Slovenská legislatíva pre kybernetickú bezpečnosť je pomerne „mladá“. Na Národnú stratégiu pre informačnú bezpečnosť v SR z roku 2008 nadväzoval Akčný plán 2009 až 2013, v roku 2016 nasledovalo zriadenie Národnej jednotky pre riešenie incidentov SK-CERT a koncepcia kybernetickej bezpečnosti 2015 – 2020 vytvorila inštitucionálny a právny rámec kybernetickej bezpečnosti.
Fachmani mu hovoria ZKB
Míľnikom pre kybernetickú bezpečnosť na Slovensku bol zákon o kybernetickej bezpečnosti z roku 2018, ktorý vymedzil úlohy, práva a povinnosti v oblasti a zaviedol základné bezpečnostné požiadavky a opatrenia. Medzi ne patrí povinnosť detegovať a riešiť kybernetické incidenty, zabezpečiť stopy o týchto incidentoch a najmä povinnosť zavedenia takých bezpečnostných opatrení, ktoré zabezpečia kybernetickú bezpečnosť informačných systémov a sietí. Zároveň určil postavenie Národného bezpečnostného úradu a Národného centra kybernetickej bezpečnosti SK-CERT a v roku 2020 sa má dočkať novely.
Nemáte audit, nemáte budúcnosť
Prevádzkovatelia základných služieb sú povinní podrobiť sa auditu kybernetickej bezpečnosti do dvoch rokov od zaradenia do registra a následne každé dva roky alebo pri každej významnej zmene. Takže druhým míľnikom sa stala vyhláška z roku 2019 o audite kybernetickej bezpečnosti a znalostnom štandarde audítora.
Audit môže vykonávať jedine certifikovaný audítor, a cieľom je posúdiť úroveň kybernetickej bezpečnosti a pomôcť tak prevádzkovateľovi rozhodnúť o bezpečnostných opatreniach. Ako prízvukuje Ivan Makatura z Kompetenčného a certifikačného centra kybernetickej bezpečnosti: „Audit si nemýľte s kontrolou. Je to užitočná informácia, ktorá pomôže identifikovať riziká. Ďalší postup je však už na vás.“ A personálne obsadenie? Do októbra 2021 bude na Slovensku potrebných minimálne 50 certifikovaných audítorov kybernetickej bezpečnosti, pričom k dnešnému dňu ich počet presahuje iba veľmi málo desiatku.
Ambície na papier
Nové regulácie a legislatíva sa dotýkajú veľkej časti organizácií na Slovensku. Ako potvrdzujú dodávatelia riešení kybernetickej bezpečnosti, pozorujú snahu posilniť bezpečnostné opatrenia a pripraviť sa na audity, ktoré nariaďuje zákon. „Firmy aj verejná správa by mali však neustále myslieť aj na ochranu osobných údajov. Mnohé z nich nanešťastie odbili legislatívne požiadavky tým, že vytvorili dokument, ktorý si založili do šuplíku. Nie je potom prekvapením, keď sa citlivé dáta či osobné údaje bežne predávajú na dark webe,“ upozorňuje Roman Čupka, hlavný konzultant Flowmon pre strednú a východnú Európu.
Nákup a nasadenie technológií riešia množstvo bezpečnostných požiadaviek, ale rozhodne nie všetko. Pre efektívnu ochranu pred kybernetickými hrozbami
a splnenie požiadaviek legislatívy treba mať aj dostatok kvalifikovaných ľudí a správne nastavené procesy. A to je problém nielen pre verejnú správu, ale aj pre súkromný sektor. „Nie je zriedkavé, že špičkové technológie v organizáciách zapadajú prachom, prípadne sa využíva iba promile z ich potenciálu,“ opisuje situáciu Roman Čupka. Pracovníci z IT oddelení ich nevedia správne obsluhovať alebo ich pre preťaženosť nemajú čas naplno využívať. Ľudské zdroje sú často poddimenzované, a tak títo pracovníci nemajú priestor a možnosti na kvalitné vzdelávanie.
