Zatiaľ, čo v určitých segmentoch, ako sú technologické spoločnosti, automotive, banky či operátori si uvedomujú hodnotu svojho digitálneho know-how a investujú do jeho zabezpečenia, väčšina firiem u nás stále vyčkáva. Robili to tak aj väčší hráči a nakoniec sa im to nevyplatilo. Napríklad spoločnosť Garmin zaplatila v minulom roku „vydieračom“ počas Ransomware útoku 10 miliónov dolárov. Taký „neškodný“ malware zase v roku 2017 spôsobil spoločnosti Maersk škody odhadované na 250 až 300 miliónov dolárov. A čo z toho plynie? Asi aj to, že je lepšie poznať svoje zraniteľné miesta a postupne ich odstraňovať, ako si dať šatku ce z oči a čakať.
Čo sa deje s kybernetickou bezpečnosťou na Slovensku nám poodhalia Ing. Igor Straka, audítor informačnej a kybernetickej bezpečnosti v TÜV SÜD Slovakia a JUDr. Ing. Miroslav Chlipala, PhD. odborník na právo a moderné technológie z advokátskej kancelárie Bukovinský & Chlipala.
Častokrát je na počiatku legislatíva, ako sme na tom na Slovensku?
Úprimne, tejto oblasti sa na Slovensku dlhé roky nevenovala dostatočná legislatívna pozornosť. Prvým jasným legislatívnym krokom predstavujúcim snahu o právnu reguláciu kybernetického priestoru a zakotvenie významnej úlohy kybernetickej bezpečnosti v „životoch“ prevádzkovateľov služieb významných pre štát a spoločnosť bolo prijatie zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti. Nejednalo sa o samostatný počin Slovenskej republiky. Prijatie zákona o kybernetickej bezpečnosti bolo vynútené legislatívou (smernicou) Európskej únie, ktorá musela byť do nášho právneho poriadku transponovaná. V prvom rade je to teda štát, ktorý musí v tému kybernetická bezpečnosť uveriť ako prvý.
Kybernetické útoky sa každým rokom zdokonaľujú a už existujú aj štáty, kde legálne môžete prevádzkovať napríklad Ransomware útok ako legálny biznis. Kam sme sa dostali a aká pozornosť sa venuje kybernetickej bezpečnosti na Slovensku?
Množstvo adresátov zákona o kybernetickej bezpečnosti ani nevie, že sa na nich zákon vzťahuje. Tí, ktorí o tom majú akú takú vedomosť následne nevedia, ako požiadavky zákona naplniť. A niet sa čomu čudovať. Táto téma je totiž nesmierne komplexná a v podobe spomínaného zákona presahuje do väčšiny oblastí dôležitých pre fungovanie štátu.
Je zrejmé, že nezastupiteľnú úlohu vo vysvetľovaní významu kybernetickej bezpečnosti a posúvaní tejto témy správnym smerom má štát. Tak ako všade vo svete, aj na Slovensku sa nás bytostne týka problém nedostatku profesionálov pre túto oblasť, ktorá sa nevyrieši sama. Štát musí kybernetickú bezpečnosť viac presadzovať, viac o nej hovoriť. Slovenská republika pripravuje novú Stratégiu kybernetickej bezpečnosti na ďalšiu „päťročnicu“ (2021 - 2025) a my veríme, že ju uchopí a posunie tým správnym smerom.
Čaká nás teda dlhá cesta. Plná osvety, vzdelávania, vysvetľovania významu a dôležitosti a „vyrábania“ nových odborníkov ako sú Manažéri kybernetickej bezpečnosti. Sankcia totiž nie je vždy jedinou a dostatočne správnou a motivujúcou odpoveďou na otázku, prečo by som sa kybernetickej bezpečnosti mal venovať. Tých motivačných faktorov je podstatne viac, pričom niektoré sú omnoho pádnejšie, ako strach z prísneho regulátora.
