Novela reflektuje skutočnosť, že vyše tisícky prevádzkovateľov poskytuje služby nevyhnutné pre chod verejnej správy, ale ich systémy nie sú považované za kritické. Typicky ide o malé obce a mestá s pár tisíckami obyvateľov.
Takže samohodnotenie môžu vykonať prevádzkovatelia, ktorí majú zo zákona povinnosť auditu, ale ich informačný systém nepredstavuje úplne sofistikovanú architektúru.
Taký je život
Slovensko je krajina malých obcí a miest. Na obecnom úrade majú pár počítačov, niekedy aj server, pripojenie do internetu, účtovníctvo aj dokument manažment a ítečkára na polovičný úväzok...
Kybernetická bezpečnosť služieb týchto subjektov je dôležitá, ale nejde o kritickú infraštruktúru najvyššej kategórie, akými sú distribúcia energií alebo zdravotníctvo.
V samohodnotení si organizácia takpovediac „vlastnými silami“ preveruje účinnosti prijatých bezpečnostných opatrení, ktoré sú uvedené vo vyhláške Národného bezpečnostného úradu.
Nevyhnutná podmienka
Prevádzkovateľ základnej služby, aj keď to je miniobec či úrad, nespadne do kategórie samohodnotenie automaticky.
Ako prvý krok musí „rozbiť“ svoju základnú službu na základné Informačné systémy a podporné prvky. Podľa toho, aký významný je informačný systém, zaradí sa do príslušnej kategórie. Upozorňujem však, že prevádzkovateľ môže mať viacero systémov.
Táto podmienka je kľúčová pre zaradenie do samohodnotenia a zároveň slúži ako podporný argument pri prípadnej kontrole zo strany regulátora.
Ten, kto je zodpovedný
Samohodnotenie musí vykonávať manažér kybernetickej bezpečnosti, čo garantuje kvalitu procesu.
Tento profesionál môže byť zamestnancom alebo sa dajú jeho služby objednať externe. Národná autorita už v súčasnosti pracuje na tom, aby vznikol znalostný štandard pre túto rolu.
Či už je to manažér, alebo audítor, cieľ je rovnaký – vyhodnotenie stavu organizácie. Avšak za tento stav a opatrenia je a vždy bude zodpovedný štatutár prevádzkovateľa.
Ten, kto to vie
Stovky starostov a primátorov dostanú do rúk informáciu o stave kybernetickej bezpečnosti. Samohodnotenie si tak predstavte ako odpovede na sériu otázok. Zároveň samohodnotenie na rozdiel od auditu neobsahuje odporúčania.
Budú si musieť nastaviť ďalší plán rozvoja bezpečnosti a rozhodnúť, či potrebujú špecializovaného dodávateľa. V tejto súvislosti vám môže byť pomôckou Päť krokov na výber dodávateľa, ktoré odporúča Agentúra EÚ pre kybernetickú bezpečnosť.
Preto je nevyhnutné dodržať objektivitu samohodnotenia a manažér kybernetickej bezpečnosti musí byť nezávislý od tých, ktorí udržujú IT v chode.
Fakty nepustia
Pravda je taká, že v súčasnosti nám na Slovensku chýba niekoľko tisíc kvalifikovaných manažérov kybernetickej bezpečnosti.
Odborníci preto varujú pred explóziou samozvaných profesionálov, najlepšie charakterizovaných populárnym označením „šmejdi“.
NBÚ zverejňuje certifikačnú schému overovania odbornej spôsobilosti manažéra kybernetickej bezpečnosti a pracuje na znalostnom štandarde.
Treba začať
Na základe výsledkov samohodnotenia si prevádzkovatelia musia nastaviť realistický plán implementácie ďalších bezpečnostných opatrení.
Na základe samohodnotenia majú obce, mestá, dodávatelia aj manažéri kybernetickej bezpečnosti pred sebou viac ako dva roky práce. Na konci tejto živej cesty je dosiahnutie plného súladu s požiadavkami legislatívy. Každodenným cieľom je však chrániť bezpečnosť obyvateľov.
David Dvořák, certifikovaný audítor kybernetickej bezpečnosti
(Špeciálny projekt)