Dostupnosť informácií, online komunikácia a množstvo zariadení pripojených na internet nám ukazujú fascinujúce možnosti kybernetického priestoru. Komerčný sektor, akademická sféra, moderné médiá a interpersonálna komunikácia nadobudli nečakané možnosti, zatiaľ čo klasické mocenské, štátne a geopolitické formácie prechádzajú ťažkou skúškou hodnôt a princípov. Digitalizácia nám viac ako čokoľvek iné pripomína, že sme súčasťou svetového spoločenstva. V januári slovenská vláda schválila Národnú stratégiu kybernetickej bezpečnosti na roky 2021 až 2025. Presahuje volebné obdobia aj rezorty, ovplyvňuje obchodné aj trestné právo, ochranu informačných aktív či sociálnych sietí a vývoj občianskej spoločnosti.
Kto by si mal prečítať stratégiu
Stratégia je východiskovým dokumentom, ktorý komplexne stanovuje prístup Slovenskej republiky k zaručeniu kybernetickej bezpečnosti. Národný bezpečnostný úrad musí pripraviť a do troch mesiacov oznámiť akčný plán Európskej komisii, tak ako nás zaväzuje smernica o bezpečnosti sietí a informačných systémov. Konkrétny plán čiastkových úloh a zdrojov by mal zaujímať ministerstvá, špecializované úrady, samosprávu a – teraz nasleduje všeobjímajúca formulácia – všetkých prevádzkovateľov základných služieb.
Základná služba je totiž komerčná alebo štátom poskytovaná služba podstatná pre chod spoločnosti. Viete o niečom, čo by nebolo pre chod spoločnosti podstatné? Tak to tam nepatrí, všetko ostatné áno. Takže energetika a všetci dodávatelia energií, doprava, elektronické komunikácie, bankovníctvo a finančné služby, pošta, priemysel, zdravotníctvo a, samozrejme, verejná správa.
Novelizácia kľúčového zákona
Už teraz je mimoriadne diskutovanou a očakávanou novelizácia zákona o kybernetickej bezpečnosti, ktorá by mala byť predložená vláde. Dôvodom novelizácie sú najmä skúsenosti z implementácie požiadaviek zákona od roku 2018, spätná väzba z trhu, prichádzajúce nové technológie a nutnosť úpravy v súlade s novými európskymi pravidlami.
V tomto procese vládny kabinet presadzuje posilnenie kompetencií NBÚ s dôrazom aj na ochranu všetkých sektorov kybernetického priestoru krajiny a zároveň apeluje aj na jednotnejšiu reguláciu v tejto oblasti. Piliermi novelizácie sú úpravy definície základných pojmov, postavenie manažéra kybernetickej bezpečnosti či certifikácie v tejto oblasti. Novela zavádza aj takzvaný inštitút blokovania.
K dosahu na podnikateľské prostredie a verejnú správu Peter Habara, hovorca Národného bezpečnostného úradu, uvádza: „Novelizácia zákona o kybernetickej bezpečnosti pozitívne ovplyvní rozpočet verejnej správy aj podnikateľské prostredie zvyšovaním efektivity.“ Národné centrum kybernetickej bezpečnosti SK CERT už teraz zdokonaľuje systém detekcie, reakcie a ochrany, predovšetkým rýchlosť a všestrannosť týchto procesov.
Ďalší rozmer kvality
Európsky parlament prijal v roku 2020 Nariadenie o kybernetickej bezpečnosti, populárne označované ako Cyber Act, a jeho priamym dôsledkom je úprava kompetencií európskych inštitúcií. V tejto súvislosti Európska agentúra pre kybernetickú bezpečnosť (ENISA) pripravuje návrh na certifikácie výrobkov, procesov a služieb kybernetickej bezpečnosti. Na Slovensku by túto certifikačnú schému mal prevziať Národný bezpečnostný úrad a následne budú môcť o akreditáciu na posudzovanie zhody požiadať aj iné slovenské certifikačné orgány.
Ak rozmýšľate, prečo stále opakujeme posudzovanie zhody a certifikácia, povedzme si, čo je ich prínosom pre občiansky život, riadenie štátu aj biznis. Digitalizácia a pripojiteľnosť sú mantrou súčasnosti. Na internet je pripojených čoraz viac zariadení, ale bezpečnosť a odolnosť proti kybernetickým hrozbám neboli v nich dostatočne zabudované v čase, keď boli navrhnuté.
„Certifikované výrobky a služby vo všeobecnosti garantujú kvalitu a zvyšujú dôveryhodnosť produktu v očiach zákazníka. A týka sa to nielen oblasti kybernetickej bezpečnosti, a nielen počítačov či mobilov,“ prízvukuje Ivan Makatura, generálny riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti. Takže ak sa budete rozhodovať pri kúpe zubnej kefky s mobilnou aplikáciou, máte pri tej certifikovanej vyššiu záruku, že vám nikto nehekne osobné údaje. O energetike a zdravotníctve nehovoriac. Zariadenia v priemysle komunikujúce cez internet by si počtom a vplyvom zaslúžili vlastnú prílohu.
