V súčasnosti úrad reguluje celkovo 1 659 subjektov ako prevádzkovateľov základnej služby,“ spresňuje Peter Habara, hovorca Národného bezpečnostného úradu. Patria sem výrobcovia a dodávatelia energií, doprava, telekomunikační operátori aj správcovia sietí, obchodné reťazce, bankovníctvo a finančné služby, pošta, priemysel, zdravotníctvo a samozrejme štátna správa aj samospráva.
Na splnenie povinnosti mali prevádzkovatelia dva roky. „K 19. augustu 2021 je na úrad doručených celkovo 56 auditových správ,“ pokračuje Peter Habara. A nepomôže ani fakt, že dve sú tam už od minulého roka.
Koho trápi základná služba
Zjednodušene povedané – základná služba je podstatná služba pre chod spoločnosti, či už je komerčná alebo poskytovaná štátom. My, všetci občania, sme jej používateľmi.
Správa z auditu je jedna vec, ale úroveň kybernetickej bezpečnosti sa týka všetkých. Či už priamo cez elektronické služby, ktoré používame, alebo cez štandardy, ktoré musia firmy, inštitúcie a úrady dodržiavať pri ochrane našich údajov.
Na čo je audit
Na Slovensku je v súčasnosti päťdesiatka certifikovaných audítorov kybernetickej bezpečnosti a viacej ako polovica z nich aktívne vykonáva audity.
„Prínos každého auditu by mal byť nezávislý pohľad a neskreslená informácia pre štatutára o stave kybernetickej bezpečnosti v ich organizácii“, hovorí Marián Illovský zo spoločnosti auditori.it.
Pri audite sa totiž vyhodnocuje u objednávateľa súlad s požiadavkami zákona a príslušných vyhlášok. Nikde nie je požadovaný počet „správnych odpovedí“, aby subjekt auditom prešiel.
Takže audit slúži primárne pre jeho objednávateľa, aby mu nezávislý expert povedal, „kde mu tečie do topánok a kde ho tlačí kamienok“.
Milióny klientov
Audit kybernetickej bezpečnosti v Národnej agentúre pre sieťové a elektronické služby trval vyše dvoch mesiacov.
Samotný objednávateľ priznáva, že proces si vyžiadal jeho značné kapacity, keďže audítori pomerne dôsledne verifikovali aktuálnosť bezpečnostnej dokumentácie a aj súlad jej aplikovania v dennodennej prevádzke.
„Musím konštatovať, že to bola citeľná záťaž najmä na úrovni stredného manažmentu, ale dobre identifikované a zdokumentované nálezy určite stáli za všetko úsilie,“ hodnotí proces Pavel Karel, generálny riaditeľ NASES.
Pozor: citlivé
Pavel Karel otvorene hovorí o tom, ako ho audit krátko po jeho nástupe postavil pred organizačné a technické nedostatky: „Kybernetickú bezpečnosť pri poskytovaní elektronických služieb štátu občanom a podnikateľom predchádzajúce manažmenty a riadiace a kontrolné orgány agentúry systematicky zanedbávali.“
„Aktívne už pracujeme na zvyšovaní úrovne kybernetickej bezpečnosti. Opierame sa práve o akčný plán riešenia nálezov auditov základných služieb aj o implementáciu projektu Národný systém riadenia incidentov kybernetickej bezpečnosti vo verejnej správe,“ vyratúva Pavel Karel.
Zámerom agentúry je vybudovať kvalitné a procesne zrelé bezpečnostné operačné centrum s cieľom vysokej úrovne detekcie kybernetických hrozieb. V prvej fáze sa NASES zameriava hlavne na infraštruktúru a postupne prejde na aplikačnú úroveň zabezpečenia koncových služieb pre fyzické a právnické osoby.
Kde to bolí
V skupine Svet zdravia išlo v prípade kybernetickej bezpečnosti o špecifický výkon, keďže sa auditovalo jedenásť samostatných subjektov.
