Zákon o kybernetickej bezpečnosti je v platnosti už viacej ako dva roky a za tento čas zásadným spôsobom „rozhýbal“ celú krajinu v snahe naplniť jeho požiadavky. Za nesplnenie legislatívnych požiadaviek hrozia vysoké pokuty, avšak to by nemala byť hlavná motivácia riešiť IT bezpečnosť.
Rizikami, ktoré hrozia denne, sú odcudzené peniaze z obecných účtov, únik citlivých dát či znefunkčnenie dôležitého informačného systému na niekoľko dní. Obec by mala byť schopná zdokumentovať incident a prijať opatrenia proti opakovaniu vo vlastnom záujme, nie iba kvôli hrozbe pokuty.
Jediné, čo majú organizácie ako-tak vyriešené, je nakladanie s osobnými údajmi. „Považujem to však skôr za výsledok medializovaných hrozieb a riešenie nahrádza dokumentácia procesov. A ani tie sa však často nevykonávajú a nekontrolujú. Čiže – bezpečnosť opäť mizivá,“ upozorňuje Peter Tyko, riaditeľ kybernetickej bezpečnosti v spoločnosti Alison Slovakia.
Koľko stojí kybernetická bezpečnosť
Štúdia Deloitte uvádza, že výdavky na kybernetickú bezpečnosť sa pohybujú v rozmedzí 0,2 až 0,9 percenta z celkových príjmov organizácie. V prípade samosprávy je východiskom počet obyvateľov, čo určuje rozsah povinnosti podľa zákona. Druhým vstupným parametrom je fakt, či obec alebo mesto majú vlastného správcu, alebo sa im o infraštruktúru niekto stará.
Odporúčaný rozpočet na kybernetickú bezpečnosť: 0,2 - 0,9 percent z ročných príjmov organizácie
Ak sú ročné príjmy milión eur, odporúčaný rozpočet je na vrchnej hranici 29 000 eur ročne.
Ak sa vám to zdá veľa, skúste si predstaviť, aké škody môže spôsobiť organizácii, ak sa do bezpečnosti neinvestuje. Tieto škody sa prejavia vo finančnej strate, v nákladoch na obnovu systémov, v regulačných pokutách, poplatkoch za právne a expertné služby, v reputačných škodách a napríklad aj na zvýšení poistného.
Odporúčané finančné prostriedky plánované na kybernetickú bezpečnosť na rok 2021
- Obce do 6 000 obyvateľov, menšie úrady (kategória 1) od 5 000 eur
- Okresné mestá, ostatné subjekty (kategória 2) od 20 000 eur
- Krajské mestá, ostatné subjekty (kategória 3) od 100 000 eur
Uvedené sumy obsahujú náklady na kvalifikovaných pracovníkov kybernetickej bezpečnosti, interní alebo externí, a zavádzanie procesov kybernetickej bezpečnosti vrátane potrebných nástrojov. „V praxi sa pri stanovovaní predpokladaných nákladov držíme reality, v akej sa náš trh nachádza,“ hovorí Peter Tyko. Základom sú však minimálne bezpečnostné opatrenia požadované legislatívou v zmysle kategorizácie subjektov informačných technológií verejnej správy.
Od nuly po prípravu na kybernetický útok
Už pri výbere dodávateľa by mal zadávateľ presne určiť minimálny štandard rozsahu a kvalitu požadovaných výstupov. „Dom postavený na slabých základoch totiž nebude dobrý dom,“ stručne vysvetľuje Peter Tyko.
Základom, na ktorom sa už dá budovať profesionálna IT bezpečnosť, je kvalitne spracovaná rozdielová analýza, analýza rizík, vykonanie klasifikácie systémov a informácií v rozsahu podľa požiadaviek zákona o kybernetickej bezpečnosti a informačných technológiách verejnej správy a súvisiacich vyhlášok. Vykonanie týchto činností a odovzdanie dokumentácie označujeme za prvú fázu.
Druhá fáza projektu je založená na úzkej spolupráci zákazníka a dodávateľa, keďže opatrenia a odporúčania sa uvádzajú administratívne, no najmä prakticky do praxe. Cieľ je nastaviť všetko tak, aby sa obec, mesto, organizácia alebo nemocnica mohli pripraviť na audit podľa paragrafu 29 zákona o kybernetickej bezpečnosti a audítor potvrdí súlad IT bezpečnosti s legislatívou.
V tejto fáze je subjekt pripravený na potenciálny kybernetický útok, takže vie, ako mu predchádzať, ako ho detegovať a v prípade, že nastane, ako ho riešiť. A že či útok príde? Skôr či neskôr v nejakej forme určite áno.
Kontinuálna realizácia a dodávka oboch fáz prináša synergiu v úspore finančných nákladov pre zákazníka a jednoznačnú zodpovednosť dodávateľa za svoju prácu. Obzvlášť v druhej fáze je vzájomná dôvera a súčinnosť akcelerátorom nasadzovania želaných zmien do praxe.
A čoho sa vystríhať
V každom prípade ponúk od neznámych spoločností, ktoré garantujú zabezpečenie kybernetickej bezpečnosti za desiatky či pár stovák eur mesačne. Veľa dodávateľov totiž ponúka dodávku iba na úrovni formálnej všeobecnej dokumentácie.
Na reálne kybernetické hrozby však pripraví organizáciu iba funkčný a implementovaný proces, ktorý presvedčí aj audítora. Detekciu a riešenie kybernetických incidentov žiadne „papiere“ rozhodne neošetria.
Na druhej strane, ani samotná implementácia technického riešenia nie je postačujúca, keďže veľa spoločností operuje so „zázračnými škatuľkami“, ktoré všetko vyriešia aj samy. V určitých oblastiach pomáhajú, no bez personálu a funkčného procesu nie sú postačujúce.
Zdroje:
zákon č. 69/2018 Z. z. z 30. januára 2018 o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
vyhláška NBÚ č. 362/2018 Z. z. z 20. decembra 2018
zákon č. 95/2019 Z. z. z 18. apríla 2019 o informačných technológiách verejnej správy a o zmene a doplnení niektorých zákonov
vyhláška MIRRI č. 179/2020 Z. z. z 30. júna 2020