Návrh európskej legislatívy je prísnejší voči firmám, verejnej správe aj štátom. Nuž, Európa nie je spokojná so svojou súčasnou bezpečnosťou. Navyše, rozdielna metrika a klasifikácia incidentov v členských štátoch spôsobujú, že Únia je ako celok ešte zraniteľnejšia. Preto nová legislatíva žiada vysoký štandard v riadení rizík, oznamovacie povinnosti aj zdieľanie informácií.
Opäť vysoké čísla
Kybernetická kriminalita sa v roku 2019 zdvojnásobila, ransomvér sa minulý rok strojnásobil, a napriek tomu organizácie a inštitúcie v Únii investujú do kybernetickej bezpečnosti o 41 percent menej ako v USA. Ani Slovensko nie je výnimkou. „Trend narastajúcich kybernetických útokov či už počtom, alebo rozsahom v západnej hemisfére sa už naplno prejavuje aj v našom regióne,“ hovorí bezpečnostný konzultant Richard Kiškováč o skúsenostiach z praxe. Na základe dôvernosti však viac neprezrádza. Europarlament preto trvá na posilnení kybernetickej bezpečnosti Únie a vytvorení nástrojov na spoločné riešenie kybernetických incidentov. „Nemôžeme zastaviť všetku počítačovú kriminalitu, ale môžeme sa chrániť lepšie a aj lepšie ako ostatní,“ uvádza návrh smernice poslanec Bart Groothuis.
Viac sektorov aj subjektov
Nové bezpečnostné požiadavky sa budú vzťahovať na významné odvetvia, akými sú energetika, doprava, bankovníctvo, zdravotníctvo, digitálna infraštruktúra, verejná správa a vesmírny sektor. Vyššie bezpečnostné nároky sa však zasiahnu aj ďalšie odvetvia, klasifikované ako dôležité. Patria sem poštové služby, odpadové hospodárstvo, chemický priemysel, potraviny, výroba zdravotníckych pomôcok, elektronika, stroje, motorové vozidlá a poskytovatelia digitálnych služieb. A čo sa týka veľkosti podnikov, ide o všetky stredné a veľké spoločnosti v týchto odvetviach.
Ako u nás doma
Pre Slovensko je a bude kritické „udržať krok“ v kybernetickej bezpečnosti. Absorbovať a pretaviť do lokálnych podmienok aktuálne technologické trendy a paralelne riešiť aj kybernetickú bezpečnosť s nimi spojenú nebude vôbec jednoduché. Európska dvadsaťsedmička vyčlenila pozoruhodný finančný objem na bezpečnostné projekty. A súčasne buduje európsku sieť kompetenčných centier. „Máme tu ostrovčeky znalostí, ale chýba nám spolupráca. V jednotlivých krajinách aj v Únii,“ vysvetľuje Ivan Makatura, ktorý zastupuje Slovensko v európskej rade kompetenčných centier. Aby sa podporili riešenia a spôsobilosti Únie ako celku, Európska komisia v súčasnosti napríklad pri žiadostiach uprednostňuje konzorcionálne projekty v kybernetickej bezpečnosti.
Čo trend, to hrozba
Mnohé technologické trendy sú v značnej miere akcelerované súčasnou pandémiou. Príkladom sú distribuované podniky a cloudové riešenia, ktoré by bez pandémie boli možno stále na pokraji záujmu. Do niekoľkých rokov bude v cloude väčšina organizácií. „Riziko je v holistických informačných systémoch a aplikáciách, kde je migrácia do cloudu veľmi náročná,“ hovorí Roman Čupka, hlavný konzultant spoločnosti Flowmon a CEO Synapsa Networks. Navyše organizáciám chýba kompletná viditeľnosť do toho, čo sa deje v hybridnom prostredí a musia sa spoľahnúť na zabezpečenie vlastných aktív od poskytovateľov cloudov.
Reštart
Doterajší prístup k bezpečnosti informácií sa opieral hlavne o ochranu infraštruktúry vnútri siete. Organizácie si stavali doslova bezpečnostné hradby. Táto stratégia sa však rozpadla. Sieť zrazu nemá jednoznačne vymedzené hranice a brány. Používatelia pracujú z akéhokoľvek miesta, znásobil sa počet koncových zariadení a zároveň nie sú v správe podnikového IT. Ivan Makatura to charakterizuje ako zmenu bezpečnostnej doktríny a s tým aj zmenu požiadaviek na zručnosti informatikov. Každý z technologických trendov zároveň prináša rozšírenie priestoru pre nové typy útokov a zneužití.
Opakované a urgentné
Odznelo to veľakrát a opakovane, ale stále sa robí veľmi málo. „Urgentné je vzdelávanie všetkých vekových skupín v pozícii zákazníkov či používateľov,“ prízvukuje Ivan Kopáčik, bezpečnostný expert zo spoločnosti Gordias. Dôraz pritom kladie na systematické, zrozumiteľné vzdelávanie, previazané s typickými životnými situáciami, kde IT môžu byť nástrojom podvodu či zneužitia. Používatelia, ktorí využívajú vzdialený prístup a cloudové aplikácie, sú takpovediac ponechaní sami na seba. Stávajú sa veľmi výrazným činiteľom pri ochrane informačných aktív, s ktorými pracujú. Preto musia vedieť, ako sa brániť a reagovať.
Urgentné a významné
Obrovský priestor vidí Richard Kiškováč aj vo vzdelávaní bezpečnostných špecialistov. Organizácie sú často zaskočené a nepripravené na kybernetické útoky. Či už procesne, alebo nedostatočnými schopnosťami špecialistov. „Bez znalostí a zručností v kybernetickej bezpečnosti nikdy plnohodnotnú digitálnu ekonomiku nepostavíme,“ prízvukuje Ivan Kopáčik a upriamuje tak pozornosť najmä na vzdelávanie bezpečnostných špecialistov vo verejnej správe.
Zmiešaná bezpečnosť
Trend, ktorý ide naprieč všetkými trendmi. Podstata úloh bezpečnostných profesionálov sa s nástupom nových technológií nemení. Ich práca je však čoraz komplikovanejšia a kladie väčšie nároky na vedomosti, skúsenosti a zručnosti. A je ich nedostatok. Ak teda špecialisti nestíhajú spracúvať informácie o reálnych útokoch, udalostiach a incidentoch v reálnom čase, bude sa klásť čoraz väčší dôraz na automatizáciu. „Cieľom je odľahčiť už i tak preťažené ľudské zdroje, a to na úrovni detekcie, vyhodnotenia a reakcie na dané hrozby,“ vysvetľuje Roman Čupka. Využitie technologických štandardov a nástrojov pomáha v rýchlejšej odozve na útoky a viditeľnosti do toho, čo sa deje v kybernetickom priestore.
A pointa?
Nech sa zameriate na akýkoľvek technologický trend, nech ho overujete z akéhokoľvek bezpečnostného hľadiska, skončíte pri ľuďoch. Tím kybernetickej bezpečnosti, pôvodne vnímaný ako nákladová položka, má novú úlohu. Jeho zručnosti dnes podporujú rozvoj nových obchodných príležitostí. „Posilňuje sa líderská úloha manažéra kybernetickej bezpečnosti v spolupráci s výkonným manažmentom a posúva sa od operatívnej k strategickej,“ konštatuje Lajos Antal, partner Deloitte Cyber Risk Services. A hneď dodáva: „Čoraz väčší význam preto nadobúda budovanie, vzdelávanie, motivácia a udržanie si kvalitných bezpečnostných expertov.“