A predovšetkým nás čaká množstvo práce, ktorou budeme musieť, prostredníctvom auditov kybernetickej bezpečnosti, odhalené nedostatky napravovať a odstraňovať.
Ak by sme mali porovnať situáciu s okolitými krajinami, čím sa odlišujeme?
Pre porovnanie, v Českej Republike sa kybernetická bezpečnosť začala tvoriť už v roku 2014, pričom ich prístup bol systémový a dotýkal sa v časových odstupoch najskôr „Kritickej“ infraštruktúry, následne Vvýznamnej“ infraštruktúry a v neposlednom rade „Základnej“ infraštruktúry. Každá z týchto skupín bola riešená samostatne a zadefinovali sa špecifické požiadavky pre každú skupinu.
Na Slovensku sme začali niekedy v roku 2018 a v zákone 69/2018 Z.z. sa hodili všetky subjekty takpovediac do jedného hrnca. Výsledkom je to, že dnes máme rovnaký meter pre komerčnú banku, petrochemickú fabriku, ako aj obecný úrad. Vzhľadom k binárnemu hodnoteniu požiadaviek pri audite kybernetickej bezpečnosti neexistuje termín primerane splnené, ale len splnené alebo nesplnené. To bude mať za následok, že niektoré menšie subjekty budú mať vážny problém dosiahnuť súlad s požiadavkami zákona.
- Ing. Igor Straka a JUDr. Ing. Miroslav Chlipala, PhD.
- Tváriť sa, že kybernetická bezpečnosť sa nás netýka, nie je to najšťastnejšie riešenie. Hazardujeme so svojou reputáciou, udržateľnosťou podnikateľských a iných aktivít a v neposlednom rade sa tým uchádzame o „zvýšenú pozornosť“ zo strany štátu.
Aké pozitíva prináša legislatíva kybernetickej bezpečnosti?
Pozitív je hneď niekoľko. Tým najdôležitejším je skutočnosť, že prostredníctvom správne implementovaných právnych predpisov je skutočne dosahovaná vyššia úroveň bezpečnosti informácií. Reflektujú sa ňou konkrétne a pre osobu príznačné riziká a vo vzťahu k nim „šijú“ opatrenia na mieru. Jedná sa teda o prístup odlišný od toľko populárnej, skratkovitej a nepresnej vzorovosti, uniformovanosti či pomoci na diaľku bez znalosti procesov a prostredia.
Ďalším pozitívom je, že prostredníctvom týchto opatrení dochádza k ochrane informácií, ktoré majú pre osoby implementujúce kybernetickú bezpečnosť konkrétny význam a hodnotu. V žiadnom prípade si tak kybernetickú bezpečnosť nie je vhodné zamieňať so zbytočnou byrokratickou záťažou, nakoľko jej cieľom je chrániť to najdôležitejšie v podobe informácií alebo informačných aktív.
Nemenej dôležitým pozitívom je aj skutočnosť, že zákon o kybernetickej bezpečnosti je skvelým návodom na to, ako to robiť správne. Je využiteľný pri ochrane osobných údajov, je možné sa ním inšpirovať aj takými, ktorí na implementáciu požiadaviek zákona o kybernetickej bezpečnosti síce nie sú povinní, ale uvedomujú si dôležitosť o hodnotu ich informácií (obchodné tajomstvo, know-how a pod.) a závažné dopady v prípade ich úniku či zneužitia.
Je potrebné si uvedomiť, že investícia do kybernetickej bezpečnosti nie je otázkou „či“, ale „kedy“. A naviac investícia, ktorá sa vám z pohľadu času určite oplatí.
Neexistuje žiadna štúdia, ktorá by hovorila o pripravenosti firiem na Slovensku z pohľadu kybernetickej bezpečnosti, ale ako tieto nové povinnosti vnímajú firmy?