Tam, kde číha kolaps
Dodávatelia pre súkromný aj verejný sektor sa žiaľ zhodujú v jednom: „Nové legislatívne povinnosti naplno odhalili viaceré skutočnosti. Jednak veľmi nízku úroveň samotnej informatizácie v obciach, mestách alebo úradoch, ale aj absenciu elementárnych základov v oblasti kybernetickej bezpečnosti,“ hovorí Peter Tyko, riaditeľ divízie IT bezpečnosti Alison Slovakia. Obce aj mestá tak dnes musia dobiehať viac ak desaťročný rozdiel v investíciách do infraštruktúry, procesov a ľudí.
Absentuje centrálna metodická podpora v oblasti kybernetickej bezpečnosti zo strany zastrešujúcich ministerstiev alebo úradov a v dôsledku výpadkov spôsobených koronakrízou je nedostatok lokálnych finančných zdrojov. A ani v tomto prípade Slovensko nedokáže realizovať podporné projekty kybernetickej bezpečnosti financované zo štrukturálnych fondov EU.
Svetlo na konci tunela
Možných riešení týchto problémov je viac. Odborníci vidia príležitosť napríklad v centralizovanom riešení, kde by sa angažovali relevantné združenia obcí a miest. Viaceré podporné činnosti, akými sú metodická podpora, bezpečnostné nástroje, bezpečnostné dohľadové centrum, kompetencie a podobne by sa mohli centralizovať, a tak dosiahnuť vyššiu efektivitu ako aj úsporu z rozsahu. Druhou možnosťou je podpora formou menších projektov, ktoré by tak pomohli týmto organizáciám implementovať aspoň základné bezpečnostné opatrenia.
EURÓPSKY MESIAC KYBERNETICKEJ BEZPEČNOSTI
Október je vyhlásený za mesiac kybernetickej bezpečnosti od roku 2012.
Najskôr mysli, potom klikaj
Téma Digitálne zručnosti poskytuje účastníkom informácie o elektronickom súkromí, najmä o ochrane osobných údajov, kyberšikane a internetovom prenasledovaní. Druhá téma Kybernetické podvody zdieľa informácie o súčasných a potenciálnych kybernetických hrozbách, akými sú phishing, zneužitie pracovných e-mailov a podvody pri nakupovaní online.
KOHO SA TÝKA ZÁKON O KYBERNETICKEJ BEZPEČNOSTI
■ Bankovníctvo
■ Doprava
- cestná doprava
- letecká doprava
- vodná doprava
- železničná doprava
- digitálna infraštruktúra
■ Elektronické komunikácie
- satelitná komunikácia
- siete a služby pevných a mobilných elektronických komunikácií
- energetika
- baníctvo
- elektroenergetika
- plynárenstvo
- ropa a ropné produkty
- tepelná energetika
- infraštruktúra finančných trhov
■ Pošta
- poskytovanie poštových služieb, poštový platobný styk a obstarávateľská činnosť
■ Priemysel
- farmaceutický priemysel
- hutnícky priemysel
- chemický priemysel
■ Voda a atmosféra
- meteorologická služba
- vodné stavby
- zabezpečovanie pitnej vody
■ Verejná správa
- bezpečnosť
- informačné systémy verejnej správy
- obrana
- spravodajské služby
- utajované skutočnosti
■ Zdravotníctvo
- zdravotnícke zariadenia vrátane nemocníc a súkromných kliník
PROGNÓZY TRHU
Rok 2020 priniesol výsostné postavenie kybernetickej bezpečnosti v mysliach jednotlivcov a firiem. Obavy z možných kybernetických útokov a zneužitia citlivých informácií priam vystrelili kybernetickú bezpečnosť medzi najvyššie priority vo firmách a organizáciách. Predpoklady vývoja trhu kybernetickej bezpečnosti to len potvrdzujú:
Globálny trh s kybernetickou bezpečnosťou
■ 167,1 miliardy amerických dolárov v roku 2019
■ 248,26 miliardy amerických dolárov do roku 2023
Firemné výdavky na cloudové bezpečnostné riešenia
■ 636 miliónov amerických dolárov v roku 2020
■ 1,63 miliardy amerických dolárov v roku 2023
Firemné výdavky na ochranu infraštruktúry
■ 18,3 miliardy amerických dolárov v roku 2020
■ 24,6 miliardy amerických dolárov v roku 2023
Ide o strategickú otázku pre všetkých
Ochrana sieťových a informačných systémov je nevyhnutná pre všetky štáty a spoločenstvá.
