Slovenský podnikateľ, malý alebo veľký, to nemá ľahké. Má desiatky povinností, zamestnancov, k tomu záväzky voči štátu a je zodpovedný za rozvoj podnikania. S digitalizáciou ekonomiky a verejnej správy sú tu ďalšie povinnosti. Pribúdajú právne predpisy, zostrujú sa zmluvné vzťahy a ešte aj zákazníci a občania sú na seba čoraz háklivejší.
Dáme to pod zámok
Keď ide o fyzickú bezpečnosť, skriňa sa dá zamknúť, na okno dáme mrežu a ešte aj alarm. No v treťom tisícročí, s postupujúcou digitalizáciou, nadobudol pojem bezpečnosti nový význam.
Miroslav Chlipala z advokátskej kancelárie Bukovinsky & Chlipala tento stav v slovenských firmách opisuje ako: „Všetko, čo nevieme uchopiť, odsúvame nabok. Ak máme veľa ďalších povinností, nevnímame akútnosť problému.“ Týka sa to cloudových služieb, ochrany osobných údajov aj kybernetickej bezpečnosti.
Ako šafranu
Spoločnosť Platon Technologies poskytuje hosting takmer sedemtisíc webov, špecializuje sa na prevádzku serverov a budovanie clusterov. Počet zákazníkov, ktorí sa zaujímajú aktívne o bezpečnosť, vyhodnotil Ondrej Jombik metaforou – je ich ako šafranu. „V drvivej väčšine prípadov dostaneme otázky na bezpečnosť, keď ide o povinnosť vyplniť informácie do nejakého dokumentu, ktorý potrebujú poslať ďalej.“
Zvýšený záujem zákazníkov o tému registrujú od roku 2018. Aj keď GDPR nie je priamo o zabezpečení serverov, mnohým ukázal, že je vhodné sa zaujímať o to, kde sú ich dáta uložené, kto má k nim prístup a ako sú zabezpečené.
Zodpovednosť ťažkého kalibru
Či už vyrábate súčiastky, liečite ľudí, máte e-shop, personálnu agentúru alebo vediete školu či úrad, údaje, ktoré spravujete, sú cenné. V prípade, ak príde ransomvérový útok a zašifruje ich, stanú sa nedostupné a hrozí ich zverejnenie a vydieranie.
Následok pri zanedbaní povinností kybernetickej bezpečnosti je takmer likvidačný. A pritom, ako opakuje Ondrej Jombík, záujem medzi zákazníkmi je stále dosť malý v porovnaní s tým, čo by si bezpečnostná problematika zasluhovala.
Aj štát má povinnosti
Pred štyrmi rokmi zákon definoval jedenásť strategických sektorov a vymedzil ich povinnosti v kybernetickej bezpečnosti. Patria sem súkromné spoločnosti, štátne podniky aj inštitúcie a organizácie verejnej správy. Vybrané subjekty sa tak stali povinnými osobami.
Účel zákona, vykonávacích vyhlášok a certifikačných schém je jednoznačný – zabezpečiť kontinuitu. Ak by sme to mohli voľne povedať, zákon o kybernetickej bezpečnosti je pre povinné osoby záväzný, pre súkromný sektor inšpiratívny.
Pán riaditeľ to vie?
Ak v dôsledku kybernetického útoku nefunguje firma, inštitúcia či obec, je zodpovedný štatutárny orgán. Miroslav Chlipala to formuluje jasne – povinnosťou štatutára je zabezpečiť službu kybernetickej bezpečnosti. „Neustálym opakovaním katastrofických správ o incidentoch nie je vystrašiť riaditeľov k smrti, ale upozorniť na riziká,“ dodáva.
Lebo kým všetko funguje, nikoho nič nebolí. Pritom v organizáciách sa považuje za štandard kybernetická bezpečnosť na úrovni IT riešenia, doplnená organizačnými opatreniami, vzdelávanie zamestnancov a zmluvné vzťahy.
Základ už existuje
Lenka Gondová, prezidentka ISACA Slovensko, dáva do pozornosti, že pri implementácii opatrení kybernetickej bezpečnosti je stále veľmi užitočné využívať základné normy ISO z oblasti informačnej bezpečnosti.