Aktuálna situácia zodpovedá nastaveným pravidlám. Pri predstave, že by nebola zákonná povinnosť vykonania auditu kybernetickej bezpečnosti, nedialo by sa vôbec nič. Po druhé, regulačný orgán na rozdiel od iných regulácií nemá možnosť, ale má povinnosť udeliť pokutu. To sa už začína niečo diať.
Súkromný sektor to uchopil biznisovo. Pokiaľ firma nechce znášať sankcie od regulátora, uvoľní primerané prostriedky na zabezpečenie požiadaviek v zmysle zákona. Postaviť systém samozrejme neznamená, že po zavedení bude plne funkčný, ale dôležité je začať. Nie je to jednorazová aktivita, ale kontinuálna s požiadavkou na neustále zlepšovanie.
Zároveň je nutné zdôrazniť, že kybernetická bezpečnosť nie je témou jednoduchou. Vyžaduje si hlboké znalosti z oblasti práva, technológií, procesného riadenia, riadenia rizík či implementácie opatrení. Preto nie je ničím výnimočným, pokiaľ je nedostatkom fakt, že adresáti legislatívnych povinností v oblasti kybernetickej bezpečnosti nevedia, ako začať a ako konkrétnu požiadavku legislatívy naplniť. Čoho následkom je závažný nedostatok, a to vyčkávanie alebo hľadanie skratkovitých riešení.
Tváriť sa, že kybernetická bezpečnosť sa nás netýka, nie je to najšťastnejšie riešenie. Hazardujeme so svojou reputáciou, udržateľnosťou podnikateľských a iných aktivít a v neposlednom rade sa tým uchádzame o „zvýšenú pozornosť“ zo strany štátu.
Po zverejnení zákona k GDPR vznikli rôzni poskytovatelia komplexných riešení ako huby po daždi a ponúkali rôzne „skratky“, ako spomínate. Je to tak aj teraz v prípade riešení pre kybernetickú bezpečnosť?
Dalo by sa povedať, že tendencie adresátov povinností legislatívy pre oblasť kybernetickej bezpečnosti robiť si skratky a svoje povinnosti si splniť podľa možnosti čo najrýchlejšie a najlacnejšie, sú početným nedostatkom. Otvorene hovorme o obetiach „tiež – odborníkov“ pre oblasť kybernetickej bezpečnosti, ktorí za nápadne nízky a baťovský mesačný poplatok prehlasujú, že zabezpečia „súlad“ s požiadavkami právnych predpisov. Následky nenechajú na seba dlho čakať, pričom tým najmenej závažným je uloženie akejsi pokuty zo strany regulátora. Omnoho závažnejšie sú škody v podobe úniku či zneužitia informácií, k čomu by v prípade dôslednej implementácie požiadaviek legislatívy nemuselo dôjsť.
A ako to už býva, raz aj tak tie finančné prostriedky na náležitú implementáciu požiadaviek legislatívy budú musieť byť vynaložené. A všetky tie nesprávne prístupy k implementácii sú stratou materiálnych, finančných a personálnych kapacít. O čase ani nehovoriac.
Čo v najbližšej dobe čaká slovenské spoločnosti v oblasti kybernetickej bezpečnosti? Čomu by sa mali venovať?
Ak by sme sa mali pozrieť na dátumy, tak tých je viacero, niektoré z nich už nastali. Hovoríme v zásade o troch kategóriách lehôt, ktoré sú z pohľadu zákona o kybernetickej bezpečnosti dôležité. Nie sú však jediné.
Prvou je povinnosť osoby nahlásiť sa Národnému bezpečnostnému úradu, akonáhle zistí, že sa na ňu vzťahuje zákon o kybernetickej bezpečnosti. Toto vyhodnotenie by si mal urobiť každý, kto vykonáva svoju pôsobnosť / činnosť čo i len v jednom sektore alebo podsektore podľa prílohy č. 1 zákona o kybernetickej bezpečnosti. V prípade pozitívneho zistenia má osoba 30 dní, aby túto skutočnosť Národnému bezpečnostnému úradu nahlásila, pričom následne je Národným bezpečnostným úradom zaradená do príslušného registra.