To, čo nás najviac páli
Vráťme sa však k prevádzkovateľom základných služieb. November 2021 je prvým termínom, keď musia prevádzkovatelia odovzdať na Národný bezpečnostný úrad záverečné správy auditu kybernetickej bezpečnosti. Takže už teraz by stovky miest, obcí, firiem a inštitúcií mali mať za sebou implementáciu bezpečnostných opatrení s cieľom chrániť dáta a informácie, ktoré spracúvajú. Účelom následného auditu je overiť plnenie povinností a posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami zákona a inými súvisiacimi právnymi predpismi.
Rozdiely v pripravenosti sú obrovské. „Spoločnosti, ktoré sú riadené reguláciami v oblasti bezpečnosti, sú pripravené až ukážkovo. Zvyšok Slovenska sa zatiaľ hľadá,“ sumarizuje Igor Straka, manažér kybernetickej bezpečnosti TÜV SÜD Slovakia, s. r. o.
Podľa skúseností profesionálov z praxe prevádzkovatelia často neodlišujú fakt, že informačná a kybernetická bezpečnosť je niečím iným ako prevádzka infokomunikačných technológií. „Chýbajú ľudia, peniaze a skúsenosti. V každom prípade audit kybernetickej bezpečnosti je správny krok, ktorý vytvára tlak a prebúdza sebareflexiu manažérov,“ uzatvára Straka.
Nevídaná finančná kapitola
Nový program financovania Digitálna Európa na roky 2021 až 2027 podporuje digitalizáciu ekonomík a spoločností Únie. Predstavuje rozsiahlu implementáciu kľúčových digitálnych technológií, akými sú napríklad aplikácie umelej inteligencie a najmodernejšie nástroje kybernetickej bezpečnosti. Európskym podnikom, najmä malým a stredným, pomôže využívať obrovské príležitosti digitálnej transformácie, rozšíriť činnosti a získať konkurenčnú výhodu.
Program investícií Európskej únie na roky 2021 až 2027 s názvom Horizont Európa je deviaty rámcový program pre výskum a inovácie. Plynulo nadviaže na Horizont 2020, ktorý bol najväčší a najvýznamnejší program financujúci projekty vedy, výskumu a inovácií v programovom období 2014 až 2020. Pre program Horizont Európa navrhuje Komisia prideliť astronomický rozpočet 100 miliárd eur, čo môže iniciovať vznik nového trhového segmentu a odvetvia.
Ak sa Slovensko nezačne pripravovať na tieto možnosti už dnes, nebudeme schopní spracovať projekty v krátkom čase a čerpať finančné stimuly. Príležitosť v kybernetickej bezpečnosti tak vzniká pre výskumné centrá, softvérové domy, tvorcov aplikácií či inovatívne technológie a výrobky úplne novej generácie.
Hrozby a zraniteľnosti
Typy hrozieb a zraniteľností, ktorých neriešenie môže mať vážny dosah na systém kybernetickej bezpečnosti
- Neustály rozvoj nových techník a spôsobov útokov
- Zraniteľní používatelia
- Útoky zamerané na bežných používateľov s veľkými finančnými stratami
- Narastajúci počet technologických zraniteľností
- Nedostatok odborného personálu
- Laxný prístup k požiadavkám vyplývajúcim z legislatívy alebo zo štandardov
- Nízka úroveň bezpečnostného povedomia
- Zneužívanie nových technológií na vykonávanie útokov
- Slabá detekcia
- Pomalý výkon trestného práva v oblasti počítačovej kriminality s neistým výsledkom
- Útoky na kritickú infraštruktúru štátu, orgány štátu a obranné mechanizmy s mocensko-politickým pozadím
- Nelegálne aktivity presahujúce kybernetický priestor
Zdroj: Stratégia kybernetickej bezpečnosti SR 2021-2025
Cítite sa ohrození v kyberpriestore?
Prieskum bol realizovaný medzi slovenskou internetovou populáciou staršou ako 15 rokov technikou jednotného online dotazníka metódou CAWI. Respondenti boli vybraní zo Slovenského národného panelu, pričom výberovými kvótami boli pohlavie, vek, vzdelanie, kraj a veľkosť miesta bydliska
Komentár
Bezpečnostné bezvedomie
Za svoj život sa veľa vecí o bezpečnosti naučíme. Deti učíme nerozprávať sa s cudzími ľuďmi, nebrať od nich cukríky, zvykneme si zamykať pri odchode dvere a zatvárať okná. No keď príde na počítače a internet, tak zrazu nič z toho neplatí. Za každý cukrík ďakujeme s nadšením, pošleme niekam údaje, o ktoré nás niekto požiada. Akoby webové stránky mali certifikát pravdy už len tým, že sú publikované, a akoby každý chcel na sociálnych sieťach len naše dobro. Iba veľmi málo sa zamýšľame nad tým, či sme dosť opatrní.
