Prečo je dôležité, aby majiteľ či riaditeľ malej a strednej firmy venoval toľko pozornosti kybernetickej bezpečnosti práve teraz?
Slovenský zákon o kybernetickej bezpečnosti sa bude novelizovať v súlade s európskou smernicou NIS2. Návrh zákona je v medzirezortnom pripomienkovom konaní, ale už teraz sa viete pripraviť a rozhliadnuť po trhu. Najmä, ak na tomto trhu chýbajú kapacity a samotná kybernetická bezpečnosť je komplexná a náročná téma.
A v skratke?
Čaká nás nová kategorizácia poskytovateľov základnej služby, a tým sa zvýši aj počet firiem a inštitúcií, ktorým pribudnú povinnosti. Napríklad ak ste výrobný podnik, ktorý má viac ako päťdesiat zamestnancov a ročný obrat nad desať miliónov eur, tak je vysoko pravdepodobné, že sa stanete regulovaným subjektom. Sú tu nové bezpečnostné požiadavky aj povinnosti pri hlásení incidentu a zároveň sa zvýšia aj pokuty.
Ktoré segmenty a sektory by mali teda spozornieť, ak hovoríme o novelizácii zákona o kybernetickej bezpečnosti?
Subjekty sa po novom budú deliť na kľúčové a dôležité a z toho budú následne vyplývať aj ich povinnosti.
Sektory ako napríklad energetika, doprava, bankovníctvo, zdravotníctvo, pitná voda, poskytovatelia infokomunikačných služieb a verejná správa budú musieť prehodnotiť svoje povinnosti. Väčšina z nich zostáva kľúčovým subjektmi a pribudnúť by mali subjekty ako odpadová voda a vesmír.
Ďalšia kategória sú dôležité subjekty, kam sa majú preradiť poštové a kuriérske služby a chemický priemysel. Zároveň sa však kategória rozširuje o mnohé výrobné segmenty, výrobu aj distribúciu potravín, odpadové hospodárstvo, výskum a poskytovateľov digitálnych služieb.
Ktoré nové povinnosti prinesie novelizovaný zákon firmám?
Nové povinnosti pribudnú všetkým organizáciám, či už ide o kľúčové alebo dôležité subjekty. Rozdiel bude v miere nevyhnutnej implementácie, a preto čakáme na finálne znenie zákona.
Už teraz však vieme, že medzi hlavné povinnosti patria analýza rizík a bezpečnostné politiky informačného systému, riešenie incidentov a kontinuita činností a krízové riadenie. A to je niečo, na čo sa dá pripraviť.
Je dôvod na masívnu paniku a zmeny?
Už prvé znenie slovenského zákona o kybernetickej bezpečnosti v roku 2018 významne reflektovalo na prvú európsku smernicu NIS, nepredpokladáme, že novelizácia zákona bude mať u nás také masívne následky ako napríklad v susednej Českej republike. Ako zaujímavosť uvádzam, že Slovensko má v súčasnosti približne tisícšesťsto poskytovateľov základnej služby a Česko tak štyristo.
Predpokladaný počet prevádzkovateľov základných služieb, ako sa dnes nazývajú, bude na Slovensku vyše štyritisícšesťsto. Takže ešte stále tu však máme tri tisícky organizácií, ktorým pribudnú nové povinnosti.
Predpokladaný aktualizovaný počet prevádzkovateľov základných služieb* 4 617 Štátna správa: ministerstvá, ostatné ústredné orgány, miestna správa 110 Samospráva: vyššie územné celky, mestá a obce nad 1 000 obyvateľov, úrady VÚC 1 038 Orgány činné v trestnom konaní 89 Stredné podniky 2 725 Veľké podniky 655 * Zdroj: Kompetenčné a certifikačné centrum kybernetickej bezpečnosti |
Takže firmy na Slovensku to majú náročnejšie už dnes? V zmysle, že náš zákon o kybernetickej bezpečnosti je prísnejší v porovnaní s inými štátmi európskeho spoločenstva?
