změny ve VoKB vnímat jako pozitivní až na pár požadavků, u kterých bych se rád pozastavil.
Tak např. pokud není možné zavést 2FA, tak dle § 19 odstavec 5, musí být nastavena taková politika hesel, která zajistí, že minimální délka hesla uživatele bude 14 znaků a administrátora a aplikací 17 znaků, přičemž toto heslo musí být změněno nejpozději po 18 měsících.
Dále musí být umožněno zadat heslo o délce alespoň 64 znaků, nesmí být omezováno použití malých a velkých písmen, číslic a speciálních znaků a zároveň nesmí být umožněno zvolit si nejčastěji používaná hesla, tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailu, názvu systému atd.
Oproti minulé vyhlášce tak není požadováno, aby heslo obsahovalo velká a malá písmena čísla a speciální znaky. Pouze to musí být umožněno. NÚKIB argumentuje aktuálním standardem NIST SP 800-63B, který původní přístup k tvorbě hesel a jejich komplexitě popírá.
NIST skutečně doporučuje 2FA a passphrase, nicméně i zde je třeba si uvědomit, že aby passphrase byla skutečně bezpečná, tak je nutné dodržovat určitá doporučení podobně jako u tvorby hesel.
Otázka však je, zda je nutné klást rozdílné požadavky na uživatele a administrátory, protože jestli mám denně zadávat passphrase o délce 14 nebo 17 znaků, tak to už je stejně prašť jako uhoď. Nehledě na to, že lepší by bylo nastavit minimální délku na 15 znaků. Proč, uvádím zde.
A byť není komplexita vyžadována, tak stejně musím kontrolovat, zda nejsou použity nejčastěji používaná hesla, opakující se znaky, přihlašovací jména, e-mail, název systému apod., což může být v některých případech problém.
Dle § 21 odstavec 1 písmena a) je s ohledem na důležitost aktiv nutné zajistit použití nástroje pro nepřetržitou automatickou ochranu před škodlivým kódem a to i na mobilních zařízeních.
V zásadě tedy z tohoto požadavku vyhlášky, a stanoviska NÚKIB vyplývá, že např. v okamžiku, kdy z tabletu nebo smartphone probíhá správa dotčeného systému nebo infrastruktury, a potažmo se na něm třeba generuje i OTP používané v rámci 2FA pro přístup k dotčenému systému a infrastruktuře, tak by se na něm měla nacházet ochrana před škodlivým kódem.
Dle § 23 odstavec 2 písmeno b) by se pak měly na výše uvedených mobilních zařízeních detekovat i kybernetické bezpečnostní události a podle § 24 by se pak měl provádět i sběr a vyhodnocování těchto událostí. Což by mohl být problém. Ale možná že je tento výklad už příliš extenzivní.
Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.
Děkujeme!
ČERMÁK, Miroslav. Co zásadního nám přináší chystaná novelizace VoKB. Online. Clever and Smart. 2018. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/co-zasadniho-nam-prinasi-chystana-novelizace-vokb/. [cit. 2025-12-10].
Štítky: zákon o kybernetické bezpečnosti
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.