Nie ste si istí, či dostatočne spĺňate požiadavky zákona o kybernetickej bezpečnosti?

| ,

29. septembra sa konalaprvá virtuálna konferencia k zákonu o kybernetickej bezpečnosti (ZkB). Obsahom bola nielen celková analýza zákona, ale reálne odporúčania, kde začať, vyjadrenie audítora, ukážka riešení, ktoré ho pomáhajú naplniť, ale aj prípadová štúdia z rafinérsko-petrochemickej spoločnosti s ročným spracovaním až 6 miliónov ton ropy – Slovnaft. Pripojených online bolo viac ako 300 ľudí z viacerých segmentov.

Konferencie sa zúčastnili významné mená ako napríklad Marián Illovský, certifikovaný audítor kybernetickej bezpečnosti, a Štefan Pilár, advokátsky koncipient z právnickej kancelárie Bukovinský & Chlipala, ktorý na tému priniesol právnický pohľad. Nechýbali ani poskytovatelia IT riešení ako Fortinet, CyberArk, LOGmanager, Proofpoint, Nozomi Networks, Extreme Networks, Gigamon či Trend Micro.

Od 1. apríla 2018 je účinný zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. NBÚ priamo stanovil, ktoré podniky sú povinné dodržiavať požiadavky k ZkB.

Náležitú pozornosť povinnostiam musia venovať všetci prevádzkovatelia základných služieb (napr. z oblasti bankovníctva, dopravy, energetiky, digitálnej infraštruktúry, pošty, farmaceutického, metalurgického a chemického priemyslu a zdravotníctva), ale aj poskytovatelia digitálnych služieb (napr. online trhoviská, internetové vyhľadávače a cloud computing služby poskytované právnickou osobou alebo fyzickou osobou). V podstate všetky, ktoré pracujú s kritickou infraštruktúrou.

Ako postupovať a kde začať?

Významným hosťom bol spomínaný Marián Illovský, certifikovaný audítor kybernetickej bezpečnosti, ktorý bude mať prednášku na tému, kde začať, aby ste boli v súlade so zákonom o kybernetickej bezpečnosti, a ako k tomu pristupuje audítor.

„V prvom rade každá spoločnosť je sama zodpovedná za to, aby vyhodnotila, či došlo k prekročeniu identifikačných kritérií prevádzkovanej služby v sektore podľa prílohy č. 1. ZkB  a oznámila to NBÚ. NBÚ ich následne informuje o zaradení do registra prevádzkovateľov základných služieb. Organizácia, ktorú NBÚ zaradí do registra poskytovateľov základnej služby, je povinná do 6 mesiacov od oznámenia o zaradení prijať a dodržiavať všeobecné bezpečnostné opatrenia a taktiež špecifické sektorové bezpečnostné opatrenia, ak sú prijaté,“ uvádza Marián Illovský a ďalej pokračuje, „je neefektívne, aby napríklad nejaký strojársky podnik plnil špecifické opatrenia, ktoré musí plniť banka, a opačne. Zákon ako taký a príslušné vyhlášky teda hovoria, čo musia všetky firmy spĺňať ako nejaký základ kybernetickej bezpečnosti, ale jednotlivé ústredné orgány majú právo nastaviť ešte ďalšie špecifické požiadavky platné pre jednotlivé sektory. Cieľom je dosiahnuť, aby každý sektor mal svoju samostatnú sektorovú vyhlášku.“

 V zákone sú uvedené sektory, prípadne podsektory aj s prevádzkovateľmi služieb, ktorí musia sledovať prekročenie identifikačných kritérií, na základe ktorých si dokážu firmy situáciu samy vyhodnotiť.

Prevádzkovatelia základných služieb a poskytovatelia digitálnej služby sú povinní o incidente bezodkladne informovať NBÚ

Do požiadaviek spadajú nielen základné oznamovacie povinnosti, ale aj povinnosti riešiť kybernetické bezpečnostné incidenty a spolupracovať s príslušnými orgánmi pri ich riešení.

Celý proces, ako postupovať pri bezpečnostných incidentoch, je daný v zákone a následne vo vykonávacích predpisoch vo vyhláškach. Poskytovatelia základných a digitálnych služieb musia hlásiť NBÚ každý závažný kybernetický bezpečnostný incident. Ak do okamihu hlásenia incidentu nepominuli jeho účinky, sú povinní zaslať neúplné hlásenie. Tie potom neskôr doplnia. NBÚ môže pomôcť v prípade útoku a tiež môže poradiť, resp. nariadiť vykonať činnosti na základe podobných útokov, s ktorými mal už skúsenosti.“

Konferencia k Zákonu o kybernetickej bezpečnoati organizovaná spoločnosťou Veracomp Slovakia v roku 2019 v hoteli Gate One v Bratislave

Čo všetko hrozí za nedodržanie?

V prípade nedodržania požiadaviek a následného porušenia povinností, ktoré stanovuje ZkB, môže NBÚ udeliť sankcie jednotlivým prevádzkovateľom základnej služby a poskytovateľom digitálnej služby.

„Keďže je to zákon, tak, samozrejme, sankcie sú, ale ja by som sa sústredil skôr na to, aby firma mala čo najvyššiu šancu zvládnuť kybernetický bezpečnostný incident, ktorý má vplyv na poskytovanie základnej služby. Výpadok základnej služby môže v najhoršom prípade viesť až k zániku firmy. Ak firmy nemajú implementované všetky opatrenia, ktoré sú v zákone, alebo ich majú nedokonalé, tak ohrozujú svoju vlastnú existenciu. Ak je totiž na nich vedený kybernetický útok,  firmy to nemusia prežiť. V sektore zdravotníctva sa prežitie dokonca môže týkať aj samotných pacientov, čo môže mať skutočne veľmi závažné dôsledky.“

„Keď zistím napríklad až o dva mesiace, že mi niekto skenuje sieť a hľadá zraniteľné miesta, aby ohrozil moju službu, môže byť neskoro. Treba byť skutočne obozretný nielen v aktuálnom v čase Covidu, keď kybernetickí útočníci získali nové možnosti prienikov do informačných systémov a sietí organizácií,“ uzatvára Marián Illovský.

Po jednotlivých prednáškach prebehla na záver panelová diskusia s odborníkmi, ktorým zúčastnení mohli klásť svoje otázky. Event organizoval IT distribútor s pridanou hodnotou Vercomp Slovakia a sprevádzal ho Ondrej Kováč, skúsený IT Security Consultant zo spoločnosti Alison Slovakia.