Keďže v praxi sa informačná a kybernetická bezpečnosť čoraz viac prekrývajú, odráža sa to aj v aktualizácii ďalších noriem. Patria sem napríklad normy pre riadenie rizík či bezpečnosti dodávateľov a v oblasti riadenia ochrany súkromia.
Situácia je riešiteľná
Ak si organizácia uvedomí svoju povinnosť, je to prejavom zodpovednosti. A prvým krokom. Či už sa rozhodne plniť povinnosti tak, že nájde kvalifikovaných zamestnancov, poverí dodávateľa, alebo si objedná kybernetickú bezpečnosť ako službu.
Špecialista Jozef Bálint zo spoločnosti ALISON rozhodne súhlasí s tým, že problematika kybernetickej bezpečnosti je aktuálne natoľko rozsiahla, že spoločnosť, ktorá sa nevenuje výhradne IT, má problém pokryť celú oblasť pomocou vlastných personálnych a technologických zdrojov.
Úlohy, ktoré si vyžadujú odborné spôsobilosti, je možné realizovať aj využitím dodávateľských služieb. Na Slovensku sa tak v súčasnosti profiluje trh bezpečnostných služieb a jeho rast sa spája aj s nástupom cloudových technológií a nedostatkom IT špecialistov.
V cloude je to jasné
Dve dekády riešení priniesli množstvo skúseností, a preto ide táto oblasť príkladom. „Zákazník, teda používateľ cloudovej služby, je vždy zodpovedný za riadenie prístupu, kontrolu dát a, samozrejme, aj za bezpečnosť zariadenia, z ktorého sa ku cloudovej službe pripája,“ vysvetľuje Daniel Suchý zo spoločnosti Aliter Technologies.
Riaditeľ malého podniku však nemusí mať dostatočné znalosti o kybernetickej bezpečnosti a téma ho môže zaujímať len okrajovo, ak vôbec. Skôr bude riešiť, koľko to bude stáť. Pokiaľ nemá skúsenosti a znalosti, stratégiu migrácie IT do cloudu by mal
zveriť do rúk profesionálov.
Pýtajte sa
Ak spadá organizácia pod reguláciu, prvá otázka pri presune do cloudu by mala byť na tému GDPR. Ďalšie otázky budúceho zákazníka súvisia s tým, akú službu si objednáva od cloud providera a čo tam plánuje prevádzkovať. Ak chce zapojiť vlastné IT oddelenie, musí ho zaškoliť a zvážiť, či má kompetencie.
V prípade nadnárodných cloudov nie je veľký priestor zasahovať alebo upravovať zmluvné podmienky, ktoré definujú kybernetickú bezpečnosť. „Tu by som vo vzťahu k službe dal urobiť kompletnú rizikovú a právnu analýzu, aby som vedel, na čom som a ako takéto rizika pokryť,“ radí Henrich Šnajder, manažér IT bezpečnosti Orange Slovensko, a. s.
Dôrazne však dodáva, že ultimatívna zodpovednosť a dosahy na firmu sa nedajú preniesť na nikoho a už vôbec nie na cloud providera.
Určite máte web
Medzi povinnosti prevádzkovateľa webu patrí jeho bezpečnosť. Ondrej Jombík vidí ako najväčšiu nástrahu zmlúv nejasnú špecifikáciu okruhov zodpovednosti zákazníka a dodávateľa.
„Nie je nič horšie, ako keď sa nejaká dôležitá činnosť ocitne v sivej zóne a nikto za ňu nenesie zodpovednosť. Vtedy je to len otázka času, kedy nastane problém, je to časovaná bomba,“ upozorňuje Jombík ako skúsený prevádzkovateľ, ktorý už odolal nejednému DDoS útoku.
Ako príklad uvádza jasné definovanie v prípade webhostingu, kto je zodpovedný za pravidelné aktualizácie CMS systému. Obvykle to býva sám zákazník, ale v určitých zmluvných prípadoch môže byť činnosť presunutá na dodávateľa.