Priemysel 4.0, digitalizácia vzdelávania, rozvoj nových médií, diagnostické metódy, optimalizácia infraštuktúry, budovanie alternatívnych energetických zdrojov a otvorená občianska spoločnosť sú postavené na digitálnej transformácii. Avšak s týmito výhodami sú späté aj riziká a hrozby, premietnuté do kybernetických útokov a počítačovej kriminality. Zabezpečenie sieťových a informačných systémov v EÚ je nevyhnutné na udržanie chodu online hospodárstva a na zabezpečenie prosperity. Kybernetická odolnosť je pre EÚ životnou nevyhnutnosťou, jej primárnym cieľom je ochrana online komunikácie a údajov.
Nová dekáda sa už začala
Kybernetické útoky zasahujú nielen jednotlivcov, ale aj podniky a ich výskyt sa neustále zvyšuje. Útoky sú čoraz viac rafinovanejšie a zameriavajú sa na najzraniteľnejšie oblasti. V stratégii bezpečnostnej únie na roky 2020 až 2025 dominuje otázka budovania kybernetickej bezpečnosti a boja proti kybernetickým zločinom a efektívnejší boj proti kybernetickým hrozbám.
Rok 2019 je iba začiatok
Nariadenie EÚ o kybernetickej bezpečnosti je účinné od júna 2019 a posilňuje úlohu Agentúry Európskej únie pre bezpečnosť sietí a informácií (ENISA). ENISA sa zaoberá otázkami kybernetickej bezpečnosti a poskytuje podporu členským štátom, inštitúciám EÚ a podnikom v kľúčových oblastiach vrátane vykonávania smernice o bezpečnosti sietí a informácií.
Ochrana schengenského priestoru
Biometria, odtlačky prstov či elektronický podpis. To je iba zopár príkladov prepojenia využitia technológií na zaistenie bezpečnosti. Ročne prekročí vonkajšie hranice EÚ približne 700 miliónov osôb. Ochrana vonkajších hraníc schengenského priestoru sa neustále zlepšuje, pričom kombinuje najnovšie technológie, ktorých správne a korektné používanie vymedzuje legislatíva. Najčastejšie si schengenský priestor spájame so Schengenským informačným systémom (SIS), Vízovým informačným systémom (VIS) a s novým Systémom na registráciu vstupu a výstupu.
Entry/Exit System
Systém vstupu a výstupu (EES) bol schválený Európskym parlamentom v roku 2017 a má zlepšiť kontrolu nad tým, kto vstupuje na územie schengenského priestoru. Systém by mal vstúpiť do plnej prevádzky v roku 2022 a budú sa doň ukladať informácie o občanoch z krajín mimo EÚ. Pri prechode vonkajších hraníc budú zaznamenávané osobné údaje, odtlačky štyroch prstov a snímky tváre.
Aby boli dôveryhodné služby dôveryhodné
Každý sa už stretol s elektronickým podpisom, elektronickým doručovaním či verejným obstarávaním a autentifikáciou webových sídel. Ale iba málokto si uvedomí, koľko legislatívy a procesov so sebou tieto úkony museli priniesť, aby fungovali bezpečne a naprieč celou EÚ. Keďže počet bezpečnostných incidentov dôveryhodných služieb medziročne narástol v minulom roku až o 80 percent, nové legislatívne úpravy a ochrana sa budú sústreďovať práve na túto oblasť.