Určite jedným z dôvodov je fakt, že internet je stále nová technológia a väčšina z nás si nevie ani predstaviť, aké riziká prináša. Je o virtuálnom kontakte a tam nám zatiaľ neštartujú bezpečnostné kontrolky. Nebezpečenstvo si spájame s fyzickou aktivitou, s krádežou peňaženky, s vlámaním či so stretnutím s človekom, ktorý nebezpečne vyzerá. Takto nastavené povedomie sme si budovali roky, často na svojich chybách či chybách najbližších.
Vo virtuálnom prostredí je situácia odlišná. Problémy často nie sú vidieť okamžite – prejavia sa s časovým posunom alebo formou, ktorú si s pôvodom na internete nespojíme – napríklad vás vykradnú vďaka informáciám o dovolenke, ktorú radostne postujete na sociálnej sieti. Jednoducho nám chýba bezpečnostné povedomie.
Kde nastala chyba? A ako to budeme riešiť?
V princípe máme dve možnosti. Počkať ešte desať až 20 rokov, kým sa všetci naučíme na vlastných chybách. Je to síce pohodlné, ale dôsledky môžu byť katastrofálne pre nás samotných, ale aj prostredie, kde sa pohybujeme – doma aj v zamestnaní.
Druhou možnosťou je vzdelávanie. A hneď jedným dychom dodávam, že očakávať samoštúdium je naivná predstava. V súčasnosti vidím ako jedinú efektívnu možnosť budovanie bezpečnostného povedomia priamo tam, kde ľudia pracujú s počítačmi. V zamestnaní, v škole, pri výkone činnosti. U detí a mládeže sú školy zodpovedné za ich prípravu na život. Ak sa teda venujú rôznym aspektom života a kybernetický priestor je dnes jeho neoddeliteľnou súčasťou, budú sa musieť viac venovať aj kybernetickej bezpečnosti.
U zamestnávateľov je to komplikovanejšie. Pracujú s dospelými ľuďmi a vo vzdelávaní typicky robia len to, čo musia, kde sú exemplárnym príkladom školenia bezpečnosti pri práci na základe štátnej regulácie, alebo vzdelávajú podľa vlastných priorít. Zákon o kybernetickej bezpečnosti síce už hovorí aj o povinnom vzdelávaní, ale táto regulácia je záväzná len pre malú časť zamestnávateľov a ani tam ešte nie je nutnosť povedomia zažitá. A teraz mi oprávnene môžete dať otázku, čo robí vo vzdelávaní pre svojich zamestnancov štát. Veľmi málo. Je náročné motivovať ťažko skúšaných zamestnávateľov, keď samotný štát, ktorý by mal byť príkladom, drasticky zaostáva. Takže nás čaká ešte veľa spoločnej práce. Netvárme sa však, že nevieme, kto to robiť má a prečo. Oboje je známe. Škoda len, že zatiaľ, zdá sa, nepochopené.
Rastislav Janota, riaditeľ Národného centra kybernetickej bezpečnosti SK-CERT.
Vieme, sme zraniteľní
Práca na diaľku výrazne mení spôsob fungovania globálnych spoločností a tento trend nevykazuje známky spomalenia. Podľa spoločnosti Gartner až 88 percent globálnych obchodných organizácií navrhlo zamestnancom pre pandémiu pracovať z domu.
Technológie sa rýchlo vyvíjajú a menia spôsob, akým spoločnosti fungujú. Cloud computing, umelá inteligencia (AI), automatizácia a internet vecí (IoT) vytvárajú spoločnostiam bezprecedentné príležitosti na vyššie príjmy. S vývojom technológií sa však vyvíjajú kybernetické ohrozenia, v ktorých sa organizácie musia zorientovať.
Nárast práce na diaľku
Ďalší krízový rok prispeje k obrovskému nárastu pripojených zariadení, domácej a vzdialenej práce, decentralizovanej pracovnej sily a outsourcingu riešení. To následne zvyšuje množstvo rizík spojených s dátami a infraštruktúrami, ako aj zraniteľnosť okolo viacerých prístupových bodov. V roku 2021 bude zabezpečenie kyberbezpečnosti ešte ťažšie, pretože možnosti nových útokov sú väčšie a vo vzdialenom prostredí často chýbajú opatrenia na implementáciu a kontrolu bezpečnostných a dátových politík.
Nedostatok kvalifikovaného personálu
Komplexné požiadavky na zabezpečenie súladu s predpismi a neustály vývoj kybernetických útokov sú naďalej jednou z najdôležitejších výziev kybernetickej bezpečnosti. Podľa spoločnosti Cybersecurity Ventures sa očakáva, že kríza kvalifikovaných zamestnancov v oblasti kybernetickej bezpečnosti vytvorí 3,5 milióna neobsadených pracovných miest. Je to nárast o 350 percent, keďže ešte v roku 2014 bolo voľných „iba“ milión pozícií.
