Situácia v oblasti digitálnej bezpečnosti na Slovensku nie je ideálna. Prieskum Národného bezpečnostného úradu z roku 2022, ktorý prebehol na vzorke tisíc respondentov zistil, že až 53 percent firiem má skúsenosť s kybernetickým útokom a 60 percent firiem nerieši kybernetickú bezpečnosť. O kybernetickej bezpečnosti, hrozbách, ale aj možnostiach ich odvrátenia hovorí partner TPA Slovakia Ivan Paule a Security Manager Bibiána Žigová.

Prečo je čoraz dôležitejšie hovoriť o kybernetickej bezpečnosti?

Technologický pokrok vo svete rýchlo napreduje, pričom umelá inteligencia (AI) zohráva kľúčovú úlohu vo viacerých oblastiach ľudského života. S rýchlym rastom technologických zmien sa objavujú aj závažné problémy. Jeden z najalarmujúcejších spočíva v globálnom náraste napätia a konfrontácie.

Technologické zmeny neobídu ani oblasť kybernetických útokov, ktoré sa stávajú bežnou súčasťou moderných konfliktov. S narastajúcou komplexnosťou a účinnosťou AI sa zvyšuje aj potenciálne nebezpečenstvo pre medzinárodnú bezpečnosť. Krajiny či organizácie sú schopné využívať AI na rôzne účely vrátane vojenských operácií, špionáže a destabilizácie súperov.

Tak vznikajú nové formy napätia, ktoré môžu vyústiť do kybernetických útokov. Tie majú potenciál vážne narušiť hospodárstva, verejnú infraštruktúru a samotnú bezpečnosť obyvateľstva.

Sú tieto hrozby len otázkou medzinárodných vzťahov?

Rastúce napätie v oblasti AI nie je obmedzené iba medzištátnymi vzťahmi. Aj v rámci jednotlivých štátov a spoločností dochádza k rozrastaniu konfliktov v súvislosti s využívaním umelej inteligencie napríklad v oblasti práce, etiky alebo ochrany súkromia. Významným je aj riziko, že AI môže byť zneužívaná na vytváranie falošných informácií (deepfakes), čím sa podkopáva dôveryhodnosť informačných zdrojov a zvyšuje sa možnosť manipulácie verejnej mienky.

Celkovo je teda problém dynamického rozvoja oblasti AI komplexný a vyžaduje si pozornosť medzinárodného spoločenstva. Riešenie tohto problému bude vyžadovať spoluprácu medzi krajinami, vytváranie medzinárodných noriem a etických smerníc pre využívanie AI, ako aj posilnenie kybernetickej bezpečnosti na globálnej úrovni.

Čo je teda potrebné urobiť?

Je dôležité, aby jednotlivé krajiny prijímali a implementovali prísne zákony o kybernetickej bezpečnosti. Tieto zákony by mali stanovovať povinnosti pre určité typy organizácií, aby zabezpečili adekvátnu ochranu ich informačných systémov a dát. To môže zahŕňať aj sankcie pre subjekty, ktoré nedodržiavajú predpísané bezpečnostné normy. Zákony by mali byť dynamické a schopné sa rýchlo prispôsobiť novým výzvam. Navyše by mali obsahovať opatrenia na ochranu kritických infraštruktúr, pričom by mali byť jasne definované a merateľné bezpečnostné štandardy.

Ako je na tom Slovensko?

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti s účinnosťou od 1. apríla 2018 transponoval smernicu Európskeho parlamentu a Rady EÚ 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej úrovne bezpečnosti sietí a informačných systémov v EÚ. Upravuje práva a povinnosti osôb, ako aj právomoc a pôsobnosť orgánov verejnej moci stanovením minimálnych požiadaviek na štandardné zabezpečenie významných informačných systémov v SR. Stanovil aj minimálne požiadavky na zabezpečenie kybernetickej bezpečnosti. Hlavným cieľom je ochrana a funkčnosť kybernetického priestoru v SR.

Ide o smernicu z roku 2016. Došlo medzitým k nejakým zmenám?