KOMENTÁR
Lesk a bieda kybernetickej bezpečnosti
Dieťa, ktoré ste stokrát vystríhali pred horúcou žehličkou, si riziko zapamätá, až keď sa popáli. V kybernetickej bezpečnosti by však bolo luxusom čakať na negatívne skúsenosti. Incident väčšinou spôsobí nenávratné škody. Nemôžeme vyčkávať, kým niekto prostredníctvom informačných systémov zlomyseľne vypustí priehradu, odstaví železničnú dopravu, vykradne účty alebo znefunkční nemocnicu. Jediným možným prístupom k týmto hrozbám je preventívne konanie.
Väčšina ľudí vníma elektronické zariadenia ako samozrejmosť. Zvykli sme si. Funkčnosť zariadení je však zväčša závislá od dát a tie sú v súčasnosti spracúvané v obrovských objemoch, ktoré si väčšina ľudí nedokáže ani predstaviť. Ochrana informácií pred hrozbami, bez ohľadu na fyzikálny stav dát, na ich formát, spôsob interpretácie a médium, je kde uchovávané a prenášané, predstavuje procesy informačnej bezpečnosti. Prídavné meno kybernetický je synonymom výrazu týkajúceho sa kybernetického priestoru alebo inak povedané elektronicky spracúvaný. Kybernetická bezpečnosť ochraňuje hodnoty elektronicky spracúvaných informácií.
Úlohou profesionálov kybernetickej bezpečnosti je okrem implementácie bezpečnostných opatrení aj zvyšovanie bezpečnostného povedomia a digitálnej gramotnosti. Od predškolského veku cez všetky stupne škôl až po celoživotné vzdelávanie kolegov klientov, či seniorov. A popritom neustále testovanie softvérových aplikácií a informačných systémov na kybernetické bezpečnostné hrozby. Na Slovensku sú hrozbou nedostatočné spôsobilosti.
Takmer všetky závažné kybernetické bezpečnostné incidenty sú v poslednom čase spôsobené chybami v návrhu, implementácii a konfigurácii informačných systémov alebo v nastaveniach procesov súvisiacich s automatizovaným spracovaním informácií. Bohužiaľ, ani vyhliadky nie sú príliš optimistické.
Na základných školách je výučba digitálnej gramotnosti doslova vecou osobnej statočnosti učiteľov. Stredné školy vyučujú informačnú bezpečnosť skôr náhodne. Vysoké školy neprinášajú dostatočný počet profesionálov pre sieťovú a aplikačnú bezpečnosť. Ministerstvo školstva neplní úlohy vyplývajúce z prijatej národnej stratégie informačnej bezpečnosti. A politici sa medzitým hádajú, či je, alebo nie je potrebné minúť ďalšie peniaze na infraštruktúrne projekty.
Ako teda zaručiť dostatočnú úroveň kybernetickej bezpečnosti? Čiastočne sa môžeme spoľahnúť na osvietených manažérov, ktorí si uvedomujú hodnotu informácií. Niektorých z nich osvietia až skutočné škody, ktoré vyplynú z incidentu. Iný spôsob je vynútenie príslušného konania v kybernetickej bezpečnosti prostredníctvom zákonov. V ideálnej spoločnosti by zákony potrebné neboli, ale v takej spoločnosti nežijeme.
Ivan Makatura, predseda Správnej rady Asociácie kybernetickej bezpečnosti
ANKETA
Čím je pre sektor príznačný rok 2020
Kľúčové postavy kybernetickej bezpečnosti na Slovensku sa vyjadrili k najdôležitejším témam v odvetví.
