Novinky
23. októbra 2020

Ako by sa mestá a obce (ne)mali chystať na audit kyberbezpečnosti

Počet kyberútokov vo svete aj u nás rastie a nevyhýbajú sa ani mestám či obciam. Povinnosť chrániť sa pred nimi im preto ukladá okrem Zákona č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a jeho vyhlášok aj Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti. Ten prvý ich zaväzuje k dodržiavaniu bezpečnostných opatrení a ten druhý im určuje, že musia absolvovať audit kybernetickej bezpečnosti. Ako by teda slovenské mestá a obce mali chrániť svoje dáta, čím treba začať, či ako sa vyvarovať neférovým až podvodným ponukám, radia riaditeľ centra kybernetickej bezpečnosti Void SOC Martin Lohnert a vedúci oddelenia IT Poradenstva Dávid Dvořák.

Ako by ste zhodnotili stav kyberbezpečnosti slovenských miest a obcí?

Martin Lohnert: Keď si človek predstaví katastrofálnu situáciu a ešte ju veľmi zhorší, tak zhruba tak. Spomínam si, ako mi raz v jednom meste povedali: „Kybernetická bezpečnosť? Tak tým sme sa ešte nikdy nezaoberali.“ Samozrejme, sú aj svetlé výnimky, no vo všeobecnosti je kybernetická bezpečnosť mimo ich záujem.

Dávid Dvořák: Pre mestá a obce – podobne ako napríklad pre nemocnice– je táto téma veľmi vzdialená. To je prvý dôvod, prečo je stav taký zlý. Druhý dôvod je nedostatok financií. Majú totiž veľmi limitované rozpočty a keďže kyberbezpečnosť nevnímajú ako dôležitú, ani na ňu nevyčleňujú peniaze. No a tretí dôvod je nedostatok odborníkov v regiónoch. Nájsť tam ľudí, ktorí tejto téme aspoň ako-tak rozumejú, je priam nadľudský výkon. Napríklad všetci certifikovaní kybernetickí audítori sú koncentrovaní v Bratislave.

Nedostatok peňazí je asi niečo, čo sa len tak nezmení. Vedia mestá a obce spraviť niečo pre bezpečnosť svojich dát aj s obmedzenými rozpočtami?

ML: Určite áno. Už tým, že sa to pre ne stane témou. Ak odskočím od technických aspektov, tak najslabším článkom vždy bývajú ľudia. Ak chceme výrazne zvyšovať kybernetickú bezpečnosť, mali by sme sa venovať zvyšovaniu povedomia a vzdelávaniu ľudí, ktorí v miestnych samosprávach pracujú. Zorganizovať napríklad školenia, na ktorých im ukážeme, na aké maily neklikať alebo ako rozpoznať falošnú faktúru. A to si nevyžaduje astronomické investície. Rovnako tak napríklad zmeny konfigurácie, nastavení či implementácia technických riešení, ktoré môžu byť primerané veľkosti mesta a jeho finančným možnostiam.

DD: Často sa stretávame s tým, že keď sa aj nejaké mesto či obec rozhodne kybernetickú bezpečnosť riešiť, hľadá najjednoduchšie riešenie. Buď si kúpia „zázračnú krabičku“, alebo ešte horšie – kúpia si iba dokumentáciu, ktorú založia do zakladača. Bez toho, aby pre bezpečnosť skutočne niečo spravili. Kupovať si dokumenty pritom môže byť vo finále drahšie ako skutočné riešenie.