Pôvodné pravidlá boli aktualizované smernicou NIS2, ktorá nadobudla účinnosť v roku 2023. Modernizovala existujúci právny rámec s cieľom udržať krok so zvýšenou digitalizáciou a vyvíjajúcim sa prostredím kybernetických hrozieb. Rozšírením rozsahu pôsobnosti na nové odvetvia a subjekty sa tým zlepšila odolnosť a kapacity reakcie na incidenty verejných a súkromných subjektov, príslušných orgánov a EÚ ako celku.

V akom stave je transpozícia novej smernice?

Dnes slovenská odborná verejnosť so strednými a veľkými organizáciami očakáva transpozíciu smernice EÚ NIS2 do slovenskej legislatívy formou novelizácie vyššie uvedeného zákona. Malo by sa tak udiať najneskôr do októbra 2024. Príslušné organizácie budú musieť prijať primerané bezpečnostné opatrenia a informovať vnútroštátne orgány o závažných incidentoch. Kľúčoví poskytovatelia digitálnych služieb, ako sú vyhľadávače, služby cloud computingu, online trhy a mnohé ďalšie budú musieť spĺňať bezpečnostné a oznamovacie požiadavky podľa smernice.

Z čoho pozostáva IT audit
  • Plánovanie: definovanie cieľov auditu, vypracovanie plánu a pridelenie zodpovednosti
  • Získanie porozumenia IT prostrediu: získavanie relevantných dát o IT systémoch, procesoch a bezpečnostných opatreniach
  • Hodnotenie rizík: Identifikácia a hodnotenie rizík spojených s IT prostredím organizácie
  • Hodnotenie výkonu: posúdenie efektívnosti a účinnosti IT procesov a systémov
  • Spracovanie zistení: vytvorenie správy obsahujúcej zistenia a odporúčania na zlepšenie
  • Overenie implementácie odporúčaní: sledovanie postupu implementácie odporúčaní získaných počas auditu

Aký to môže mať vplyv na biznis?

Vplyv na biznis môže byť významný. Podniky, ktoré poskytujú digitálne služby v uvedených odvetviach, budú musieť dodržiavať bezpečnostné normy a oznamovacie požiadavky ustanovené v smernici. To znamená, že tieto firmy budú povinné implementovať bezpečnostné opatrenia na ochranu pred rizikami a zabezpečiť informovanie príslušných orgánov v prípade významných bezpečnostných incidentov.

Môžeme tento vplyv konkretizovať?

Pôjde napríklad o náklady na bezpečnosť. Podniky budú musieť investovať do bezpečnostných opatrení a technológií na ochranu digitálnych služieb. Ďalej budú musieť firmy vyvinúť mechanizmy na rýchle a efektívne oznamovanie prípadných bezpečnostných incidentov.

Podniky budú musieť prispôsobiť svoje existujúce procesy a postupy tak, aby vyhovovali požiadavkám smernice. To môže zahŕňať aktualizácie politík, školenie zamestnancov a implementáciu nových technológií. V neposlednom rade dodržiavanie bezpečnostných normatívov môže zvýšiť dôveru klientov k poskytovateľom digitálnych služieb, čo môže byť výhodou na trhu.

Ďalším rozmerom je implementácia dobrovoľných opatrení normy ISO 27001?

Implementácia medzinárodnej normy ISO 27001 a súvisiacich štandardov môže byť pre organizácie dobrovoľným, avšak veľmi účinným opatrením. Poskytuje totiž rámec pre správu informačnej bezpečnosti, čo zahŕňa aj kybernetickú bezpečnosť. Získanie certifikácie ISO 27001 môže byť významnou konkurenčnou výhodou a zvýšiť dôveryhodnosť organizácie voči zákazníkom, partnerom a regulačným orgánom.

Okrem toho by organizácie mali systematicky vykonávať interné a externé hodnotenia kybernetickej bezpečnosti, pravidelne aktualizovať bezpečnostné politiky a zabezpečiť, aby ich zamestnanci mali prístup k adekvátnemu školeniu. Je treba dosiahnuť rovnováhu medzi povinnými opatreniami a dobrovoľnými iniciatívami, ktoré môžu organizáciám pomôcť nielen dodržiavať minimálne požiadavky na kybernetickú bezpečnosť, ale aj prekonávať ich, posilňovať odolnosť voči hrozbám a zvyšovať dôveru v digitálnom prostredí.