V nedávnom prieskume spoločnosti Gartner až 74 % spoločností uviedlo, že majú v úmysle presunúť časť zamestnancov natrvalo na prácu z domu. Prvou spoločnosťou, ktorá tento prístup implementovala bol Facebook, ktorý nedávno oznámil, že natrvalo presunie 50 percent svojich zamestnancov na prácu na diaľku. Keďže osobné stretnutia sú obmedzené, firmy a ich zamestnanci, viac ako kedykoľvek predtým, využívajú moderné nástroje na komunikáciu a spoluprácu. Kým spoločnosť Zoom mala v decembri 2019 asi 10 miliónov účastníkov na stretnutiach každý deň, v apríli 2020 už hlásila viac ako 300 miliónov, čo je ohromný 3 000-percentný nárast!
Rastislav Janota
riaditeľ Národného centra kybernetickej bezpečnosti SK-CERT
Rok 2020 je rokom pandémie COVID-19, rokom skokovej zmeny správania väčšiny firiem na trhu v oblasti využívania internetu. Firmy masívne zavádzajú prácu z domu. A tu je hneď problém. Robia to veľmi často v strese a bez správnej prípravy: bez procesov, prispôsobenia vlastnej infraštruktúry, len s minimálnymi alebo žiadnymi bezpečnostnými školeniami pracovníkov či zmeny správania na úrovni prevádzky vrátane bezpečnostného dohľadu. Toto všetko vytvára veľa nových možností pre úspešný útok.
Martin Oczvirk
riaditeľ odboru informačnej bezpečnosti a certifikácie Úradu na ochranu osobných údajov
Nielen vo svete môžeme badať veľké úniky dát a osobných údajov, ale ani Slovensko tento rok nezostalo výnimkou. Pribúdajú útoky formou sociálneho inžinierstva, súvisiace so zneužívaním pandémie COVID-19. Ďalej sú to útoky cez pomerne zanedbávanú oblasť IoT (Internet of Things), kryptoburzy a neposlednom rade ransomvérové útoky. Aj v ochrane osobných údajov pribúdajú útoky formou ransomvéru. V roku 2020 je, žiaľ, kybernetická bezpečnosť príliš často na konci priorít rôznych organizácií. Vedenie firiem jej začína venovať pozornosť, až keď už priamo pociťujú následky kybernetického útoku.
Jaroslav Oster
predseda Správnej rady preventista.sk
Tento rok priniesol okrem radu iných aj tri témy kybernetickej bezpečnosti. Do prvej patrí dynamický nárast tematicky orientovaných internetových podvodov v súvislosti s COVID-19, ako napríklad ponuky práce na doma, podvodné eshopy a značný nárast hoaxu k téme COVID-19. Druhú skupinu ohrození predstavujú rôzne formy počítačovej kriminality vo vzťahu k deťom, najmä rôzne formy kyberšikany, cybergrooming a nárast šírenia nevhodného obsahu. A do tretice – digitálna stopa a forenzná analýza digitálnej stopy v trestnom konaní prvýkrát prenikajú na Slovensku ako téma medzi odbornú i laickú verejnosť.
Ivan Makatura
generálny riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti
Rok 2020 je prelomový. Odhodlanie útočníkov využiť jedinečné okolnosti je zreteľné. Vplýva totiž na princípy spracúvania informácií, ktoré sa oveľa viac než kedykoľvek predtým musia spoľahnúť na bezpečnostné povedomie používateľov. Nastali však aj plánované zmeny. Na základe Nariadenia EÚ o kybernetickej bezpečnosti agentúra ENISA spracovala certifikačnú schému na posudzovanie kybernetickej bezpečnosti výrobkov, služieb a procesov. Vzniká tak historicky prvá právna norma na certifikáciu bezpečnosti. EÚ zároveň zásadne zvýšila financovanie kybernetickej bezpečnosti prostredníctvom programu Horizont Europe. Jeho úlohu bude aj zriadenie Európskeho centra odvetvových, technologických a výskumných kompetencií v oblasti kybernetickej bezpečnosti.