Audit trval takmer tri mesiace a vyžadoval si súčinnosť IT odborníkov, personalistov, špecialistov kvality, prevádzkových zamestnancov a, samozrejme, manažéra kybernetickej bezpečnosti.
Peter Dufek, manažér kybernetickej bezpečnosti u prevádzkovateľa nemocníc a polikliník, si však naliehavosť riešenia uvedomuje: „V aktuálnej, pretrvávajúcej pandemickej situácii si zaslúžia najväčšiu pozornosť služby súvisiace s ochranou života a zdravia ľudí. Aj vzhľadom na obrovské množstvo zhromažďovaných údajov o obyvateľoch a ich zdravotnom stave.“
Znova a znova
Audit kybernetickej bezpečnosti v organizácii by sa nemal končiť odovzdaním auditnej správy. Ide o systematický proces, ako budovať a udržiavať celý ekosystém opatrení a procesov.
Po získaní výsledkov si v skupine stanovili záväzné opatrenia a harmonogram odstránenia nedostatkov. „Významným krokom bolo aj posilnenie tímu IT bezpečnosti a v spolupráci s manažmentom kvality pracujeme na zavedení procesov internej kontroly a auditu,“ dodáva Peter Dufek.
Bezpečáci si uvedomujú, že každá organizácia bude len taká bezpečná, aký význam a dôležitosť kybernetickej bezpečnosti pripisuje manažment organizácie. A zároveň jeden z faktorov, ktorý predstavuje najväčšiu potenciálnu zraniteľnosť, je ľudský faktor, teda veľké množstvo používateľov s nepostačujúcimi IT zručnosťami.
Čísla až neuveriteľné
Počet uskutočnených auditov v súčasnosti odhadujú profesionáli tak na vyše stovky. Časť prevádzkovateľov audit kybernetickej bezpečnosti povinnosti zanedbala, časť sa vyrovnáva s covid rokom, v prípade miest a obcí sa čakalo na novelizáciu zákona.
Nízky počet uskutočnených auditov vysvetľuje aj Tomáš Hettych z Kompetenčného a certifikačného centra kybernetickej bezpečnosti: „Tento nepomer je daný hlavne zdĺhavými procesmi obstarávania vo verejnej správe, kde objednanie auditu trvá aj niekoľko mesiacov.“
Prvé výsledky
Skúsenosti audítorov z terénu sú obdobné ako všetkých oblastiach. „Všade nájdete šikovných ľudí, skôr vidno rozdiely pri porovnaní sektorov,“ sumarizuje Marián Illovský.
Najlepšie hodnotenia sú pre sektory, ktoré mali reguláciu informačnej bezpečnosti skôr, ako bol platný zákon o kybernetickej bezpečnosti, čiže financie alebo telekomunikácie. Najväčšie rezervy sú vo verejnej správe a v zdravotníctve.
Najčastejším nesúladom pri audite sú neformálne, ale fungujúce procesy, prevádzkovateľom chýba dokumentácia, neexistuje riadenie aktív a rizík a chýba riadenie kontinuity. „Opätovne sa však stretávame so zarážajúco nízkym povedomím o bezpečnosti,“ neveriacky hovorí Tomáš Hettych.
A pokuta bude?
Ak teda šťastný objednávateľ už drží v ruke záverečnú správu z auditu, mal by ju do začiatku novembra poslať Národnému bezpečnostnému úradu. A zároveň vykonať opatrenia na základe auditu.
Úrad ako národná autorita by tak mal dostať porovnateľné informácie o stave kybernetickej bezpečnosti v jednotlivých sektoroch. Zároveň má právo kontroly u prevádzkovateľa základnej služby a aj pokuty.
A tu je hranica medzi auditom a kontrolou, ktorú Tomáš Hettych vysvetľuje obrazne: „Pokuta nie je za zistenie audítora, ale za to, že prevádzkovateľ napriek výsledkom auditu nekonal.“
(Špeciálny projekt)