Najbežnejšie kontroly v rámci kľúčových aplikácií (ITGC)
  • Kontrola manažmentu prístupových práv
  • Kontrola dostupnosti, dôvernosti a integrity dát
  • Kontrola životného cyklu vývoja systému
  • Kontrola manažmentu zmien
  • Kontrola manažmentu incidentov
  • Kontrola fyzickej objektovej bezpečnosti
  • Kontrola zálohovania a obnovy systému a údajov
  • Kontrola biznis kontinuity
  • Kontrola prevádzky informačného systému

K tomuto účelu slúži zrejme IT audit.

Proces ISO 27001 certifikácie je komplexný a trvá dlhšie obdobie. Pokiaľ chce subjekt rýchlo vedieť, ako na tom v oblasti IT bezpečnosti je, môže zvážiť vykonanie jednoduchého IT auditu. Jeho súčasťou je hodnotenie a overovanie informačných technológií, IT infraštruktúry a príslušných procesov s cieľom zabezpečiť, že sú v súlade s cieľmi organizácie a s právnymi predpismi.

Hlavným cieľom je identifikovať riziká, zlepšiť bezpečnosť a integritu dát a zabezpečiť efektívne využívanie IT zdrojov. IT auditu pomáha identifikovať slabé miesta v bezpečnostných opatreniach a prispieva k ochrane dôležitých informácií pred neoprávneným prístupom. Počas procesu certifikácie je možné zhodnotiť efektívnosť a účinnosť IT procesov, čo umožňuje organizácii identifikovať oblasti na zlepšenie.

Ktorým oblastiam je venovaná pozornosť?

V rámci IT auditu je pozornosť venovaná všeobecným IT kontrolám (ITGC) a aj kontrolám v rámci kľúčových aplikácií. Všeobecné kontroly sú kontroly, ktoré sa vzťahujú na všetky systémy, komponenty, procesy a údaje pre danú organizáciu alebo prostredie informačných technológií.

Cieľom je zabezpečiť správny vývoj a implementáciu aplikácií, ako aj integritu programov, dátových súborov a počítačových operácií. Všeobecné kontroly zahŕňajú vývoj a implementáciu stratégie informačných systémov a bezpečnostnej politiky, organizáciu zamestnancov, organizáciu prístupov či plánovanie procesu predchádzania katastrofám a plánu obnovy.

Zrejme nejde o jednorazovú záležitosť.

Riadenie kybernetickej bezpečnosti je potrebné vnímať ako neustály proces, ktorý organizácii umožňuje neustále monitorovať a zlepšovať jej bezpečnostné postupy a mechanizmy v reakcii na rastúce kybernetické hrozby a výzvy. S narastajúcim počtom a sofistikovanosťou útokov je neustále monitorovanie, hodnotenie a zlepšovanie bezpečnostných postupov kľúčové pre udržanie odolnosti organizácie voči kybernetickým rizikám.

Spolu tieto vyššie uvedené nástroje – IT audit, rámec pre všeobecné IT kontroly, audit kybernetickej bezpečnosti a ISO 27001 – tvoria komplexný prístup k zabezpečeniu a riadeniu informačných technológií v dobe, keď bezpečnosť informácií predstavuje kľúčový pilier úspechu a dôveryhodnosti organizácií.

Buďte vždy v obraze s pravidelnými aktualitami z oblasti daní, auditu a účtovníctva. Viac v newslettri TPA. Rozhovor Bibiány Žigovej zo spoločnosti TPA na tému Informačná bezpečnosť a norma ISO 27001 v čase stupňujúcich sa kybernetických útokov si môžete vypočuť aj v podcastovej verzii. Staršie podcasty TPA nájdete TU.

Ďalšie dôležité správy

Biznis, Office, Kariéra, Fúzie a akvizície
Neprehliadnite

Fúzie a akvizície sa vlani prepadli. I pre vysoké úroky. Obchodníci sa nemohli dohodnúť na cene