Tomáš Hettych
viceprezident ISACA Slovakia
Prebiehajúca koronakríza všetky organizácie prinútila dramaticky prehodnotiť svoje pracovné procesy, personalistiku, otázky efektivity vzdelávania a riadenia projektov, možnosti práce mimo pracoviska a, samozrejme, tiež plány kontinuity a obnovy prevádzky. Organizácie, ktoré mali skutočne dobre napísané a otestované plány kontinuity činností, ktoré sú mimochodom súčasťou riadenia informačnej/kybernetickej bezpečnosti, boli na „lockdown“ a prácu z domu podstatne lepšie pripravené. Tieto spoločnosti nemali problém dodávať svoje produkty alebo služby v pôvodnej kvalite a čase ako pri bežnej prevádzke.
Lukáš Neduchal
podpredseda Správnej rady Asociácie kybernetickej bezpečnosti
Slovné spojenie „digitálna transformácia“ dostalo v mnohých firmách reálny, nový význam a mnohokrát sa stalo podmienkou prežitia. Rast počtu používateľov online služieb, komplexnosti prostredia a objemu dát, znamenajú nárast kybernetických hrozieb a priamych aj nepriamych útokov na fyzické a informačné aktíva spoločností a osobné údaje súkromných osôb. Dáta a z nich získané informácie sú kľúčom ku všetkému, či už konkurenčnej výhode alebo k finančným stratám vyplývajúcim z nezabezpečených IT rizík. Takže úplne zásadné je zvládnutie integrácie oblasti prediktívneho riadenia rizík, bezpečnosti správy dát a vzdelávanie používateľov.
Andrej Žucha
generálny riaditeľ Alison Slovakia
Rozvoj kyberkriminality, kyberterorizmu, kyberhacktivizmu, zvýšená miera hoaxov aj významný podiel práce a štúdia na diaľku. Svet stojí zhrozený pred zistením, že infraštruktúra, tak ako je navrhnutá dnes, sa stáva slabinou. Výpočtový výkon u viacerých spoločností či štátu ako tak postačuje, avšak ukazuje sa, že prístup je z pohľadu bezpečnosti nedostatočný. Chýbajú procesy, monitoring aj včasná reakcia na ohrozenia, chýba kontrola aj riadenie. Zároveň veľa rozbehnutých a kvalitných aktivít v oblasti bezpečnosti je zabrzdených, pretože je potrebné riešiť základný chod a prežitie firiem alebo štátu. Je to rok, ktorý urobil dokonalé testovanie zraniteľnosti v celosvetovom meradle.
Peter Dostál
generálny riaditeľ a predseda predstavenstva Aliter Technologies, a.s.
Firemné, štátne i školské systémy sú v tomto roku vystavené väčšiemu riziku. Odhalili sa viaceré zraniteľnosti populárnych kolaboračných nástrojov. Našťastie sa ich podarilo relatívne rýchlo adresovať. S rozšírením cloud technológií narástla zložitosť odhaľovania útokov a začalo sa diskutovať o bezpečnosti 5G sietí. Aj tento rok bol achillovou pätou väčšiny IT systémov najmä ľudský faktor. A nešlo sa iba o sociálny inžiniering alebo chyby zamestnancov. Množia sa aj prípady predaja citlivých informácií. Zvýšený počet hekerských útokov v kyber priestore potvrdzuje, ako sme veľmi zraniteľní, lebo niektorí z nás počas pandémie nadobudli pocit, že online svet je bezpečnejší ako ten skutočný.
Roman Čupka
hlavný konzultant Flowmon pre strednú a východnú Európu
Zvýšil sa tlak na zabezpečenie poskytovaných a realizovaných služieb súvisiacich s odlevom pracovníkov počas pandémie na „prácu z domova“. Organizácie museli promptne reagovať na zachovanie kontinuity činností a nebolo to bezbolestné. Tejto situácii sa prispôsobili aj kyber útočníci. Zaregistrovali sme opäť zvýšený počet podvrhnutých emailov či webových stránok a zneužívanie dôvernosti ľudí v rámci phishingových kampaní.
