Prečo sa po kybernetickom incidente krátkodobo zvyšuje úroveň bezpečnosti? Pretože panuje strach. Nadšenie manažmentu však trvá približne pol roka. Potom sa vytráca.
Táto úvaha riaditeľa informačnej bezpečnosti Slovak Telekom & T-Mobile Česká Republika Tomáša Masného nadchla publikum na konferencii ITAPA.
Ale strach nie je dlhodobo motivačný faktor. Potreba bezpečnosti cez prizmu strachu a direktív “musíš” nefunguje musí byť nahradená “potrebujem”. To si vyžaduje zmenu myslenia.
Treba sa báť pokút?
Od septembra už riaditeľ Národného centra kybernetickej bezpečnosti Jaroslav Ďurovka odpovedal na desiatky otázok na túto tému. Cieľom vyhlášok NBU je podporiť organizácie pri zvyšovaní odolnosti voči aktuálnym kybernetickým hrozbám a represia by nemala byť v praxi hlavným motivátorom.
Za kľúčové preto považuje Jaroslav Ďurovka presvedčiť relevantné subjekty, že cieľom regulácie nie je ukladať nové povinnosti či generovať dodatočné náklady. “Potrebujeme zmeniť zmýšľanie ľudí zodpovedných za riadenie organizácií,” hovorí.
Kybernetická bezpečnosť je esenciálna zložka pre zachovanie kontinuity a kvality prevádzky organizácií, či už ide o štátne orgány, samosprávy, verejnoprávne inštitúcie, alebo súkromné podniky.
Kyberbezpečnostný bedeker
Pre dotknuté subjekty je vyhláška NBU niečo ako povinné čítanie. Určuje bezpečnostné opatrenia pre siete, informačné systémy a operačné technológie. Špecifikuje aj bezpečnostnú dokumentáciu, požiadavky na riadenie rizík a náležitosti zmlúv.
Samostatná vyhláška stanovuje pravidlá pre oznamovanie kybernetických bezpečnostných incidentov, hrozieb či zraniteľností.
Uvedené povinnosti musia dodržiavať prevádzkovatelia základných a kritických služieb. Pre ostatné subjekty môžu byť vyhlášky niečo ako kyberbezpečnostný bedeker. Oplatí sa ho preštudovať, kým podpíšete objednávku na nákup hardvéru alebo služieb.
Môže sa to stať aj nám?
Medializovaný incident okamžite zvýši záujem manažmentu o kybernetickú bezpečnosť. Nebodaj ak je to v rovnakom v sektore.
Takúto skúsenosť má aj Pavel Rivola riaditeľ bezpečnosti v spoločnosti CETIN v Česku a zároveň si uvedomuje, že bombastické správy o incidentoch nie sú dlhodobo udržateľná argumentácia. Preto hľadá formu komunikácie, ako zaujať zaneprázdnený manažment.
Bezpečnosť nič nevyrába
Žiadne dizajnové predmety v zasadačke, ani rady kamiónov pred firmou. Kyberbezpečnosť je náročná oblasť. Ale nie je pravda, že tu niet čo ukazovať. Reporty zo strediska bezpečnostných operácii, čiže zo SOCu môžu byť niečím ako filmový scenár.
„SOC reporty pomáhajú predchádzať kyberútokom,“ vysvetľuje analytik Jozef Bálint zo spoločnosti Alison Slovakia. Poskytujú prehľad o detegovaných hrozbách, incidentoch a anomáliách v sieti, slúžia ako dôkazový materiál pre audity a zabezpečenie súladu. Pre manažment demonštrujú efektivitu bezpečnostných opatrení a pomáhajú optimalizovať zdroje.
Dáta vedia rozprávať
Ak sa však na SOC report pozerá Pavel Rivola, vidí aj príbeh. Vysvetľuje kolegom, ako prebiehal útok, ako ho riešili a čo všetko sa mohlo stať. Alebo ako vyzerajú operácie na úrovni citlivých účtov a aký je trend v tejto oblasti. „Kvalita, ktorá nie je komunikovaná, neexistuje,“ hovorí.
Keď bezpečnostní lídri dokážu premeniť technické dáta na zrozumiteľné príbehy, budujú dôveru a opierajú svoje rozhodnutia o fakty. Komunikácia sa tak stáva rovnako dôležitou ako technické riešenia.
Milan Pikula riaditeľ SK-CERT preto pripravil Kyberbezpečnostný bedeker pre manažment
1. týždeň
Aktualizácia softvéru aj zariadení, bez výnimky. Aj telefónov. Aj biosov. A potom najmenej každý mesiac.
2. týždeň
Konečne nasaďte password manažér a v ňom postupne vytvárajte silné, jedinečné heslá pre každý systém, vždy pri najbližšom prihlásení do aplikácie.
3. týždeň
Prejdite aplikácie z vášho správcu hesiel a všade, kde sa dá, zapnite viacfaktorovú autentifikáciu.
4. týždeň
Posilnite zálohy. Spravte ich tak, že ich sami nedokážete zmazať.
5. týždeň
Naučte zamestnancov rozpoznávať phishing a podvodné správy.
6. týždeň
Prestaňte využívať účet administrátora a vytvorte si samostatné neprivilegované účty. Na počítači, na zariadeniach, na službách, na webe, všade.
7. týždeň
Začnite konečne čítať bezpečnostný monitoring z nástrojov, ktoré už máte. A odteraz pravidelne.
8. týždeň
Tam, kde to ešte nemáte, zapnite celodiskové šifrovanie.
9. týždeň
Prihláste sa na firewall a zaveďte striktné firewallové pravidlá. Všetko ostatné zakážte.
10. týždeň
Zorganizujte si perimetrový sken alebo test zraniteľností
11. týždeň
a vy už viete, čo máte robiť. Pokračujte v tomto ambicióznom tempe ďalej.
Každý pozná základné piliere bezpečnosti, ale obdivuje ich len z diaľky. V roku 2026 jednoducho začnite!