Zabezpečenie s nulovou dôverou
Oddelenia IT sa predtým spoliehali na virtuálne privátne siete, ktoré uľahčili vzdialeným pracovníkom prístup do firemnej siete. Tieto riešenia sa v covidovom roku ukázali žalostne neadekvátne. Princíp Zero Trust Network Access sa javí ako bezpečnejšia možnosť pre organizácie na riadenie vzdialeného prístupu k špecifickým aplikáciám. Inak povedané – zabezpečenie s nulovou dôverou tak predpokladá, že žiaden používateľ alebo zariadenie nemôžu a nemali by byť vo svojej podstate dôveryhodné.
Ochrana osobných údajov
S narastajúcimi obavami o správu a bezpečnosť údajov sa ochrana osobných údajov stáva čoraz dôležitejšou. Výrazne ovplyvní takmer všetky aspekty spoločnosti, od riadenia podnikovej stratégie po úzke zladenie s bezpečnosťou, s personalistikou, so správou a s obstarávaním.
Internet vecí
Rastúci počet organizácií spoliehajúcich sa na IoT zariadenia na meranie a monitorovanie procesov, zavedenie 5G a pribúdajúci počet zariadení pripojených na internet ponúka útočníkom príležitosť kompromitovať systémy a siete. Organizácie stále musia adekvátne oddeliť nezabezpečené zariadenia IoT a 5G od zvyšku svojej siete. Napríklad v zdravotníctve a čoraz viac používajú senzory IoT umožňujúce vzdialené sledovanie pacienta.
Cloudové hrozby
Počas pandémie sa adaptácia cloudu stala nevyhnutnou na zabezpečenie kontinuity podnikania. Aj keď globálne podniky už pred krízou migrovali, pandémia zafungovala ako katalyzátor. Veľmi rýchla migrácia do cloudu môže však priniesť množstvo nových bezpečnostných hrozieb a výziev, ako sú nesprávne nakonfigurované cloudové úložiská, znížená viditeľnosť a kontrola vrátane zraniteľných cloudových aplikácií.
Integrácia umelej inteligencie
Umelá inteligencia (AI) je pripravená pomôcť s nedostatkom zdrojov a udržať si náskok pred útočníkmi. Analýzou obrovského množstva údajov o rizikách zo štruktúrovaných a neštruktúrovaných zdrojov poskytuje AI informácie o hrozbách, čím sa skracuje čas, ktorý spoločnosti potrebujú na prijatie kritických rozhodnutí a reakciu na nápravu hrozby. Na druhej strane, aj útočníci budú čoraz viac využívať AI na urýchlenie útokov na siete a systémy, pričom dáta z útokov sa použijú na ďalšie zlepšenia.
Vladimír Palečka, špecialista na kybernetickú bezpečnosť, Aliter Technologies, a. s.
Názor
Ohrozené segmenty sa bránia
Zvládnuť pandémiu koronavírusu sa stalo jednou z najťažších úloh pre globálne bezpečnostné organizácie a prinieslo obrovské výzvy aj v kybernetickej bezpečnosti. V roku 2020 vzrástol objem a zložitosť narušení dát, pričom v kritickom prvom štvrťroku sa počet útokov medziročne zvýšil o 273 percent. O to šokujúcejšie je, že jeden heker dokázal ukradnúť 34 miliónov záznamov používateľov od sedemnástich spoločností.
Výsledkom obchodnej vojny a geopolitického napätia bude aj rast útokov na priemyselné riadiace systémy v snahe ochromiť fungovanie strategických podnikov. Kybernetickí zločinci budú naďalej rozvíjať spôsoby a pokúšať sa viac útočiť na entity, akými sú národná elektrická sieť, zariadenia na úpravy vody alebo veľké výrobné podniky.
Zvýšené útoky ohrozujú letectvo. Tento trend označilo Svetové ekonomické fórum za jeden z najväčších problémov, ktorým letecký priemysel čelí. Ekonomické a prevádzkové vplyvy, ktorými v súčasnosti trpí, znamenajú, že letectvo bude v nasledujúcich mesiacoch obzvlášť ohrozené. Najpravdepodobnejšie hrozby sú rovnaké ako pre iné spoločnosti – phishing, krádeže údajov, manipulácia s letovými údajmi a podobne.
Smrť priamo spôsobená kybernetickými útokmi stále nad nami visí ako tichá hrozba. Kritickou oblasťou, na ktorú sa útočníci čoraz viac zameriavajú, je zdravotníctvo. Vplyvom kybernetických útokov na zdravotnícke zariadenia dochádza k úmrtiam pacientov napojených na elektronické systémy. Ak by došlo k trestnému stíhaniu, boli by to prvé potvrdené prípady úmrtia ako priamy dôsledok kybernetického útoku.