Andrej Aleksiev
riaditeľ slovenskej pobočky Check Point Software Technologies
Svet sa zmenil! Spôsob spolupráce, ktorý dnes vnímame ako „nový normál“, nás donútil hľadať cesty ako spolu komunikovať, spolupracovať a navyše byť produktívny. V Check Point sa za dva týždne od vypuknutia pandémie 99 percent organizácie presťahovalo do domácich kancelárií, čo bolo prvýkrát v histórii. Keď sme zisťovali, aké dosahy mal tento „nový normál“, 78 percent našich zamestnancov uviedlo, že ich produktivita bola dokonca vyššia a zároveň dokázali lepšie zosúladiť svoj pracovný a osobný život. Komunikačné platformy hlásia až tisícnásobné nárasty, avšak tento nový spôsob práce a komunikácie so sebou prináša aj bezpečnostné riziká. A preto „nový normál“ bude hovoriť o bezpečnosti stále a všade.
Igor Urban
regionálny manažér Forcepoint pre východnú Európu
Forcepoint už ostatné tri roky tvrdí, že novým perimeterom sú ľudia, a toto sa v roku COVID-19 naplno preukázalo. Témou číslo jeden bolo, ako zabezpečiť vzdialený prístup v rôznych oblastiach. Neprehliadajme však hrozby typu Deepfake a nadchádzajúce prezidentské voľby v USA. Každý z vás si už určite pozrel atraktívne video, na ktorom má osoba modifikovanú výpoveď a zrazu sme šíriteľmi dezinformačnej kampane. V súčasnosti už hovoríme o Deep fake as a Service s využívaním umelej inteligencie a tzv. deep learning technique. Do tretice sú tu riziká spojené s masívnym prechodom organizácií do cloudu bez potrebnej miery zabezpečenia dát a monitorovania správania sa používateľov v cloude.
Marek Král
výkonný riaditeľ SecTec
Tento rok priniesol nový spôsob myslenia a urýchlil veľa rozhodnutí. V krátkom čase sme sa posunuli až skokom k väčšej efektivite práce a bezpečnejšiemu zmýšľaniu. Bezpečnejšie sa správame nielen kvôli ochrane svojho zdravia, ale začíname si viac uvedomovať aj svoju zraniteľnosť v kybernetickom priestore. Táto zmena správania a napríklad aj správy o úniku citlivých zdravotníckych informácií zvyšujú povedomie o bezpečnostných hrozbách. Pozornosť, ktorú si kybernetická bezpečnosť zaslúži, by sa mala odraziť nielen vo zvýšených investíciách, ale najmä vo vzdelávaní a budovaní povedomia.
Jana Puškáčová
manažérka útvaru IT bezpečnosti MOL IT & Digital Slovensko
Ak doteraz budovanie bezpečnostného povedomia koncových používatelov nemalo najvyššiu prioritu, v tomto roku nastáva zmena. Použvateľ v obave o svoje zdravie v kombinácii s prácou z domu sa môže stať oveľa ľahšie obeťou kybernetického útoku. V minulosti sme dokázali aspoň približne identifikovať obsah či typické znaky škodlivého mailu ci webovej stránky. Dnes je téma COVID-19 živnou pôdou nielen pre overené a neoverené fakty a informácie, ale aj vhodným odrazovým mostíkom pre prienik do firemných informačných systémov cez najslabšie ohnivko reťaze.
Richard Kiškováč
Security consultant Digital Systems
Došlo k rapídnej zmene požiadaviek na bezpečnosť, na ktoré bol len málokto vopred dostatočne pripravený. Dochádzalo najmä k nutnosti používania ad hoc, čiže rýchlych riešení na komunikáciu alebo prácu na diaľku, kde bezpečnosť nebola prioritou číslo jeden. Rapídne sa rozšírili príležitosti pre prípadné útoky – attack surface. Stredobodom sa stal používateľ, zamestnanec a jeho úroveň bezpečnostného povedomia. V plnej miere sa prejavili teórie o neexistujúcom perimetri, ktoré, mimochodom, nie sú novinkou.
