NÚKIB s americkými úřady a dalšími zahraničními partnery vydal společné doporučení k bezpečnosti softwarových produktů

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zveřejnil s Agenturou pro kybernetickou a infrastrukturní bezpečnost (CISA), Federálním úřadem pro vyšetřování (FBI), Národní bezpečností agenturou (NSA) a dalšími mezinárodními partnery doporučující dokument nazvaný „Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software”, který se soustředí na principy vedoucí k bezpečnosti softwarových produktů. Dnes zveřejněný dokument obsahuje doporučené postupy určené pro výrobce těchto technologií, přičemž se zaměřuje na tzv. přístup Secure by Design a Secure by Default. Cílem tohoto přístupu je zajistit bezpečnost v každé fázi vývoje a výroby softwarů, zvýšit jejich odolnost a předcházet tak tomu, aby na trh byly uvedeny produkty obsahující zranitelnosti.

Ke společnému aktualizovanému doporučení, které publikovala agentura CISA, se kromě NÚKIB připojily také kyberbezpečnostní úřady a orgány Německa, Nizozemska, Norska, Spojeného království, Kanady, Austrálie, Izraele, Singapuru, Japonska, Jižní Korey a Organizace amerických států. Dokument navazuje na předchozí doporučení, které bylo zveřejněno ze strany CISA v dubnu 2023. Jeho aktualizovaná verze, která vznikla mj. na základě zpětné vazby od stovek jednotlivců, společností a řady mezinárodních partnerů, doporučuje výrobcům technologií zaměřit se na bezpečnost již při samotné výrobě, aby se ke konečným uživatelům dostávaly co nejbezpečnější produkty. Dokument klade důraz jak na maximální transparentnost ze strany výrobce, tak na jeho odpovědnost za bezpečnost daného produktu. Dotýká se také témat jako je velikost výrobce a vyspělost zákazníka.

Přístup kladoucí důraz na „Secure by design“ a „Secure by default“ je rovněž jedním z požadavků v Evropské unii aktuálně projednávaného návrhu Aktu o kybernetické odolnosti (tzv. Cyber Resilience Act), který má stanovovat povinné požadavky na kybernetickou bezpečnost hardwarových a softwarových produktů po celou dobu jejich životního cyklu. Ředitel NÚKIB Lukáš Kintr k dokumentu uvedl: „Vážíme si spolupráce s CISA a ostatními mezinárodními partnery, kteří se na dokumentu podíleli. V rámci našeho předsednictví v Radě Evropské unie v roce 2022 patřila bezpečnost tzv. internetu věcí a projednávání návrhu Aktu o kybernetické odolnosti mezi naše priority. Ve světě, kde narůstá závislost na technologiích, je nutné prosazovat přístup Secure by Design, který posílí naši kybernetickou odolnost, ochranu uživatelů i kritické infrastruktury, a to napříč kontinenty.”

Zapojení NÚKIB jako kyberbezpečností autority v České republice koordinovala naše cyber attachée pro USA a Kanadu Berta Jarošová: „Společné doporučení je jedním z příkladů naší dlouhodobé spolupráce s agenturou CISA a jedná se o první společný veřejný produkt tohoto druhu. Posílení odpovědnosti výrobců a tzv. Secure by Design přístupu je i jedním z cílů nové Národní strategie kybernetické bezpečnosti USA, která byla zveřejněna začátkem roku 2023.“

Ředitelka agentury CISA Jen Easterly pak na mezinárodní aktuálně probíhající akci Singapore International Cyber Week, které se účastní i česká delegace, včetně zástupců NÚKIB, vyzvala k zapojení do veřejné konzultace dnes zveřejněného dokumentu. Tato výzva je příležitostí také pro českou expertní komunitu.