Práve v tejto súvislosti je evidentný enormný nárast organizovaných vydieračských útokov. Ransomvér spolu s vydieračskými skupinami, ktoré prevádzkujú kybernetické zločinecké gangy, zostane v roku 2021 jednou z najväčších obáv bezpečnostných tímov. V predchádzajúcom roku tieto útoky vyústili do globálnych finančných škôd v hodnote viac ako jednej miliardy dolárov a tento počet je určite vyšší, keďže mnohé kybernetické bezpečnostné incidenty nie sú hlásené (zdroj: analýza bezpečnostnej firmy Group-IB).
Napriek stále novým hrozbám však existujú nádejné signály, že sofistikovanosť obrannej bezpečnosti vďaka novým inováciám a možnostiam „dobehne“ útočníkov. Technická kybernetická obrana bude mať naďalej mimoriadny význam spolu s potrebou zamerať sa na aktívnu detekciu kybernetických hrozieb, nie iba na ochranu a prevenciu. V priebehu roka dôjde k nárastu využívania SIEM nástrojov (Security Information and Event Management) a strojového učenia, čo môže pomôcť odhaliť útočníkov, skôr ako získajú prístup k citlivým údajom. V tejto súvislosti sa práve nárast trhu nástrojov SIEM až do roku 2025 predpokladá 5,5 percenta ročne.
Prieskum
Top hrozby pre slovenské a české firmy
Predstavitelia slovenských a českých firiem považujú v roku 2021 za aktuálne viaceré kybernetické hrozby – od malvéru, cez výpadky služieb, až po úniky či narušenia dát. Nárast kybernetických incidentov vnímajú ako najväčšie riziko pre svoju budúcu prosperitu – väčšie ako sú napríklad zmeny v legislatíve či nové regulácie, alebo nástup automatizácie a robotizácie.
Názor
Preťažení odborníci na IT bezpečnosť volajú o pomoc
Čo je v súčasnosti pre firmy a verejnú správu najväčšou starosťou pri zabezpečovaní prevádzky a posilňovaní kybernetickej bezpečnosti? Nie sú to technológie, ani odborné posudky a audity, ktoré legislatíva nariaďuje vybraným organizáciám absolvovať, ale nedostatok odborníkov na kybernetickú bezpečnosť, vzdelávanie a osveta, ako uviedlo 117 respondentov česko-slovenského prieskumu CySec Benchmark.
Oblasť bezpečnosti IT trpí nedostatkom ľudí dlhodobo. Pandémia však medzeru medzi potrebami a ponukou trhu práce ešte prehĺbila.
Neudržateľné preťaženie
Prvým dôvodom je angažovanie špecialistov na IT bezpečnosť v mnohých ad hoc projektoch, do ktorých sa firmy aj verejná správa počas pandémie pustili, aby vedeli zákazníkov obslúžiť na diaľku, umožnili zamestnancom pracovať z domu a zabezpečili tak kontinuitu prevádzky.
Druhým je nárast aktivity hekerov a digitálnych podvodníkov, pre ktorý bývajú bezpečnostní odborníci zahltení incidentmi. Štatistiky firmy xMatters uvádzajú, že ich riešením trávia najmenej polovicu času až v troch štvrtinách organizácií.
Špecialisti na bezpečnosť sú preto na jednej strane na trhu práce mimoriadne žiadaní, ale mnohí z nich sa oprávnene pýtajú, ako dlho dokážu ešte enormný tlak zvládnuť. Prirodzená reakcia v podobe zvýšenia ľudských kapacít nemusí byť schodná. Kvalitní ľudia na pracovnom trhu chýbajú a mnohé organizácie v neistých časoch utlmili či úplne zmrazili náborové aktivity.
Pomocná technologická ruka
Riešenie zdanlivo bezvýchodiskovej situácie môže manažérom zodpovedným za riziká priniesť automatizácia. Väčšina ľudí si tento pojem spája s robotmi v priemysle. Svoje miesto má však aj v bezpečnosti IT, a to v podobe inteligentných softvérových nástrojov. Tie pomáhajú napríklad blokovať útoky v reálnom čase, kontrolovať zhody s bezpečnostnými pravidlami organizácie a aplikovať tieto pravidlá bez vyťažovania ľudských zdrojov. Poskytujú prepojenie medzi detekciou kybernetických hrozieb a následnou reakciou na bezpečnostné incidenty. Okrem úspory času eliminujú aj časté chyby spôsobené pracovníkmi v IT oddeleniach.
Prínosy automatizácie pre zvýšenie kybernetickej bezpečnosti – a tým aj obmedzenie vynútených výpadkov služieb a zaistenie biz-
nis kontinuity – sú nespochybniteľné. Podľa prieskumu Exabeam
automatizácia uľahčuje prácu a skracuje reakciu na bezpečnostné incidenty a zrýchlenie reakcie následne výrazne znižuje škody, ktoré prípadné narušenia bezpečnosti spôsobujú.