Tomáš Zaťko
výkonný riaditeľ Citadelo
Na prácu z domu často neexistovali bezpečnostné opatrenia, neboli pripravené bezpečné vzdialené prístupy a niektorí používali súkromné počítače infikované malvérom. Do toho chaosu prišiel zvýšený výskyt phishingových útokov a tie manipulujú ľudí k vyzradeniu prístupových hesiel a citlivých údajov. Zločinci pristupujú k agresívnym praktikám ako je aj výzva „zaplaťte výkupné, ináč nakazíme vás aj vašu rodinu COVID-19“.
Marián Trizuliak
architekt kybernetickej bezpečnosti Západoslovenská distribučná
Dramatická situácia ohľadne pandémie a jej dôsledky. Prvým dôsledkom, ktorý sme pocítili asi všetci, je okamžitý prechod na prácu na diaľku (z domu). Druhým je zneužívanie tejto situácie útočníkmi na sofistikované útoky. Najvyšší dosah má ransomware (malware, ktorý zašifruje obsah pevného disku). Denne sa na internete objavujú informácie o malých, ale aj veľkých spoločnostiach, ktoré boli takto poškodené (12/2019 – poliklinika v českom Benešove). Útokom bezprostredne predchadzajú úniky informácií, čo v prípade veľkých spoločností zahŕňa nielen citlivé obchodné informácie, ale často aj osobné údaje zákazníkov.
Pavol Adamec
poradca pre riadenie rizík KPMG Slovensko
Tento rok výraznejšie ukázal, ako sa rozchádzajú porozumenie potrebám s realitou v našom prostredí. Či už kvôli novým zákon a reguláciám, novým útokom alebo novým pandémiám, firmy stále rozmýšľajú o čiastkových záplatách na aktuálny problém namiesto systematického prístupu k bezpečnostným rizikám. Neexistuje nejaká „bezpečnosť“ pre GDPR, „nejaká“ bezpečnosť kvôli audítorom, „nejaká“ kvôli požiadavkám odberateľa, „nejaká“ pre Zákon o kybernetickej bezpečnosti, „nejaká“ kvôli hackerom útočiacim na home office. Jedna firma znamená jedny bezpečnostné riziká a potrebu konzistentnej odpovede na ne.
Ján Adamovský
Chief Security Officer Slovenská sporiteľňa
Pandémia kompletne zmenila mentálne nastavenie v korporátnom svete. To, čo sme kedysi považovali za nemožné, robiť z domu či vzdialene, sa zrazu stalo absolútne nevyhnutným pre zabezpečenie základného fungovania firiem. Prirodzenou výzvou bolo urobiť túto digitalizáciu bezpečne. Zaujímavým trendom sú aj nové typy útokov, kde sa viac prepája fyzický a digitálny svet. Príkladom sú bankomaty, kde sa útočník pokúša nepozorovane vlámať do zariadenia s cieľom ovládnuť bankomat tak, aby mu neoprávnene vydal hotovosť.
Vladimír Frčo
Telekom & Network Security Specialist Orange Slovensko
Technicko-organizačné opatrenia súvisiace s pandémiou postihli tento rok asi každú firmu. Keďže u nás približne 90 percent ľudí mohlo pracovať z domu už predtým, mali sme priestor venovať sa aj iným oblastiam, napríklad vzdelávaniu v bezpečnosti používania (nielen) firemných zariadení. Keď sme napríklad zistili, že na firemných počítačoch stúpa množstvo opakujúceho sa malwaru a vzrástlo aj používanie video konferencií, dávali sme ľuďom návody, ako sa správať užívateľsky zodpovedne, čo robiť a čoho sa vyvarovať, aby čo najviac eliminovali riziká.
(Natívna informácia)