Slovensko už prvú smernicu transponovalo v podstate jedna k jednej. Tu problém nevidíme. Problémom je skôr prenesenie zákona do reality a samotnej praxe.
Koľko máme času, aby sme sa pripravili na nové povinnosti?
Návrh novelizácie zákona o kybernetickej bezpečnosti je aktuálne v medzirezortnom pripomienkovom konaní. Ako členský štát EÚ musíme smernicu transponovať do zákona v priebehu októbra 2024, následne bude tzv. adopčné obdobie, ktoré môže byť 6 - 12 mesiacov.
Možno na pohľad jednoduchá otázka – ako bude firma vedieť, že podľa nového zákona je regulovaný subjekt v kybernetickej bezpečnosti
Povinnosťou každého štatutára je poznať zákon. Týka sa to aj kybernetickej bezpečnosti. Tu upozorňujem aj na to, že zodpovednosť štatutárov je neprenosná a podľa predbežných informácií z odborných kruhov práve nová legislatíva bude akcentovať a aj sankcionovať túto oblasť. Či budete po novom regulovaným subjektom alebo nie, si každý nájde v príslušnej vykonávacej vyhláške k zákonu o kybernetickej bezpečnosti.
Regulácia je silný faktor, aby firmy realizovali kyberbezpečnostné opatrenia. Hlavnou motiváciou v tomto smere však nemá byť legislatíva, ale zdravý sedliacky rozum a spočítanie si rizík.
Vaši firemní zákazníci zrkadlia v požiadavkách aktuálne kyberbezpečnostné témy?
Musím povedať, že až prekvapivo. Najmä v súvislosti so spomínanou smernicou NIS2 sa záujem zvýšil a predpokladáme ešte viac komunikácie v tejto oblasti.
Robíme regionálne workshopy pre zákazníkov a účasť je prekvapivo vysoká. Prichádzajú účastníci zo všetkých sektorov a veľkosti firiem od štatutárov, až po správcov infraštruktúry. Máme aj školiace materiály.
Každý zákazník nás môže kontaktovať a sprostredkujeme mu konzultáciu, prípadne spracujeme analýzu a návrh riešenia. Povedzme si však aj druhú časť – veľa firiem sa uspokojilo s projektom a zabudlo na realizáciu. Kyberbezpečnostný audit je iba začiatok, ďalšie nevyhnutné kroky sú zabezpečenie a prevádzka.
Súčasným telekomunikačným operátorom už dávno nestačí predávať telefonickú a dátovú konektivitu, nech je akokoľvek rýchla.
Dopyt po bezpečnosti je obrovský. Už aj na úrovni základnej konektivity. Dnes sa už za bežný bezpečnostný štandard považuje ponuka operátora, ktorá zahŕňa ochranu pred DDoS útokmi, manažment identity prístupov, či služby strediska bezpečnostných operácii, čiže SOC.
Z používateľského hľadiska robíme dvojfaktorové overovanie, manažment mobilných zariadení, DNS ochranu pred návštevou kompromitovanej alebo nebezpečnej webovej lokality a tréningové phishingové kampane pre zákazníkov. Ale to bolo iba pár príkladov na ilustráciu. Pozeráme sa na bezpečnosť z technologického aj filozofického pohľadu.
Povinnosti sme zhrnuli, načrtli riešenia a teraz to najťažšie. Kde vziať na to ľudí? Keď na Slovensku chýbajú tisíce kyberbezpečnostných odborníkov.
Práca bezpečáka je jedna z najťažších. Musia veľa vedieť, uniesť stresové situácie a zvládnuť vysoké nároky od aplikácii umelej inteligencie až po rôzny hardvér. Predstavte si nákupy, servis, neustály prehľad, monitoring siete, zmenovú prevádzku aj riešenie incidentov. Útočníci nekončia pracovný čas po piatej a ani nechodia na víkendy. Práve naopak.
