Novinky
11. augusta 2020

Ste pripravení na audit kybernetickej bezpečnosti?

DAVID DVOŘÁK

Významné slovenské firmy, štátne či finančné inštitúcie sú povinné prejsť auditom kybernetickej bezpečnosti a záverečnú správu o ňom predložiť Národnému bezpečnostnému úradu. Ukladá im to zákon o kybernetickej bezpečnosti. Koho presne sa táto povinnosť týka, ako sa na ňu pripraviť, kto audity vykonáva a koľko času si na to vyhradiť?

Audit kybernetickej bezpečnosti si musia zabezpečiť prevádzkovatelia základných služieb. Patria sem napríklad bankový sektor, priemysel, telekomunikačné spoločnosti, pošta, energetika, výrobcovia liekov, zdravotné kliniky či nemocnice, samosprávy nad 1000 obyvateľov, ale aj mnohé ďalšie. Príloha zákona definuje presne 11 odvetví (napr. doprava, digitálna infraštruktúra, elektronické komunikácie, infraštruktúra finančných trhov, voda a atmosféra, verejná správa a i.), z ktorých subjekty musia prejsť týmto auditom. Ide teda o povinnosť, ktorá sa týka tisícok rôznych subjektov. Skontrolujte si preto vo vlastnom záujme, či nie ste náhodou medzi nimi.

DEADLINE ZA DVERAMI

Termín splnenia tejto zákonnej povinnosti sa už nezadržateľne blíži. Všetky subjekty zapísané Národným bezpečnostným úradom do zoznamu prevádzkovateľov pred 9.11.2018, musia stihnúť audit do 9.11.2021 podľa dátumu zápisu (3 roky po zápise). Subjekty zapísané po 9.11.2018 musia vykonať svoj audit do 2 rokov od príslušného dátumu zápisu do registra.

O ČO ŠTÁTU IDE?

Počet kybernetických útokov u nás i vo svete rastie, aj samotné ataky sú komplexnejšie a zložitejšie. Dôkazom toho je aj nedávny útok na spoločnosť Garmin ako aj pribúdajúce útoky na rôzne nemocnice. Cieľom zákona o kybernetickej bezpečnosti je preto pripraviť a zabezpečiť, aby boli kľúčové slovenské firmy viac odolné voči kyberútokom. Snahou auditu je overiť, či dané firmy, samosprávy či iné subjekty zo zoznamu prevádzkovateľov základných služieb spĺňajú všetko to, čo od nich žiada zákon o kybernetickej bezpečnosti. Ide o množstvo rôznych povinností a bezpečnostných opatrení. Pred samotným auditom je teda potrebné ich najskôr všetky implementovať.

ČAS JE KĽÚČOVÝ

Kým niektorí prevádzkovatelia mnohé z opatrení už dnes spĺňajú a  audit bude pre nich „malina“, množstvo slovenských firiem na bezpečnosť a odolnosť voči hackerom dlhé roky zabúdala. Z vlastných skúseností vieme, že mnohé firmy kybernetickú bezpečnosť vôbec neriešia, čakajú až na povinné audity. Z pohľadu bezpečnosti sú zanedbané hlavne priemyselné odvetvia, zdravotnícke zariadenia a samosprávy. V ich prípade je ideálne, aby s implementáciou začali čím skôr. Hoci z pohľadu zákonných lehôt je ešte trochu času, implementácia opatrení môže byť pre niektorých poskytovateľov dlhšia. Môžu ju „natiahnuť“ rôzne nečakané zistenia, prípadné obstarávanie novej techniky alebo nedostatok špecialistov.

AUDÍTOROV JE STÁLE MÁLO

Audity môžu u prevádzkovateľov vykonať iba audítori certifikovaní Kompetenčným a certifikačným centrom kybernetickej bezpečnosti (KCCKB). Aktuálny zoznam certifikovaných audítorov kybernetickej bezpečnosti môžete nájsť na stránke KCCKB. Keďže nároky na nich sú pomerne vysoké, ich počet stúpa iba veľmi pomaly. Aj preto je dobré, ak sa firmy na blížiaci sa termín auditov začnú pripravovať s dostatočným časovým predstihom.

Dodržiavanie požiadaviek na kyberbezpečnosť kontroluje Národný bezpečnostný úrad. Ak zistí, že prevádzkovateľ zákon nedodržiava, môže mu udeliť pokutu od 300 do 300 000 eur. Oveľa väčšou hrozbou sú však škody spôsobené samotným kyberútokom. Tie sa podľa štatistík môžu vyšplhať v priemere až do výšky pol milióna eur.

Čoraz väčšia vynaliezavosť kyberútočníkov, ale aj rozširujúce sa spektrum možných rizík spôsobuje, že ani tá najväčšia firma nie je schopná brániť sa takýmto hrozbám úplne sama. Mnoho firiem sa preto pri implementácii opatrení spolieha na externých odborníkov, ktorých je ale žalostne málo.

ZAUJALA VÁS TÉMA KYBERNETICKÁ BEZPEČNOSŤ?

Prečítajte si naše ďalšie články na túto tému:

MÁTE ĎALŠIE OTÁZKY?

Potrebujete pomôcť s prípravou na audit kybernetickej bezpečnosti? Naši IT špecialisti vám radi ochotne poradia, čo všetko budete naň potrebovať.

David Dvořák, CISA, CISM, CRISC, CDPSE

IT Advisory Manager

david.dvorak@soitron.com