Zákon o kybernetickej bezpečnosti je v platnosti od roku 2018 a zásadným spôsobom „rozhýbal“ celú krajinu. Za nesplnenie legislatívnych požiadaviek hrozia vysoké pokuty, avšak to by nemala byť hlavná motivácia pre starostov a primátorov riešiť IT bezpečnosť.

Ako vyzerá denná realita v obci, na úrade či v menšej nemocnici?

Ak hodnotíme situáciu z hľadiska kybernetickej  bezpečnosti? No, na rovinu – alarmujúco.

Menšie mestá, obce, úrady samosprávy a nemocnice trpia dlhodobým zanedbávaním IT bezpečnosti. „Stretávame sa až s neuveriteľnými situáciami, akoby bola úroveň zabezpečenia zo začiatku tohto storočia, čiže absolútne nepostačujúca,“ upozorňuje Peter Tyko, riaditeľ kybernetickej bezpečnosti Alison Slovakia.

Medzi elementárne ohrozenia patria počítače bez hesiel s oprávnením administrátora, citlivé dáta bez ochrany, neaktualizovaný softvér, nechránené siete, chýbajúce procesy a bezpečnostné povedomie či neschopnosť monitorovať dodávateľov informačných systémov.  „Jediné, čo majú organizácie ako-tak vyriešené, je nakladanie s osobnými údajmi. Považujem to však skôr za výsledok medializovaných hrozieb a riešenie nahrádza dokumentácia a procesy, ktoré sa však často nevykonávajú a nekontrolujú. Čiže – bezpečnosť opäť mizivá.“

ALISON Slovakia

​Koľko stojí kybernetická bezpečnosť?

Rozpočet na kybernetickú bezpečnosť pre starostov a primátorov je, no dajme tomu, často – veľká neznáma. „Osvietená samospráva síce investuje do kybernetickej bezpečnosti priebežne, ale zatiaľ to je tak jedna z desiatich,“ zhŕňa Peter Tyko skúsenosti z terénu.

Vzhľadom na rastúce potreby digitalizácie a zvyšovania efektívnosti štúdia Deloitte uvádza, že  výdavky na kybernetickú bezpečnosť sa pohybujú v rozmedzí 0,2 až 0,9 percenta z celkových príjmov organizácie. V prípade samosprávy odporúčame ako východisko zvážiť počet obyvateľov, čo určuje rozsah povinnosti podľa zákona. Druhým vstupným parametrom je  fakt, či obec alebo mesto majú vlastného správcu, alebo sa im o infraštruktúru niekto stará.

Ak sa vám to zdá veľa, skúste si predstaviť, aké škody môže spôsobiť organizácii, ak sa do bezpečnosti neinvestuje. Škody sa prejavia vo finančnej strate, v nákladoch na obnovu systémov, v regulačných pokutách, poplatkoch za právne a expertné služby, v reputačných škodách a aj na zvýšení poistného.

Ak „začíname na zelenej lúke“

Vo všeobecnosti je v kybernetickej bezpečnosti dlhodobá podinvestovanosť. „V praxi sa pri stanovovaní predpokladaných nákladov držíme reality, v akej sa náš trh nachádza,“ hovorí Peter Tyko. Základom sú však minimálne bezpečnostné opatrenia požadované legislatívou v zmysle kategorizácie subjektov informačných technológií verejnej správy. 

Od nuly po prípravu na kybernetický útok

Už pri výbere dodávateľa by mal zadávateľ presne určiť minimálny štandard rozsahu a kvalitu požadovaných výstupov. „Dom postavený na slabých základoch totiž nebude dobrým domom,“ stručne vysvetľuje Peter Tyko.

Základom, na ktorom sa už dá budovať profesionálna IT bezpečnosť, je kvalitne spracovaná rozdielová analýza, analýza rizík, vykonanie klasifikácie systémov a informácií v rozsahu podľa požiadaviek zákonov o kybernetickej bezpečnosti a informačných technológiách verejnej správy a súvisiacich vyhlášok. S ukončením týchto činností a odovzdaním dokumentácie sa končí prvá fáza projektu.

Druhá fáza projektu je založená na úzkej spolupráci zákazníka a dodávateľa, keďže opatrenia a odporúčania sa uvádzajú administratívne, no najmä prakticky do praxe. Cieľ je nastaviť všetko tak, aby sa obec, mesto, organizácia alebo nemocnica mohli pripraviť na audit podľa paragrafu 29 zákona o kybernetickej bezpečnosti a audítor potvrdí súlad IT bezpečnosti s legislatívou.  V tejto fáze je subjekt už pripravený odraziť potenciálny kybernetický útok. Zároveň vie, ako mu predchádzať, ako ho detegovať a v prípade, ak nastane, ako ho riešiť.

Potrebujete manažéra kybernetickej bezpečnosti?

Náplň práce manažéra kybernetickej bezpečnosti určuje zákon a vyhláška a jeho účasť v procese už na začiatku prináša jasné rozdelenie úloh a zodpovednosti za ich plnenie, riadenie projektu a garancie. Môže byť interným zamestnancom alebo kontraktorom od dodávateľa, v závislosti od možností zákazníka.  Manažér kybernetickej bezpečnosti prakticky riadi celý proces implementácie, neskôr spolupracuje pri audite a môže v organizácii pôsobiť dlhodobo a dohliadať na plnenie povinností tak, ako ich stanovuje vyhláška.

Čoho sa vystríhať?

V každom prípade ponúk od neznámych spoločností, ktoré garantujú zabezpečenie kybernetickej bezpečnosti za desiatky či pár stovák eur mesačne. Veľa dodávateľov totiž ponúka dodávku iba na úrovni formálnej všeobecnej dokumentácie.

Na reálne kybernetické hrozby však pripraví organizáciu iba funkčný a implementovaný proces, ktorý presvedčí aj audítora. Detekciu a riešenie kybernetických incidentov žiadne „papiere“ rozhodne neošetria.

Na druhej strane, ani samotná implementácia technického riešenia nie je postačujúca, keďže veľa spoločností operuje so „zázračnými škatuľkami“, ktoré všetko vyriešia aj samy. V určitých oblastiach pomáhajú, no bez personálu a funkčného procesu nie sú postačujúce.

• zákon č. 69/2018 Z. z. z 30. januára 2018 o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
• vyhláška NBÚ č. 362/2018 Z. z. z 20. decembra 2018
• zákon č. 95/2019 Z. z. z 18. apríla 2019 o informačných technológiách verejnej správy a o zmene a doplnení niektorých zákonov
• vyhláška MIRRI č. 179/2020 Z. z. z 30. júna 2020
• Deloitte: Cybersecurit Maturity Financial Institutions Cyber Risk

(Špeciálny projekt)