„V praxi sa stretávame s phishingovými mailami hromadne rozposielanými zamestnancom, krádežami identity na sociálnych sieťach či hackerskými útokmi na úrady a firmy,“ upozorňuje certifikovaný audítor kybernetickej bezpečnosti Michal Ďorda zo spoločnosti auditori.it.
Krajina malých obcí
Mestá a obce majú povinnosť urobiť audit kybernetickej bezpečnosti nielen preto, aby mali formálny papier, ale najmä aby chránili bezpečnosť obyvateľov. „Je však obrovský rozdiel medzi obcou s tisíckou obyvateľov či mestom s desaťtisíc obyvateľmi, alebo bratislavskou mestskou časťou,“ hovorí na základe skúsenosti z terénu bezpečnostný špecialista Alison Slovakia Miroslav Macko. Technické a personálne vybavenie či bezpečnostné povedomie je diametrálne odlišné, ale povinnosť majú rovnakú.
Samohodnotenie
Preto bolo novelizáciou zavedené samohodnotenie. Účelom je zjednodušiť splnenie zákonnej povinnosti malým a menším poskytovateľom základnej služby. Tým, ktorí majú povinnosť auditu, ale ich informačný systém nepredstavuje úplne sofistikovanú architektúru. Formulár k samohodnoteniu je od novembra dostupný na webovej stránke Národného bezpečnostného úradu. Michal Ďorda však upozorňuje: „Samohodnotenie je možné realizovať len za určitých podmienok.“ Obec musí mať určeného manažéra kybernetickej bezpečnosti a nesmie mať informačný systém III. kategórie.
Náročné úlohy
Zodpovednosť za riadenie kybernetickej bezpečnosti má vždy prevádzkovateľ základnej služby a jeho štatutárny orgán, čiže starostovia a primátori. Pochopiteľne, úlohy, ktoré si vyžadujú odborné spôsobilosti, je možné realizovať aj využitím dodávateľských služieb. Nie je však možné na dodávateľa preniesť zákonom stanovené povinnosti.
Fakty a dokumenty
Dotazník samohodnotenia na základe aktuálneho stavu vypĺňa manažér kybernetickej bezpečnosti pravdivo a tak, aby bolo možné uvedené tvrdenia v prípade potreby preveriť. Štátna autorita odporúča pripojiť aj dokumenty podporujúce tvrdenia. Zároveň je potrebné pridať aj plán implementácie opatrení kybernetickej bezpečnosti na nasledujúce obdobie schválený štatutárom. Vyplnený formulár s plánom implementácie treba podpísať kvalifikovaným elektronickým podpisom a doručiť Národnému bezpečnostnému úradu.
Dobrá robota
Poctivo spravené samohodnotenie spolu s prijatým plánom opatrení a jeho realizáciou dokáže v malej obci zastúpiť náročný audit kybernetickej bezpečnosti. „Na audite ušetrené prostriedky sa dajú investovať do budovania či zvyšovania bezpečnostného povedomia zamestnancov spolu s procesnými a technickými opatreniami v praxi,“ uzatvára Miroslav Macko. Práve to, že používatelia nesprávne používajú IT zariadenia, je podľa prieskumov najčastejším vektorom útokov na Slovensku.