Kľúčová zbraň
Vo svetle týchto zistení nie je prekvapením, že automatizáciu bezpečnosti IT považujú odborníci pre úspešnú a efektívnu ochranu dát a sietí za kľúčovú. Pojem automatizácia však vyvoláva medzi odborníkmi aj negatívne konotácie. Až bezmála polovica 47 percent respondentov prieskumu Exabeam v nej vidí ohrozenie vlastného pracovného miesta.
Strach z nahradenia človeka strojom je odveký, ale vo svetle stoviek tisíc špecialistov na bezpečnosť IT, ktorých podľa neziskovej organizácie ICS(2) chýba iba na starom kontinente 300-tisíc, je vskutku neopodstatnený.
Automatizáciu v kybernetickej bezpečnosti netreba vnímať ako nepriateľa, ale ako príležitosť pre synergiu technológií s expertízou ľudí. Výsledkom je eliminácia ľudských chýb, obmedzenie stresu a preťaženia, efektívnejšie fungovanie jednotlivcov aj celého tímu a menšie riziká pre celú organizáciu.
Roman Čupka, odborník na kybernetickú bezpečnosť, hlavný konzultant Flowmon Networks a CEO Synapsa Networks
Od lídrov čakáme rozhodnosť
ANKETA: Ak by ste mali urobiť iba jedno zásadné rozhodnutie v kybernetickej bezpečnosti počas roka, ktoré by to bolo?
Ivan Makatura
generálny riaditeľ, Kompetenčné a certifikačné centrum kybernetickej bezpečnosti
Žiadne. Všetky strategické rozhodnutia sú už učinené. V tejto fáze rozvoja spôsobilostí v oblasti kybernetickej bezpečnosti nie sú potrebné rozhodnutia, ale už konečne ich uplatnenie v praxi. Okrem každodenných manažérskych rozhodnutí, ktoré sú nutné v operatívnom riadení, by nové strategické rozhodnutia vnášali do rozbehnutých procesov zbytočnú neistotu a dvojkoľajnosť. Budem spokojný, ak Slovensko dokáže efektívne implementovať aspoň časť nových regulácií v ochrane informačných aktív.
Rastislav Janota
riaditeľ, Národné centrum kybernetickej bezpečnosti SK-CERT
Najzásadnejšie rozhodnutie by malo byť, že kybernetická bezpečnosť sa týka každého z nás, jeho firmy alebo organizácie. Dnes si príliš veľa ľudí, paradoxne, myslí opak. Musíme v tejto oblasti začať vzdelávať seba a organizovať vzdelávanie vo svojich firmách. Začať od seba, svojej rodiny a zamestnancov – budovať bezpečnostné povedomie. Je to nesmierne dôležité pre bezpečnejšiu budúcnosť.
Tomáš Hettych
viceprezident, Asociácia auditu a kontroly informačných systémov
Pripravte sa na veľký dopyt po službách v kybernetickej bezpečnosti. Tento rok je termín na prvé audity v tejto oblasti a prevádzkovateľov základných služieb, ktorých sa to týka, sú stovky. Prvé audity kybernetickej bezpečnosti sú už za nami a výsledky nie sú veľmi pozitívne. Čaká nás veľa práce. Takže treba nájsť a certifikovať audítorov, začať radiť a „makať“ na auditoch.
Martin Oczvirk
riaditeľ odboru informačnej bezpečnosti a certifikácie, Úrad na ochranu osobných údajov
Ak len jedno rozhodnutie, tak potom strategické pre Slovensko. A tým je reálne a neodkladné investovanie do kybernetickej bezpečnosti. Nielen kupovaním existujúcich produktov od renomovaných firiem. Štát by mal masívne investovať do výskumných technologických centier pre kybernetickú bezpečnosť a začal osvetovú kampaň, aby zmysel ochrany v kybernetickom priestore pochopil každý. Aj keď to znie utopicky.
Lukáš Neduchal
podpredseda správnej rady, Asociácia kybernetickej bezpečnosti
Skúsim vybrať jedno, a možno prekvapivo nebude z oblasti prevencie. Ako vidíme takmer každý deň, útoky sú čím ďalej sofistikovanejšie, a preto je preventívna činnosť náročnejšia a nákladnejšia. Ak teda vychádzam z toho, že najdôležitejšie sú dnes dáta a z nich spracované informácie, tak zásadným rozhodnutím by bolo dôsledné dodržiavanie postupov a kontrol počas procesu tvorby zálohy dát, ich bezpečnej úschovy a možnosti ich rýchlej a kvalitnej obnovy.
Peter Dostál
generálny riaditeľ a predseda predstavenstva, Aliter Technologies, a. s.
Začnime hneď dnes používať viacfaktorové overovanie identity, alebo si aspoň zlepšime manažment hesiel. V poslednom čase všetci zápasíme s nekonečným množstvom rôznych hesiel do všetkých možných aplikácií. Používať to isté heslo všade je tá najhoršia cesta, pretože ak príde k prieniku do jedného systému, kompromitované budú všetky. Riešenie je pritom jednoduché – špeciálna aplikácia v mobile, ktorá pre každý systém vygeneruje v každom čase jednorazové doplnkové heslo. Alebo pre manažment hesiel existujú aplikácie, ktoré majú uložené heslá do všetkých systémov v zašifrovanom súbore.