Profesionáli nielenže chýbajú, ale personálne a vzdelávacie náklady na nich sú vysoké, takže ak ste malá firma, rozhliadate sa po externej službe. Ak ste väčšia firma, hľadáte už externé stredisko bezpečnostných operácií alebo inú špecializovanú službu.
Na základe vašich skúseností zo slovenského prostredia – ak by ste mali takú moc, čo by ste uzákonili ako prvú prioritu v opatreniach v kybernetickej bezpečnosti v malých a stredných firmách?
Prvou by bola povinnosť investovať minimálne tri percentá z ročného obratu do opatrení na zvýšenie kybernetickej bezpečnosti. Ideálne by však bolo, keby to organizácie robili preto, že si ozaj uvedomujú riziká.
A potom hneď školenia. Školenia pre každého zamestnanca minimálne štyrikrát do roka a k tomu povinnosť overovať povedomie napríklad formou riadených phishingových kampaní. Práve povedomie zamestnancov o hrozbách dokáže ochrániť organizáciu veľmi efektívne a s minimom investícií.
Výborná nahrávka. Ak už sme pri phishingu, telko a IT segment sú dlhodobo cieľom kybernetických útokov. Phishing sa s nástupom AI skvalitňuje každou minútu. Ako trénujete vašich zamestnancov?
Zamestnancov testujeme phishingovými kampaňami neustále. Miera kliknutí sa zmenšuje, ale čo je ešte lepšie, pri posledných testovaniach už nikto neodovzdal heslo ani číslo karty či iné požadované informácie. Zameriavame sa aj na iné formy testov ako podvodné správy, telefonáty alebo QR kódy. Testovanie aj kyberbezpečnostnú osvetu robíme pravidelne, takže úspešnosť simulovaných útokov klesá každým testom.
Čo sa týka reálnych phishingových útokov, snažíme sa ich v čo najväčšej miere eliminovať a odchytávať ešte pred tým, ako dorazia ku koncovým používateľom. Zároveň sa vrátim k tomu, čo ste povedali, vďaka AI dokáže podvodný mail vyzerať na nerozoznanie od originálu vrátane odosielateľa, oslovenia aj obsahu.
Používate aj praktiky ofenzívnej bezpečnosti?
Je to absolútne trendová oblasť. Testujeme našu „nedobytnosť“. Pri testoch sa simuluje, ako sa útočník snaží prelomiť bezpečnostné opatrenia, infiltrovať sa, dostať sa cez turniket alebo inak uškodiť. Robíme aj testovanie, respektíve tréningy na rôzne kybernetické útoky. Tento typ testovania ponúkame aj našim zákazníkom. A ak hovoríme o smernici NIS2, vyššie bezpečnostné povedomie si dáva za cieľ aj pripravovaná legislatíva.
Zameriavame sa aj na havarijné plány obnovy systémov – disaster recovery a udržanie biznis kontinuity, ktoré sú potrebné v prípade paralyzovania systémov. Sme telekomunikačný operátor a uvedomujeme si strategický význam našich služieb, a tým pádom aj svoju zodpovednosť. Kybernetickú bezpečnosť berieme veľmi vážne.
Tak sme sa dostali od bruselskej smernice k firemnému životu a späť. Čo by ste chceli, aby si čitateľ zapamätal z nášho rozhovoru?
Čaká nás dôležitá novelizácia zákona. Ale podstatné je, že kyberbezpečnosť ako téma je oveľa dôležitejšia. Firmy sú čoraz závislejšie od digitálnych technológií, počínajúc konektivitou, cez výpočtový výkon až po dáta uložené v cloude. Pre každého by malo byť úplne prirodzené a štandardné mať to pod kontrolou a robiť všetko pre to, aby to ochránil a zabezpečil.
Aké nové povinnosti prinesie novelizovaný zákon o kybernetickej bezpečnosti?
|