Druhou povinnosťou je prijatie bezpečnostných opatrení. Tým osobám, ktoré sa do registra dostali do 09.11.2018, uplynula lehota na prijatie bezpečnostných opatrení dňa 01.04.2020. Všetkým ostatným osobám zaradeným do registra po 09.11.2018 lehota na splnenie tejto povinnosti uplynula alebo uplynie do šiestich mesiacov odo dňa ich zaradenia do registra. V tejto súvislosti chceme upozorniť, že do registra môže byť osoba zaradená aj na základe samostatného rozhodnutia Národného bezpečnostného úradu, preto sa netreba uspokojiť so záverom, že pokiaľ sa osoba Národnému bezpečnostnému úradu aktívne nenahlásila sama, určite sa v registri nenachádza.
Treťou povinnosťou je podstúpenie auditu kybernetickej bezpečnosti. Aj tu máme plynutie lehôt naviazané na vyššie uvedený dátum 09.11.2018. V prípade osôb zaradených do registra do 09.11.2018 uplynie lehota na výkon auditu kybernetickej bezpečnosti dňa 09.11.2021, v prípade tých ostatných (po 09.11.2018) lehota uplynula alebo uplynie do dvoch rokov od dátumu ich zaradenia do registra. Jedná sa tak o jednu z mála lehôt, ktorá ešte väčšine povinným osobám v zmysle zákona o kybernetickej bezpečnosti neuplynula. Aj tu však zdržanlivosť nie je na mieste. Na Slovensku máme v súčasnosti niečo vyše 30 audítorov kybernetickej bezpečnosti, ktorí sú ako jediní oprávnení audit kybernetickej bezpečnosti vykonať. Vzhľadom na počet povinne auditovaných osôb (stovky až tisíce) a priemernú dĺžku trvania auditov odporúčame „objednať“ si toho svojho čo najskôr.
Mnohé spoločnosti na Slovensku otvárajú otázku auditu kybernetickej bezpečnosti, kde by mali začať, aby ich niečo neprekvapilo?
Spoločnosť, ktorá sa istú dobu zaoberala implementáciou kybernetickej bezpečnosti, dostáva auditom akoby vysvedčenie ich úsilia. Na druhej strane tie, pre ktoré audit je prvou relevantnou interakciou, nastáva pravdepodobne šok. Oba scenáre sú na Slovensku realitou a prinášajú uvedomenie a snáď aj sebareflexiu zodpovedných manažérov. Vždy však auditná správa s nedostatkami je menšie zlo, ako úspešný kybernetický útok so všetkými dopadmi, ktoré sú ich sprievodným javom.
Odporučenie audítora kybernetickej bezpečnosti je nečakať, termín auditu je nemenný, nedá sa preložiť a je to zákonná povinnosť. Treba začať u ľudí budovaním kompetentnosti. Následne spracovať GAP analýzu a postaviť akčný plán na zosúladenie sa s požiadavkami zákona.
- PROFIL ODBORNÍKOV
JUDr. Ing. Miroslav Chlipala, PhD. – advokát so zameraním na právne aspekty kybernetickej bezpečnosti, GDPR a ochranu osobných údajov; spoluautor komentára k zákonu o KB
Ing. Igor Straka - audítor kybernetickej bezpečnosti a odborník na informačnú bezpečnosť, ochranu osobných údajov, Lead auditor ISO/IEC 27001, 20000 a eIDAS.
Mohlo by Vás zaujímať:
Audit kybernetickej bezpečnosti
Vzdelávanie Manažér kybernetickej bezpečnosti
Vzdelávanie Informačné technológie vo verejnej správe