Andrej Žucha
generálny riaditeľ, ALISON Slovakia
Jednoznačne investícia do riešení na ochranu údajov šifrovaním. Čím nižšia je ochrana údajov, tým vyššia je ich zraniteľnosť, či už sú to firemné, štátne alebo osobné údaje. Preto akúkoľvek investíciu – časovú alebo finančnú do šifrovacích riešení, počínajúc open source a končiac certifikovanými zariadeniami na úrovni štátnych autorít, považujem v roku 2021 za správnu a dobre zúročenú.
Roman Čupka
hlavný konzultant, výkonný riaditeľ, Flowmon Networks, Synapsa Networks
Podporil by som startupy v oblasti kybernetickej bezpečnosti. Napríklad vytvorením prehľadnej a jednoduchej dotačnej schémy pre inovatívne projekty a vývoj nových technológií, ktorá by začínajúcim podnikateľom pomohla konkurovať na globálnych trhoch. Je to jeden zo spôsobov, ako posúvať krajinu k znalostnej ekonomike a zároveň by to mohlo pomôcť zlepšiť osvetu a zvýšiť odolnosť slovenských organizácií voči kybernetickým rizikám.
Anna Stehlíková
manažérka pre bezpečnostné licencie pre región Čiech a Slovenska, Micro Focus
Minulý rok nás upozornil na nutnosť flexibility a rýchlosti našich softvérových riešení. Preto odporúčam posúdiť, ako inteligentne sa vie naša firma adaptovať. Inými slovami, ako inteligentnú máme kybernetickú stratégiu, či vieme automatizovať – strojové učenie, zisťovanie hrozieb a reakcie na ne, vzdialené prístupy, a či máme nasadené vhodné nástroje. Na tieto účely používame tzv. 360° test kybernetickej odolnosti.
Vladimír Mlynarčík
riaditeľ pre región Českej a Slovenskej republiky, Clico
Otázka kyberbezpečnosti je komplexným problémom. Nie je celkom možné oddeľovať jej jednotlivé zložky do samostatných celkov, pretože by sa tým zásadne míňal jej zmysel. Ak by som mal však niektorú oblasť vyslovene prioritizovať, tak pre rok 2021 vnímam ako kľúčovú tému bezpečnosť cloudového prostredia. Trend posunu aplikácií do cloudu a dát je tu prítomný už pomerne dlhý čas, otázka ich bezpečnosti je teda veľmi aktuálna.
Daniel Hetenyi
regionálny manažér, CyberArk
Rozhodne by som sa dal do „upratovania“ v oblasti správcovských účtov a používateľskej identity. Viete s istotou odpovedať, kto a ako využíva vaše silné administrátorské účty? Zneužitie identity a hlavne účtov s vysokými oprávneniami môže spôsobiť podniku značné škody, dokonca úplne zastaviť prevádzku. Preto je poctivá „hygiena“ silných účtov jedným z najefektívnejších nástrojov bezpečnostnej stratégie.
Jaroslav Oster
súdny znalec, Infoconsult
Za mňa by to bola určite dynamická akcelerácia procesov vzdelávania tém informačnej bezpečnosti vrátane oblastí, ako sú prevencia a vyšetrovanie IT kriminality. A to na všetkých úrovniach spoločnosti, samozrejme, podľa reálnych potrieb cieľovej skupiny. Počnúc školským systémom, cez zamestnancov štátnej správy, samospráv, nevynímajúc zdravotníctvo. Značné deficity v bezpečnostnom povedomí je nutné riešiť aj na úrovni vzdelávania súdov, prokuratúry a polície.
Ján Adamovský
riaditeľ bezpečnosti, Slovenská sporiteľňa
Firmám odporúčam venovať sa najmä konsolidácii bezpečnostných technológií. V praxi to totiž často funguje tak, že firmy na neustále vznikajúce hrozby reagujú nákupom tej najlepšej technológie, ktorá im pomáha problém riešiť. Keďže hrozieb je však čoraz viac, vo firme pribúdajú aj technológie a bezpečnostní manažéri sa dostávajú do začarovaného kruhu. Riešenie vidím práve v sústredení sa na menší počet technológií a v ich maximálnom využití.
Tomáš Zaťko
CEO, etický hacker, Citadelo
V oblasti testovania bezpečnosti rozšíriť štandardné penetračné testy aj o red teaming – penetračné testy „na steroidoch“, ktorých cieľom je dostať sa dnu akýmkoľvek spôsobom.
Marián Kľačo
vedúci oddelenia bezpečnosti informácií IT manažment kvality, Volkswagen Slovensko
Zvyšovanie povedomia o kybernetickej bezpečnosti. Každý IT používateľ, či už doma alebo v práci, je potenciálnym terčom útokov sociálneho inžinierstva. Sme tomu vystavení, tak my dospelí, ako aj naše deti. Všetko a všetci sú online. Na internete je veľa užitočných informácií, ale aj veľa nástrah. Preto je viac ako dôležité o nich vedieť, naučiť sa im brániť. Na školách, vo firmách a aj doma.
