Na lepšiu verziu ITShare.sk sa môžete tešiť už čoskoro. Pracujeme na nej.Tím Veracomp Slovakia

Zákon o kybernetickej bezpečnosti už potrápil veľa inštitúcií. Za jeho nedodržanie hrozí značná pokuta

|

20. júna sa v Bratislave konala Konferencia o zákone o kybernetickej bezpečnosti. Cieľom bola celková analýza zákona, odporúčania, ako naplniť jeho požiadavky, nové riešenia a ďalšie vymedzenia aktuálnych problémov v oblasti kybernetickej bezpečnosti. Téme sa venoval najmä Ervín Šimko z Odboru kybernetickej a informačnej bezpečnosti Úradu podpredsedu vlády SR pre investície a informatizáciu, ale aj predstavitelia spoločností ako Fortinet, CyberArk, LOGmanager či Fidelis, ktorí hovorili o možných riešeniach. Konferencie sa zúčastnilo viac ako 60 odborníkov zo štátneho, ale aj súkromného sektora.

Zákon upravuje organizáciu, pôsobnosť a povinnosti v oblasti kybernetickej bezpečnosti a  ustanovuje aj minimálne požiadavky na zabezpečenie kybernetickej bezpečnosti Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti („ZKB“) nadobudol účinnosť už 1. apríla minulého roka. Jeho prijatím prevzala Slovenská republika smernicu Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (smernica o NIS).  

Náležitú pozornosť povinnostiam ZKB musia venovať všetci prevádzkovatelia základných služieb (napr. z oblasti bankovníctva, dopravy, energetiky, digitálnej infraštruktúry, pošty, farmaceutického, metalurgického a chemického priemyslu a zdravotníctva), ale aj poskytovatelia digitálnych služieb (napr. online trhoviská, internetové vyhľadávače a cloud computing služby poskytované právnickou osobou alebo fyzickou osobou).

Treba zdôrazniť, že sem spadajú nielen základné oznamovacie povinnosti, ale aj povinnosti riešiť kybernetické bezpečnostné incidenty a spolupracovať s príslušnými orgánmi pri ich riešení. Nedodržanie môže viesť k uloženiu značných pokút,“ uvádza Ervín Šimko z Úradu podpredsedu vlády SR pre investície a informatizáciu.

Poskytovatelia obidvoch služieb sú povinní dodržiavať vhodné a primerané bezpečnostné opatrenia v zmysle zákona a hlásiť kybernetické bezpečnostné incidenty Národnému bezpečnostnému úradu SR (NBÚ). Ten má postavenie Národnej jednotky CSIRT, pričom túto úlohu plní samostatný útvar Národná jednotka SK-CERT (pôsobiaca na Národnom bezpečnostnom úrade).  

„Celý proces, ako postupovať pri bezpečnostných incidentoch, je jednoduchý a daný v zákone a následne vo vykonávacích predpisoch vo vyhláškach. Jednotlivé subjekty majú právo požiadať o súčinnosť pri zistení stavu, úrovne bezpečnosti. Môžu požiadať o vykonanie auditu NBÚ alebo ÚPVII a na základe zistených skutočností musia prijať opatrenia na nastavenie bezpečnosti, a to minimálne na základnú úroveň požadovanú legislatívou. Aj pri tomto procese im vie poskytnúť súčinnosť NBÚ, ako aj ÚPVII. Je však potrebné dbať na to, aby dané subjekty mali vyškolených pracovníkov. Potom budú mať naše rady a pomoc požadovaný efekt,“ dodáva Ervín Šimko.  

Za porušenie hrozí pokuta až 300 000 € 

V prípade nedodržania požiadaviek a následného porušenia povinností, ktoré ustanovuje ZKB, môže NBÚ udeliť sankcie jednotlivým prevádzkovateľom základnej služby a poskytovateľom digitálnej služby, najviac však 300 000 €.

„Ak ale dôjde k opätovnému porušeniu povinností do jedného roka odo dňa nadobudnutia právoplatnosti rozhodnutia o uložení pokuty, suma sa môže vyšplhať aj na dvojnásobok. V každom prípade NBÚ posudzuje závažnosť správneho deliktu, najmä spôsob, akým bol spáchaný, jeho trvanie, dôsledky a okolnosti, za ktorých bol spáchaný. Nie je cieľom udeľovať sankcie, ale budovať bezpečnosť na adekvátnej úrovni v porovnaní s potencionálnymi hrozbami,“ vysvetľuje E. Šimko.

Slovensko je na porovnateľnej úrovni s inými členskými štátmi

Aj keď je Slovensko momentálne na porovnateľnej úrovni s inými členskými štátmi EÚ, stále sa jednotlivé inštitúcie či firmy, samozrejme, neúmyselne, dennodenne dopúšťajú chýb, ktoré môžu viesť k vzniku bezpečnostných incidentov a následným finančným stratám či úniku citlivých údajov.

Na trhu sú však špičkoví poskytovatelia, odborníci a dostačujúca legislatíva. Napríklad aj dnes na konferencii sme mohli vidieť poskytovateľov, dodávateľov, ktorí vedia byť nápomocní. Problémom je skôr nájsť zdroje na financovanie, ako aj kapacity vo forme kvalifikovaného personálu. Vo verejnom sektore aj z tohto dôvodu pripravujeme nový projekt ,Cyber arény‘, čo sú akoby cvičiská v oblasti kybernetickej bezpečnosti na zabezpečenie vzdelávania jednotlivých pracovníkov v oblasti kybernetickej bezpečnosti,“ uzatvára Ervín Šimko.

Možné riešenia v sieti organizácií

Prvým, ktorý na konferencii predstavil svoje riešenia pri plnení požiadaviek zákona, bol Zsolt Géczi, Regional Account Manager zo spoločnosti Fortinet, ktorá je lídrom v oblasti bezpečnostných riešení, pôsobiaca na trhu už od roku 2000. Okrem iného odporúčal implementáciu Fortinet Security Fabric, pozostávajúcu z viacerých komponentov, na čo najkomplexnejšiu ochranu pred možnými incidentmi. Zaujímavý pohľad priniesol aj Miroslav Knapovský, Solution Architect zo Sirwisa, s. r. o., ktorý ukázal, ako jednoducho dohľadať aktivity zariadení a vykonávať ich priebežný aj nárazový audit pomocou technológie LOGmanager.

Keďže mnohé riziká vyplývajú zo samotného účtu s vysokým oprávnením, je dôležité, aby sa za každých okolností identifikovali a včas ošetrili. Ochranou privilegovaných účtov sa zaoberal Daniel Hetenyi zo spoločnosti CyberArk, ktorá má u nás, čo sa danej problematiky týka, jednoznačne vedúcu pozíciu. Konferenciu uzatvoril Karol Mareš, Pre Sales Consultant zo spoločnosti Veracomp, ktorý predstavil riešenia od Fidelisu. Fidelis poskytuje analytikom presvedčivé dôkazy a automatické reakcie na jednotlivé incidenty a zároveň kombinuje plnú viditeľnosť obsahu, metaúdajov i relácií s rozsiahlym spravodajstvom o hrozbách. 

Na záver možno skonštatovať, že konferencia splnila svoj účel. Jednotliví odborníci svojimi príspevkami priniesli zaujímavé pohľady na problematiku kybernetickej bezpečnosti, a tak posilnili budovanie spôsobilostí a zdieľanie vedomostí v tejto oblasti. Konferenciu zastrešoval distribútor s pridanou hodnotou Veracomp Slovakia.