Roman Varga
manažér kyber bezpečnosti, Dôvera, zdravotná poisťovňa, a. s.
V našom firemnom mikrosvete je to rozšírenie ochrany pred takzvanými ransomvérovými útokmi. Okrem nasadenia EDR riešenia je to zrozumiteľná a cielená interná kyberedukácia a cvičné phishingové útoky. V sektore zdravotníctva je to spoločné hľadanie funkčných a bezpečných IT riešení. Tie väčšinou už na trhu existujú a môžu posunúť náš sektor dopredu. V minulosti sme s našimi riešeniami už posunuli štátne ezdravie (eHealth).
Pavol Adamec
výkonný riaditeľ oddelenia Riadenie rizík, KPMG Slovensko
Pracovné kybernetické predsavzatie je jednoduché: útočník je ako koronavírus. Nebudem preto podliehať pocitom a fámam a nechám priestor pre rady a činnosť odborníkom. Súkromné kybernetické predsavzatie je čisto hygienické podľa R-O-R vzoru: Rozumne budem doma inštalovať programy a nové inteligentné zariadenia. Odvážim sa preštudovať si menu svojich domácich zariadení a pravidelne kliknem na „aktualizovať firmvér“. Riadne a včas si zmením svoje domáce heslá.
Henrich Šnajder
manažér IT bezpečnosti, Orange Slovensko, a. s.
Vypracovanie a schválenie akčného plánu ako nevyhnutný krok k schválenej Národnej stratégii kybernetickej bezpečnosti 2021 – 2025. Ako kľúčové faktory úspechu vnímam rozvoj spolupráce štátu s prevádzkovateľmi základných služieb, kritickej infraštruktúry a poskytovateľmi digitálnych služieb, ďalej rozhodnutia a kroky vedúce k financovaniu a cielenej podpory realizovanej z verejných zdrojov za účelom funkčného zabezpečenia národného kybernetického priestoru.
Marek Zeman
vedúci oddelenia bezpečnosti informačných systémov, Tatra banka
Naša krajina potrebuje ľudí s vybudovaným bezpečnostným povedomím. Ak by som mal možnosť alebo právomoc, mojím prvým rozhodnutím by bolo naštartovať na Slovensku vzdelávanie o informačnej bezpečnosti na všetkých úrovniach. Zahŕňajúc všetky typy škôl, verejnú správu, zamestnancov a aj dôchodcov. Zodpovednosť za vzdelávanie by bola na pleciach jednotlivých inštitúcií. Obsah vzdelávania navrhujem riadiť centrálnou inštitúciou s dobrou víziou a plánom.
Ivan Kotuliak
dekan, Fakulta informatiky a informačných technológií STU Bratislava
V minulom roku nás prekvapila korona a jedným z najvýznamnejších rozhodnutí bol prechod na online vzdelávanie. Pri rozhodovaní o platformách je dôležitá aj bezpečnosť a privátnosť používateľov, preto by som urobil dôkladný audit najčastejšie používaných platforiem pre online vzdelávanie a snažil by som sa zvýšiť počet pripravovaných expertov, ktorý je dnes jednoznačne nedostatočný.
Jana Puškáčová
manažérka útvaru Informačná bezpečnosť, MOL IT & Digital Slovensko
Kybernetická bezpečnosť nie je len o IT rozhodnutiach, ako nakúpiť a implementovať bezpečnostnú technológiu. Na jednej strane je potrebné nájsť rovnováhu medzi dostupnými ľudskými a finan-čnými zdrojmi tak, aby sa čo najúčinnejšie zmiernila hrozba kybernetického incidentu a zachovala sa kontinuita podnikania. Na druhej strane je príliš veľa technických zraniteľností, nedostatočných bezpečnostných procesov a procedúr a zamestnancov vystavených technikám sociálneho inžinierstva, než koľko by bolo možné okamžite zaplátať, revidovať či zaškoliť. Preto je potrebné, aby rozhodnutia o tom, ako a koľko investovať do ľudí, procesov a technológií v kybernetickej bezpečnosti, boli prijímané v súlade s riadením a posúdením bezpečnostného rizika.
Richard Kiškováč
bezpečnostný konzultant, Digital Systems, a. s.
Základným predpokladom na zaistenie kybernetickej bezpečnosti sú zdroje. Z manažérskej praxe viem, že na elimináciu všetkých bezpečnostných rizík sú zdroje len málokedy a niekedy je ich množstvo silne limitované. Najmä v takejto situácii je zásadným rozhodnutím to, ako rozdeliť limitované zdroje na vyriešenie najkritickejších bezpečnostných rizík, alebo iba tých naozaj najzávažnejších slabín.
(Natívna informácia)